Monday, December 11th, 2017

Безопасное размещение данных на FTP серверах за пределами брандмауэров

Published on Февраль 12, 2009 by   ·   Комментариев нет

В статье обсуждается вопрос, как создать FTP сервер режима PASV или безопасный FTP сервер, который расположен вне зоны ISA Server 2004.

Часть 1: Размещение FTP с помощью фильтра приложений без использования SSL

Между версиями 2000 и 2004 ISA Server есть некоторые отличия. Например, в версию 2004 MS включила поддержку протокола FTP. Его легко использовать тем, кто хочет открыть FTP сервера для свободного доступа. Нет необходимости проводить дополнительную настройку самого FTP сервера. Просто установите ПО и открывайте доступ. У протокола FTP сервера есть определенные свойства. Порт сервера можно сменить на любой другой. Сделать это можно при помощи мастера опубликования сервера (Server Publish wizard). Но не забудьте установить пакет обновлений ISA 2004 Service Pack1.

Защищенный доступ к FTP серверу

Рисунок 1

Однако могут возникнуть и другие проблемы при загрузке файлов на FTP сервер. Проверьте, что снят атрибут «Только Чтение» с этих файлов. Помните, что необходимо выбрать фильтрацию доступа к FTP. ISA использует фильтрацию доступа к FTP для отслеживания информации в порте PASV, а также заменяет внутренний IP адрес на внешний для сервера FTP.

Тип порта FTP шифрование

Рисунок 2

Только при выборе фильтрации доступа к FTP (FTP Access filter) можно будет настроить политику протокола FTP.

Брандмауэр win 2003 открыть FTP

Рисунок 3

Часть 2: публикация PASV FTP сервера без фильтра приложений и без использования SSL

Может случиться, что потребуется создать собственный протокол для публикации сервера. Это можно сделать. Но помните, что есть некоторые моменты в настройке брандмауэра ISA, которые необходимо выполнить перед тем, как все заработает.

Свободные FTP серверы доступ

Рисунок 4

Посмотрим, как опубликовать FTP сервер с использование PASV режима. Сервер можно запустить на 21 или другом порте.

Прежде всего, надо настроить сервер для поддержки режима PASV. Это необходимо для того, чтобы сервер динамически открывать порт PASV для соединений. Надо определить диапазон портов на сервере. Для этого можно создать правило в брандмауэре ISA. Потом необходимо открыть эти порты в брандмауэре, чтобы клиенты могли подключаться к PASV FTP серверу.

Без фильтра приложений брандмауэр ISA не сможет следить за передаваемыми по FTP данными. По этой причине ISA не откроет порт PASV для FTP сервера и такой режим работы сервера реализовать будет невозможно. Когда данные или соединение зашифровано, фильтр FTP брандмауэра ISA не может отслеживать PASV соединения, чтобы правильно открывать порты.

Безопасный ljcneg c gjvjom ang

Рисунок 5

Тут мы используем Serv-U. Диапазон PASV портов задан от 2000 до 2010. Serv-U не может определить внешний IP адрес, поэтому придется указать его вручную . Если у Вас нет статического IP адреса, обратитесь к Ref 1242 в разделе FAQ на сайте www.serv-u.com. Там описано, как пользоваться Serv-U с динамическим IP адресом.

Публикация FTP сервера на isa

Рисунок 6

Используйте любой клиент FTP для локального подключения к серверу. Убедитесь, что настройки PASV произведены правильно. Журнал событий может отличаться. Но в любом случае в нем будет присутствовать подобная информация:

[R] 227 Entering Passive Mode (xxx,xxx,xxx,xxx,7,209)
[R] Opening data connection IP: xxx.xxx.xxx.xxx PORT: 2001
[R] LIST -al
[R] 150 Opening ASCII mode data connection for /bin/ls.
[R] 226 Transfer complete.

Безопасный FTP сервер Windows

Рисунок 7

Это указывает на то, что режим PASV на сервере работает правильно. Клиенту передана информация о том, что данные надо передавать по порту 2001. этот порт мы назначили ранее.

Сервер настроен. Теперь приступим к настройке брандмауэра ISA 2004.

В отличие от стандартного протокола FTP сервера в брандмауэре ISA, новый протокол, только что созданный нами не открывает PASV порт. При создании нового правила опубликования сервера (Server Publishing Rule) для внутреннего FTP сервера самым важным является опубликование портов PASV (2000 ~ 2010). Это дает возможность брандмауэру ISA принимать запросы на соединения от внешних FTP клиентов.

Протокол FTP на isa

Рисунок 8

После этого примените изменения настроек. Протестируйте сервер подключением внешнего FTP клиента.

Замечание: Когда фильтр доступа к FTP отключен, брандмауэр ISA не отслеживает уровень взаимодействия приложений FTP. Поэтому не требуется настройка политики протокола FTP. Но помните, пользователи могут получить доступ для загрузки файлов НА FTР сервер. Убедитесь, что их учетные записи безопасны, а сервер настроен так, чтобы требовать аутентификацию.

Если Вы только публикуете порт FTP, журнал событий внешнего клиента может выглядеть так:

Pasv FTP порты

Рисунок 9

После открытия PASV порта на брандмауэре ISA, он откроется на сервере. Внешний клиент успешно получает список папок.

Опубликовать FTP

Рисунок 10

Можно использовать другой тип FTP сервера, например, ioFTPD или RaidenFTPD. Важно лишь помнить, что при публикации FTP сервера с PASV режимом необходимо определить PASV порт и опубликовать его.

Часть 3: публикация защищенного FTP сервера за пределами брандмауэра ISA

Зачем надо публиковать сервер без использования протокола, который есть в ISA 2004?

Дело в том, что требуется опубликовать защищенный сервер. Если передача данных между клиентом и сервером будет зашифрованной, стандартный протокол сервера не получит информацию о PASV порте и не сможет его открыть.

Перед настройкой защищенного сервера определим пару терминов:

Явный SSL и неявный SSL (Explicit SSL and Implicit SSL)

Явный SSL использует явные команды (AUTH SSL или AUTH TLS) для запроса у FTP сервера инициализации защищенного соединения. Сервер должен поддерживать AUTH, PBSZ и подобные команды.

Неявный SSL использует сокеты для соединения с сервером. Сейчас большинство сервером поддерживают такой режим. Чтобы увидеть отличия между двумя типами SSL, Посмотрим, как каждый из них создает соединение.

Явный SSL: клиент посылает команду AUTH SSL на сервер, а сервер инициирует SSL соединение.

Isa сервер открыть доступ к FTP

Рисунок 11

Неявный SSL: клиент использует sslconnect для соединения с сервером. Он шифрует информацию с самого начала.

Как прописать FTP в брендмауэре?

Рисунок 12

Можно настроить сервер на поддержку FTP без SSL и с SSL одновременно выбирая опцию Разрешить SSL/TLS сессии и обычные сессии. Но для большей защищенности разрешим только SSL/TLS сессии на сервере. Выберите опцию Безопасность в свойствах домена и измените установки.

Как разместить данные на FTP?

Рисунок 13

Мы используем порты 4000-4010 для PASV на этом защищенном сервере. Если Вы забыли, как определить PASV порты, вернитесь к рисунку 5.

Настройте сервер на использование нового протокола, как показано ранее. Помните, что нельзя использовать фильтр доступа к FTP, встроенный в ISA 2004. Этот фильтр не может получить информацию о зашифрованном соединении.

Как в брандмауэре установить соединение FTP?

Рисунок 14

После изменения настроек брандмауэра ISA подключитесь к серверу с удаленного клиента. Будут выданы следующие сообщения. Первое — о том, примете ли Вы сертификат от сервера?

Тип порта FTP шифрование

Рисунок 15

Negotiating SSL/TLS session…
SSL/TLS negotiation successful…
SSL/TLS connection using cipher IDEA-CBC-SHA (128 bits)

После создания SSL соединения все данные будут шифроваться, включая имя и пароль пользователя.

Зашифрованное FTP соединение

Рисунок 16

Просмотрев трассировку, Вы увидите разницу. Без использования SSL сессии можно впрямую прочесть логин и пароль пользователя во время передачи данных. В SSL сессии они зашифрованы.

Замечание: В режиме явного SSL до исполнения команды AUTH SSL информация шифроваться не будет.

Свободные FTP серверы доступ

Рисунок 17

Заключение

В статье мы рассмотрели, как можно использовать брандмауэр ISA для публикации обычных PASV FTP серверов и процессов, происходящих при публикации. Также обсудили процедуры, требуемые для публикации защищенных серверов. Один из основных моментов такой публикации — то, что фильтр приложений доступа к FTP в брандмауэре ISA не может обеспечить надзор за уровнем приложений при соединении, так как последний зашифрован при помощи SSL. помните об этом ограничении при создании любого зашифрованного соединения через брандмауэр ISA.

www.isaserver.org








Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]