保护企业FTP安全的最佳实践方案描述

来源 :网络与信息 | 被引量 : 0次 | 上传用户:hy3508
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  本文关键词:安全管理;FTP;杀毒软件
  本文主要向大家阐述的是安全技巧之保护企业FTP安全的最佳实践方案,以下就是相关内容的具体描述。希望你能从中获得自己想要的东西。虽然各种威胁在持续发展演变,但是文件传输协议(通常称为FTP)基本上还是跟几年前一样,而且还在大范围地使用。
  FTP主要用来传输大文件,它就是为了这个目的设计的。FTP是一种客户端服务器(主从模式)协议,它使用控制和数据两条通道进行文件传输。控制通道用来进行身份认证,并给服务器发送命令。该协议本身不支持加密,因此,在控制通道中发送的所有流量都是直接发送的,或者说是未加密的,这是该协议的弱点之一。在企业中,FTP服务通常被用来处理那些不敏感的内容,而且跟其他敏感信息系统都是完全隔离的。人们还得保证FTP服务能够及时更新。配置错误的以及结构不合理的FTP服务可能会成为企业中重要的安全漏洞。
  企业确保FTP安全的最佳做法是什么?FTP安全状况达到可以传输敏感数据的地步了吗?或者说有什么好的方法可以让FTP更安全?如果FTP还不够安全,不足以用来传输敏感数据,那么有哪些协议可以替代它呢?我们会在本文中回答这些问题。
  FTP无处不在,这一点不可否认。就像其他广泛使用的技术一样,FTP也开始成为攻击者易于攻击的目标。这么多年来,攻击者已经有了许多使用FTP以及利用FTP漏洞的经验。有关FTP服务安全性的讨论很激烈,一般来说,人们没有就哪种方法能最好地保护FTP安全达成共识。主要是由于商业需要,才让这项服务继续存在,而没有使用其他更加安全的替代产品。一般来说,任何使用或者考虑使用FTP的企业都应该先问自己以下三个问题:
  (1) 我们真的需要FTP吗?
  (2) 我们怎样才能安全地设置FTP(我将会解释这个自相矛盾的情况)?
  (3) 有没有既安全又容易使用的FTP替代产品?
  第一个问题很有趣。从技术上讲,答案是否定的。其实市面上有许多更加安全的其他技术,我们将在后面讨论。然而,实际的答案却是肯定的,因为FTP应用非常广泛,而且具有跨平台的支持性,大多数企业都被迫选择支持FTP。
  我花了相当多的时间对过滤设备(即防火墙)上的FTP连接进行故障排除,了解到FTP的控制和数据通道设计不是很适合在数据包穿越多个不同的网络设备环境中使用。
  正如我先前提到的,FTP是一个客户端服务器协议,使用单独的控制和数据通道进行文件传输。控制通道用来进行身份认证,并给服务器发送命令。这种身份认证机制比较脆弱,因为认证信息没有经过加密就直接发送到服务器,使得这种网络传输很容易被窃听。在一般的FTP实施过程中,一些典型的安全漏洞让这个问题更加复杂化。
  尽管企业FTP安全存在弊端,但是许多企业还是选择它进行大容量的数据传输。大多数工作站、应用程序,甚至网络过滤设备都内置了对FTP的支持。其他产品可能会更加安全,但是它们还是无法与FTP的便利性和低成本相抗衡。
  让我们暂且假设FTP是唯一的选择。那么,我们可以来仔细研究几种能够让这项服务达到一定安全性的方法。先从网络设计阶段开始,我们可以把FTP服务限制在专用虚拟局域网网段上。通常需要从你的交换机、路由器或者防火墙设备中分出一个单独的专用网段来管理FTP服务。这种做法有多方面的目的,不仅能使你专门使用防火墙的一部分来防护这个网段,并进行策略(控制源IP)控制和简化故障排除(主动/被动连接),而且会给你提供一个阻塞点(choke point),从而监视和使用网络安全设备,比如IDS或者IPS。在这种情况下,阻塞点方法可以非常方便地进行监测和预防,你能够监视利用FTP服务(比如IDS)相关漏洞而发起的攻击,或者主动拦截利用IPS对FTP服务的攻击等。
  下一步,我们需要侧重于让管理FTP的服务器本身变得更为强大(尽管我在上文中提到首先要进行网络设计,但是我不建议在所有的安全强化步骤完成之后才对服务器进行处理)。我建议大家不仅仅要考虑应用最新补丁,按照因特网安全中心(CIS)的标准来设置服务器,还要考虑更多的东西。当受到攻击的时候,FTP服务往往会引起严重的附加损失。这是因为,在许多情况下,FTP服务是具有高优先级的过程(比如:作为根用户),如果被攻击者成功利用的话,攻击者会得到系统级的权限。
  在服务器上隔离FTP服务,可以很大程度地防止利用这种漏洞攻击。这与基于网络的隔离有所不同,这种隔离是通过处理服务的硬件实现的。FTP隔离可以通过在虚拟环境(开源Xen系统管理程序)中运行FTP服务或者改变根目录(chroot)来实现。在改变根目录这种方法中,管理员能够在处理过程中改变磁盘根目录,这基本上限制了超出自身限制范围的操作以及访问文件系统敏感区域的能力。改变根目录可以用几种方法实现,有些例子用“/etc/FTPchroot”为特定用户确定一个chroot环境,有些则使用“FTP-chroot”登录。这两种方法都建议FTP后台程序在ls支持下重新编译,所以没有特殊的依赖关系。
  目前,有一种易于安全维护的FTP替代品,叫做Secure Shell(SSH)。与FTP不一样,SSH以加密的形式发送所有内容。SSH使用加密的传输服务,并且把一个文件传输代理放在最高层,避免了FTP服务普遍的安全缺陷和复杂性。为了简单起见,我认为SCP(主要是文件传输)、SFTP(运行在SSH上面的、全新的文件传输协议)和以SSH为通道的FTP会话,每种服务都使用了SSH,它们都可以作为FTP可以接受的、更加安全的替代品。在这个分类中比较奇怪的是FTPS(SSL上的FTP)。说实话,我认为FTPS作为FTP替代品不可行,因为它与防火墙不兼容。使用更加安全的协议需要进行服务隔离,并且要采取适当的服务器安全强化措施。
  FTP另外一个有趣的替代品可能就是数字内容传输服务了,它能够提供安全的文件传输,又能简化管理。它往往是基于云的服务,其中包括文件跟踪、传输通知、流程集成工具以及可编写脚本的API等功能。虽然这些服务原本是为了数字内容的传输而设计的,但我想它们也可以为企业提供好的文件传输服务。
  FTP是一个敏感的话题。有些用户喜欢它的便利性,但是总的来讲,网络和企业FTP安全团队并没有被这一点所迷惑。人们能够指出FTP的多项缺点,并且指出可以替代它的解决方法。有许多方法可以与FTP共存,但如果你的企业更适合使用像SSH这样更加安全的产品,我强烈建议你用它取代FTP。
其他文献
近年来,多媒体技术和IT技术向电视领域的融合和滲透推动了广播电视技术的飞速发展。先进的设备和技术不断更新,这就给从事广播电视事业的技术人员提供了广阔的想象空间和施展才能的平台。就播出而言,以视频服务器为核心并辅之以计算机网络控制的硬盘播出系统在国内各级电视台普及开来,硬盘播出已成为电视台播出系统的必然发展趋势。与传统的以录像机为主的播出系统相比,硬盘播出系统更为灵活、高效;但由于对计算机网络及控制
"在电子商务逐渐成为主流的时候,黑色产业链也瞄上电子商务,全世界网络贸易欺诈的犯罪涉嫌金额在去年首次超过了贩毒。"日前,在"2010诚信中国年"论坛上,阿里巴巴首席执行官卫哲的
1 引言    随着骨干网络容量的日益增大以及城域接入能力的多样化,对传输网络具备良好自适应能力的需求逐步提上日程,对网络带宽进行动态分配并具有高性价比的解决方案已是人们追求的目标。  ASON(自动交换光网络)正是在这样的市场环境下应运而生的新一代光网络技术。在ASON网络中,业务可实现动态连接,时隙资源也可进行动态分配,其原理是在现有的光网络上增加一层控制平面,并利用这层控制平面来为用户建立连
你肯定遇到过这样的情况:QQ或MSN上的好友要给你传文件.对方明明说文件已经发出来了,可你就是收不下来,要么网速过慢。要么根本看不到对方发出的文件。好吧.现在轮到你把文件发送
本文关键词:802.11v;无线网络  无线网络的普及,让用户对诸如Wi-Fi、802.11a/b/g逐渐了解。当然,近年来的新宠是802.11n,作为Wi-Fi的下一代标准,其技术优势已毋庸置疑。与之前的标准相比,802.11n能够提供5倍的传输速率与2倍的吞吐量,同时在稳定性与安全性方面也有了极大的提高。  不过,最近走入大家视野的是802.11v。这个始于2004年年初的新无线标准将在201
也许你对自己电脑系统的网络防卫措施自信满满,自认为自己的系统不可能被黑客攻破。不过按照Pwn2Own黑客大赛的冠军得主Charlie Miller的说法,你的自信心可能有点过头了,更糟糕
数据丢失防御技术部署是非常耗费资金的,并且十分具有挑战性,特别是对于前期缺乏适当规划的部署。前期合理部署主要需要考虑以下几个问题:
通过一个开放的WiFi网络访问互联网是危险的行为,因为你并不知道谁是服务提供商,并且你将会连接到何处。在机场里,你可以通过机场的免费WiFi来收发邮件或者更新你的Facebook,
编者按:不同于专业的反病毒软件,近年来,以提供木马病毒检测、系统修复、漏洞修补、浏览器反劫持等功能的专业安全工具,成为了很多用户、辅助杀毒软件使用的安全产品。如360安全卫士、瑞星卡卡等软件,也得到了很多用户的认可,快速检测恶意威胁,保持系统的稳定运行……  日前,360安全卫士正式发布了7.0正式版本,软件使用全新UI界面引擎,支持换肤,有效优化软件主程序,大幅提高软件启动速度,降低整体资源占用
根据IP网络的主要特点,重点从网络带宽、压缩技术、多播技术、传输协议、QoS等五个方面论述了基于IP网络构建视频会议系统的技术要求。