A partir de Windows 2000 y como un servicio de IIS 5.0 ya disponemos de un servidor FTP integrado con Active Directory.
Vamos a intentar securizarlo un poco.
1. Crear una cuenta personalizada: Creamos una cuenta en AD cuya única función sea el acceso remoto a este servicio, con una contraseña lo suficientemente robusta.
2. Desactivar el acceso Anonimo: Accedemos a las propiedades del servidor FTP y desactivamos la cuenta predeterminada (la de usuario anonimo). En ese momento el control de acceso se basa en las ACL (Access Control List) definidas en el directorio raiz de la carpeta FTP basada en permisos NTFS.
3. Loggear: Activar la opción de Log , de esta manera podremos tener un control de quien accede a nuestro servidor y desde donde, realizar un control periodico de estos archivos para detectar cualquier anomalia. Se recomienda activar todas las opciones para tener mas información.
4. Restringir mediante ACL : Personalizar acceso a esa carpeta (Por defecto c:\inetpub/ftproot) a los usuarios necesarios, únicamente los permisos de Leer, Escribir y Mostrar el contenido de la carpeta.
5. Servidor de destino : Considerar la opción de que los usuarios solo puedan Grabar ficheros en el servidor pero no listarlos. Sitio FTP - Propiedades del Directorio raiz - Desactivar la opcion de Lectura.
6. Activar las cuotas : Activar las cuotas sobre el disco de ubicación del directorio raiz, de esta manera evitaremos que nuestra carpeta crezca en caso de que consiga ser hackeada. Habra que dimensionar esta cuota en funcion de la utilidad del servidor ftp (compartir ficheros/acceso para actualización de una web, etc).
7. Activar los tiempos de Login : Limitar los tiempos de acceso a la carpeta a nuestro horario comercial normal. Con activar un 8:00 am a 20:00 pm, suele ser suficiente.
8. Restringir el acceso mediante IP: Si el sitio FTP va a ser mantenido por alguien externo a nuestra organización limitar el acceso al mismo desde su IP fija externa.
9. Auditar los Inicios de sesión : Panel de control - Herramientas Administrativas - Configuración de seguridad Local - Directivas Locales - Directivas de Auditoria - Auditar Sucesos de inicio de sesion (Correcto y Erroneo). De esta manera prodremos controlar los accesos mediante el visor de sucesos de windows sin tener que ir a los logs del FTP.
Vamos a intentar securizarlo un poco.
1. Crear una cuenta personalizada: Creamos una cuenta en AD cuya única función sea el acceso remoto a este servicio, con una contraseña lo suficientemente robusta.
2. Desactivar el acceso Anonimo: Accedemos a las propiedades del servidor FTP y desactivamos la cuenta predeterminada (la de usuario anonimo). En ese momento el control de acceso se basa en las ACL (Access Control List) definidas en el directorio raiz de la carpeta FTP basada en permisos NTFS.
3. Loggear: Activar la opción de Log , de esta manera podremos tener un control de quien accede a nuestro servidor y desde donde, realizar un control periodico de estos archivos para detectar cualquier anomalia. Se recomienda activar todas las opciones para tener mas información.
4. Restringir mediante ACL : Personalizar acceso a esa carpeta (Por defecto c:\inetpub/ftproot) a los usuarios necesarios, únicamente los permisos de Leer, Escribir y Mostrar el contenido de la carpeta.
5. Servidor de destino : Considerar la opción de que los usuarios solo puedan Grabar ficheros en el servidor pero no listarlos. Sitio FTP - Propiedades del Directorio raiz - Desactivar la opcion de Lectura.
6. Activar las cuotas : Activar las cuotas sobre el disco de ubicación del directorio raiz, de esta manera evitaremos que nuestra carpeta crezca en caso de que consiga ser hackeada. Habra que dimensionar esta cuota en funcion de la utilidad del servidor ftp (compartir ficheros/acceso para actualización de una web, etc).
7. Activar los tiempos de Login : Limitar los tiempos de acceso a la carpeta a nuestro horario comercial normal. Con activar un 8:00 am a 20:00 pm, suele ser suficiente.
8. Restringir el acceso mediante IP: Si el sitio FTP va a ser mantenido por alguien externo a nuestra organización limitar el acceso al mismo desde su IP fija externa.
9. Auditar los Inicios de sesión : Panel de control - Herramientas Administrativas - Configuración de seguridad Local - Directivas Locales - Directivas de Auditoria - Auditar Sucesos de inicio de sesion (Correcto y Erroneo). De esta manera prodremos controlar los accesos mediante el visor de sucesos de windows sin tener que ir a los logs del FTP.
10. Utilizar password Robustos : Activar la opcion de complejidad de password mediante las directivas de seguridad en local.
11. Activar el bloqueo de cuentas : Las utilidades de Crackeo de contraseñas pueden lanzar ataques mediante diccionarios. Para evitar este tipo de ataques deberemos bloquear la cuenta despues de un numero de intentos, durante un tiempo y resetarla al tiempo.
No hay comentarios:
Publicar un comentario