Установка и настройка FTP-серверов

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ГОСУДАРСТВЕНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

«Ставропольский государственный университет»

ФАКУЛЬТЕТ ФИЗИКО-МАТЕМАТИЧЕСКИЙ

КАФЕДРА ОРГАНИЗАЦИИ И ТЕХНОЛОГИИ ЗАЩИТЫ  ИНФОРМАЦИИ

РЕФЕРАТ

по дисциплине

«Инженерно-техническая защита информации»

на тему:

"Установка и настройка FTP-серверов"

Ставрополь, 2011 г.

FTP-серверы.

FTP Название:
File Transfer Protocol

Уровень (по модели OSI):
Прикладной

Семейство:
TCP/IP

Создан в:
1971 г.

Порт/ID:
21/TCP для команд, 20/TCP для данных, 49152-65534/TCP динамически

Назначение протокола:
Передача файлов

Спецификация:
RFC 959

Основные реализации (клиенты):
Смотри Сравнение FTP-клиентов

Основные реализации (серверы):
ProFTPd, Pure-FTPd, vsftpd, WU-FTPD, FileZilla Server, IIS, CrossFTP Server, wzdftpd

Расширяемость:
Доп. команды

FTP (англ. File Transfer Protocol — протокол передачи файлов) — протокол, предназначенный для передачи файлов в компьютерных сетях. FTP позволяет подключаться к серверам FTP, просматривать содержимое каталогов и загружать файлы с сервера или на сервер; кроме того, возможен режим передачи файлов между серверами (см. FXP).

FTP является одним из старейших прикладных протоколов, появившимся задолго до HTTP, в 1971 году. До начала 90-х годов на долю FTP приходилось около половины трафика в сети Интернет. Он и сегодня широко используется для распространения ПО и доступа к удалённым хостам.

Протокол FTP относится к протоколам прикладного уровня и для передачи данных использует транспортный протокол TCP. Команды и данные, в отличие от большинства других протоколов передаются по разным портам. Порт 20 используется для передачи данных, порт 21 для передачи команд.

Протокол не шифруется, при аутентификации передаёт логин и пароль открытым текстом. Если злоумышленник находится в одном сегменте сети с пользователем FTP, то в случае построения сети на хабе (если сеть строится на свитчах по умолчанию это исключено, но злоумышленник может перехватить траффик если сменит mac адрес своего сетевого адаптера, на mac адрес адаптера жертвы, поскольку коммутация выполняется на 2ом уровне модели OSI (по mac адресам), используя пассивный сниффер, он может перехватить логин и пароль пользователя, или, при наличии специального ПО, получать передаваемые по FTP файлы без авторизации. Чтобы предотвратить перехват трафика, необходимо использовать протокол шифрования данных SSL, который поддерживается многими современными FTP-серверами и некоторыми FTP-клиентами.

Процесс нешифрованной авторизации проходит в несколько этапов (символы \r\n означают перевод строки):

Установка TCP-соединения с сервером (обычно на 21 порт) Посылка команды USER логин\r\n Посылка команды PASS пароль\r\n

Если к серверу разрешён анонимный доступ (как правило, лишь для загрузки данных с сервера), то в качестве логина используется ключевое слово «anonymous» или «ftp», а в качестве пароля — адрес электронной почты:

USER anonymous\r\n PASS someone@email\r\n

После успешной авторизации можно посылать на сервер другие команды.

Основные команды
ABOR — Прервать передачу файла
CDUP — Сменить директорию на вышестоящую.
CWD — Сменить директорию.
DELE — Удалить файл (DELE filename).
HELP — Выводит список команд принимаемых сервером.
LIST — Возвращает список файлов директории. Список передается через соединение данных (20 порт).
MDTM — Возвращает время модификации файла.
MKD — Создать директорию.
NLST — Возвращает список файлов директории в более кратком формате чем LIST. Список передается через соединение данных (20 порт).
NOOP — Пустая операция
PASV — Войти в пассивный режим. Сервер вернет адрес и порт к которому нужно подключиться чтобы забрать данные. Передача начнется при введении следующих команд RETR, LIST и тд.
PORT — Войти в активный режим. Например PORT 12,34,45,56,78,89. В отличие от пассивного режима для передачи данных сервер сам подключается к клиенту.
PWD — Возвращает текущую директорию.
QUIT — Отключиться
REIN — Реинициализировать подключение
RETR — Скачать файл. Перед RETR должна быть команда PASV или PORT.
RMD — Удалить директорию
RNFR и RNTO — Переименовать файл. RNFR — что переименовывать, RNTO — во что.
SIZE — Возвращает размер файла
STOR — Закачать файл. Перед S

Устанавливаем и настраиваем FTP-сервер. Часть 1
Что представляет собой FTP и зачем он нужен? Расскажем o тонкостях работы FTP-серверов, а также о вопросах безопасности, связанных с особенностями функционирования этого протокола.

По мере повышения доступности интернета и локальных сетей у многих пользователей возникает желание или необходимость обмениваться файлами с другими людьми. В принципе, это можно сделать и с помощью "общего доступа", используя встроенные возможности операционной системы. Однако через интернет это опасно и требует установки VPN, а в локальной сети - не позволяет лимитировать скорость скачивания и ваш компьютер может быть почти парализован при активной скачке больших файлов. Чтобы избежать всех этих проблем следует поставить FTP-сервер, который позволит гибко управлять объемами трафика, централизовано манипулировать списками доступных файлов и пользователей, а также использовать для скачивания файлов программы с докачкой после обрыва (например, ReGet).

Чтобы дальше были понятны некоторые настройки, рассмотрим, что же из себя представляет алгоритм работы FTP.

Протокол FTP (File Transport Protocol), созданный специально для передачи файлов, работает по двум портам. Клиент коннектится к серверу (по умолчанию на 21-й порт) и передает ему команды, а для передачи файлов сервер коннектится к клиенту, и уже по этому каналу передаются файлы. Такой режим (сервер коннектится к клиенту) называется "PORT", и его невозможно использовать пользователям выходящим в интернет через NAT, поэтому был придуман режим, где для передачи файлов клиент сам устанавливает второе соединение - это называется "PASV" или "пассивный FTP-протокол".

Microsoft Internet Explorer только начиная с версии 5.5 научился работать в PASV-режиме (соответствующую опцию можно включить в его параметрах). Однако режим "PORT" сдаваться не стал - в продвинутых FTP-клиентах (как, например, CuteFTP, FTP-Voyager и даже Total Commander) можно указать диапазон портов для PORT-режима, которые форвардить на NAT к вашей машине и эти клиенты будут просить сервер коннектится именно на эти порты.

Есть два варианта передачи данных - Binary и ASCII. В режиме "Binary" данные передаются любые, но немного медленнее; в режиме "ASCII" могут передаваться только текстовые файлы. Режим передачи выбирается клиентом, и обычно автоматически устанавливается ASCII-режим для TXT-, HTML-, INI-файлов и прочих явно текстовых. Лучше всегда и для всех файлов использовать режим "Binary".

FTP может иметь разные расширения в плане защиты от перехвата трафика. Защита от перехвата может быть реализована двумя методами, в зависимости от требуемого уровня безопасности.

Во-первых, можно использовать зашифрованные пароли (OTP-MD5), в результате чего по каналу связи будет передан не пароль, а его хэш, причем с добавлением времени - поэтому злоумышленники не смогут узнать пароль, а за счет добавления времени повторная отправка копии хэша от злоумышленников не примется. Это не позволит злоумышленникам войти на персональный FTP-аккаунт.

Во-вторых, возможно шифрование всего FTP-трафика (FTP SSL/TLS). Это не позволит злоумышленникам получить все те файлы, которые вы передавали. Однако отмечу, что стандартные клиенты, изначально присутствующие в Windows (Internet Explorer и ftp.exe), никаких этих методов защиты от перехвата не имеют, поэтому пользователи вашего FTP-сервера должны будут использовать альтернативные FTP-клиенты - CuteFTP или FTP-Voyager.

Что ж, начальные сведения об особенностях FTP-протокола мы получили, а теперь настало самое время перейти к созданию и настройке собственного FTP-сервера. О том, как проделать эту операцию на примере программы Serv-U, мы поговорим во второй части нашего материала.

Устанавливаем и настраиваем FTP-сервер. Часть 2
От теории - к практике. Создаем собственный FTP-сервер на примере программы Serv-U. Установка, настройка, управление пользователями, защита пароля и данных, а также многое другое.

Итак, после короткого знакомства с FTP-протоколом в первой части нашего материала мы незамедлительно приступаем к установке и настройке собственного FTP-сервера. Сразу отметим, что в Windows 2000/XP имеется встроенный FTP-сервер (Панель управления -> Установка и удаление программ -> Установка компонентов Windows -> Internet Information Services -> Служба FTP). Однако, он очень примитивен, неудобен, и небезопасен - поэтому его мы ставить не будем.

А ставить мы будем самый мощный и многофункциональный FTP-сервер Serv-U - большинство FTP-сайтов известнейших фирм работают именно на нем. Старайтесь не использовать старые версии, так как в них существуют уязвимости.

Итак, после короткого знакомства с FTP-протоколом в первой части нашего материала мы незамедлительно приступаем к установке и настройке собственного FTP-сервера. Сразу отметим, что в Windows 2000/XP имеется встроенный FTP-сервер (Панель управления -> Установка и удаление программ -> Установка компонентов Windows -> Internet Information Services -> Служба FTP). Однако, он очень примитивен, неудобен, и небезопасен - поэтому его мы ставить не будем.

А ставить мы будем самый мощный и многофункциональный FTP-сервер Serv-U - большинство FTP-сайтов известнейших фирм работают именно на нем. Старайтесь не использовать старые версии, так как в них существуют уязвимости.

Serv-U состоит из двух частей - Serv-U Administrator для настройки и управления FTP-сервером, и собственно FTP-сервера. Serv-U Administrator может быть установлен и на другом компьютере, через него можно удаленно управлять FTP-сервером Serv-U. Для управления служба FTP-сервера использует TCP-порт 43958. Поэтому, во избежание взлома, установите на управление пароль (в меню "Set/Change Password"), желательно длинный. Опция "Start automatically (system service)" позволяет автоматически запускать FTP-сервер, причем он будет работать независимо от того, кто на компьютере залогинен. В ином случае FTP-сервер будет запускаться только когда вы запустите Serv-U Administrator.

Теперь настраиваем брандмауэр. Нам необходимо разрешить входящие и исходящие соединения по TCP-протоколу для процессов Servuadmin.exe и Servudaemon.exe .

Следуем дальше по дереву настроек Serv-U Administrator, в "Settings -> General". Тут есть смысл включить как минимум три важные опции. "Block FTP_bounce attacks and FXP" - это защита от передачи трафика между двумя FTP-серверами (клиент злоумышленника может установить сеанс от имени другого сервера, запустить перекачку и уйти, а вы будете впустую забивать место на диске и терять купленный лимит трафика). "Block users who connect more than ..." - защита от попыток подбора пароля какого-либо FTP-аккаунта. "Block anti time-out schemes" - защита от попыток обойти лимиты времени сессии, данные тому или иному аккаунту. Также тут можно ограничить общую скорость приема (upload), отдачи (download) и количество одновременно обслуживаемых пользователей (это глобальная настройка, далее мы сможем такие лимиты создать отдельно для разных аккаунтов).

Теперь создаем сервер. Для этого проходим по дереву настроек в "Domains", нажимаем правую кнопку мыши и выбираем во всплывающем "New Domain". В окне настроек поле "Domain IP Address" оставляем пустым, "Domain name" - указываем какое-нибудь имя, например "FtpName" (оно необходимо только нам), "Domain port number" - это порт, на котором будет отвечать FTP-сервер, пока укажем стандартное значение - 21. "Domain type" указывает где будут храниться настройки сервера, лучше их хранить в INI-файлах.

Теперь сервер создан (по-английски - "Domain"). Можно организовать несколько серверов (в этой ветке дерева настроек), на разных портах, только смысла для обычных пользователей в этом нету.

В дереве настроек в разделе "Domains -> FtpName" включаем поддержку шифрования "Security -> Allow SSL/TLS ans regular sessions". Сейчас немного отвлечемся от самого сервера и разберемся с портами и IP.

Во-первых, серверу необходимо знать свой внешний (интернетовский) IP-адрес. Если адрес статический, то все просто - вписываем его в "Domain IP address". А вот если IP-адрес динамический (как, например, в "Стрим"), то придется воспользоваться службами DynamicDNS, где вам присвоят доменное имя, которое будет указывать на ваш IP, постоянно отслеживать и обновлять его изменения.

В частности, такая бесплатная услуга есть на No-IP.com , там вы можете создать своему компьютеру какой-нибудь домен 3 уровня в интернете, например, mycomputer.no-ip.com . Там же можно скачать клиент