12 گام برای بیمه کردن FTP از سرقت
برگرفته از مجله علم الکترونیک و کامپیوتر-شماره 384-مرداد -,1389-وحید گودرزی
بي توجهي مديران شبكه در تنظيمات سرويس ها گرچه گاهاً ساده می باشد ولی مي تواند امنيت سيستم تحت كنترل او را تا مرز فروپاشي پيش ببرد.
در اين مقاله به ذكر چند نمونه از اين بي احتياطي ها در خصوص سرویس FTPكه متاسفانه عملاً به طور قابل ملاحظه اي مشاهده مي شود مي پردازيم و اميدوارم خواننده گرامي اين نكات را هميشه مدنظر داشته باشد.
مجوز دسترسي به اين سرويس معمولاً در اختيار مديران و كارمندان بخش هاي كوچكتر شبكه قرار مي گيرد تا بتوانند به كمك آن عمليات Update سامانه های اينترنتي و انتقال فايلها را بر روي سرور (Server) انجام دهند ولي آيا فايلهائي كه بواسطه اين دسترسي به كاربران نمايانده مي شود در همين سطح دسترسي هستند ؟ براي روشن شدن اين موضوع يك مثال ساده مي زنيم. فرض كنيد شما از طرف يكي از كارمندان واحد IT شركت ، دسترسي به يكي از سرورها را با استفاده از FTP بدست آورده ايد تا بتوانيد گزارشات موجود بر روي آن را برداريد . آيا همه مثل شما درستكار هستند و به پوشه ها و فايلهاي ديگر سرك نمي كشند ؟ آيا آنقدر معتمد بوده ايد كه مطمئن باشند شما براي سرگرمي و يا اشتباهاً فايلهاي ديگر را Rename يا Delete نمي كنيد ؟ آيا بر روي رايانه شما نرم افزارهاي جاسوسي نصب نشده است تا اين حساب كاربري را بربايد؟
اين مسئله در ظاهر شايد چندان مهم نباشد ولي وقتي شخصی مطلع از مباحث نرم افزاري به چنين سطحي از دسترسي برسد خود را صاحب همه چيز مي يابد چرا كه او خوب مي داند كمي تغييير در صفحات و جايگزيني آنها چه مزايائي را براي او به دنبال خواهد داشت و مهمتر اينكه در چنين فضاهائي شما با كمي گشت و گذار به اطلاعاتي دست خواهيد يافت كه بطور عادي پيدا كردن آنها به مدت زمان بیشتری نیاز خواهد داشت.برای نمونه فرض كنيد به علت غيبت مدير يكي از سايتهاي شركت به شما يك دسترسي موقت داده مي شود تا با كپي كردن يك فايل بر روي سرور ، وب سايت آنها را بروز كنيد اگر از اصول برنامه نويسي با خبر باشيد قطعاً نام فايل web.config را شنيده ايد فايلي كه تمام مجوزهاي دسترسي به بانك اطلاعات (Data Base) بر روي آن ذخيره شده است و فقط با مشاهده آن مي توانيد كلمه و رمز عبور را حفظ كنيد و شاید هم به دليل كنجكاوي شخصي اين فايل را يك بار مشاهده و براي روز مبادا اطلاعات آن را ذخيره كنید.
به طور كلي براي حفظ امنيت در اتصالهائي با سرويس FTP موارد زير توصيه مي شود.
1- تعداد كاربران مجاز براي دسترسي را محدود كنيد ولي اگر مي دانيد كه اجباراً نياز به دسترسي را بايد براي كاربران زيادي اعمال كنيد اين كار را در نهايت حوصله و دقت انجام دهيد. تجربه نشان داده است كه داشتن تعداد كاربر بيشتر با سطوح دسترسي مشخص به مراتب ايمن تر از كاربران كم با سطوح دسترسي کلی تر مي باشد.
متاسفانه در بسياري از سازمانها مديران شبكه بمنظور تسهيل كار، براي هر بخش از سيستم يك حساب كاربري ايجاد مي كنند و در اختيار کارمندان قرار مي دهند و در اين بخشها ناچاراً همه كاربران با یک حساب كاربري به فعاليت مي پردازند.
2- ممکن است بر روی یک سرور فایلهای چندین سامانه نگهداری شود، پس در نهایت دقت هر کدام از آنها را پوشه بندی کنید و برای هر کدام یک حساب FTP مجزا بسازید.
3- براي كاربران جدید همه چيز را از نو تنظيم كنيد. حتي پوشه هاي دسترسي، چرا که اكثر حفره هاي امنيتي در تنظيم نكردن پوشه هائي است كه هر كاربر مجاز به تغییر در آنها مي باشد.
4- از كليه اعمال كاربران از بدو ورود تا خروج Log تهيه شود.شاید بهتر باشد که این سرویس را از طریق Control Panel به کاربران بدهید تا کنترل جامع تری بر کاربران داشته باشید.
5- بر روی سرور و همه رایانه هایی که دسترسی به FTP دارند آنتی ویروسی نصب کنید و آن را همیشه بروز نگه دارید تا مبادا تروجان و یا هر نرم افزار جاسوسی و یا حتی یک ویروس ساده به اطلاعات صدمه بزند.
6- اگر مجبور هستید اجازه دسترسی به کاربران ناشناس را صادر کنید، بهتر است تنظیمات را بگونه ای اعمال کنید تا کاربران ناشناس (anonymous) فقط اجازه مشاهده و برداشت اطلاعات از پوشه های خاصی که فاقد هرگونه اطلاعات فنی از شبکه شماست را داشته باشند و همچنین نتوانند فایلی بر روی سرور کپی کنند.
7- براي هر كاربري كه ادعا مي كند به اين سرويس نياز دارد ، حسابي تهيه كنيد تا نياز او را برطرف كند چرا كه بسيار مشاهده شده اين كاربران بر اثر بي توجهي مديران سيستم از حساب كاربري دوستان خود بمنظور حل مشكلات خود كمك مي گيرند كه اين موضوع خود از دغدقه هاي مديريت و كنترل كاربران مي باشد در حقيقت با بروز چنين تخلفي Log هاي كاربران دچار خطا مي شود و كاربري كه شايد نيازي آن چناني به امكانات FTP ندارد با سطح دسترسي دوستان خود كه چه بسا بسياري از مجوزها را دارا باشد به شبكه و اطلاعات آن سرک می کشد.
8- در بعضي از سازمانهاي دولتي به اشتباه از سرويس FTP براي ايجاد يك فضاي مشترك بين پرسنل استفاده مي شود و وقتي مدير شبكه اين موضوع را متوجه مي شود كه با پيغام Low Disk Space برخورد مي كند براي جلوگيري از اين تخلفات بهتر است حجم Upload كاربران را مشخص كنيم البته ناگفته نماند كه در بعضي از شركتها سرورهائي با ميزان فضاي زياد خريداري مي شود و براي تمام پرسنل حسابهاي كاربري با حجم Upload مشخص ايجاد مي شود تا اطلاعات مهم خود را بر روي آن ذخيره كنند.
9- بستگی به ساعات کاری کاربران می توانید زمان اتصال هر کاربر به سیستم را مشخص کنید تا کاربران در ساعات غیر کاری اقدام به اتصال بی مورد نکنند.
10- زمان Time Out سرویس دهنده را بگونه ای تنظیم کنید تا اگر کاربری به هر دلیلی بیش از زمان مشخصی از سیستم استفاده نکرد بطور خودکار ارتباط وی قطع شود.
11- اگر امنیت برای شما بسیار مهم است می توانید شماره IP کاربران مجاز را تعریف و بر اساس آن کنترلهای لازم را انجام دهید.
12- شما می توانید برای جلوگیری از رمزگشایی حسابهای کاربری توسط نرم افزارهای جاسوسی امکان بلوک کردن حساب کاربری بعد از 3 خطا را عملی کنید. همچنین می توانید با فعال نمودن Passwords Must Meet Complexity Requirements کاربران را مجبور به حفظ کردن رمز عبورهای دشواری بکنید که گاهاً خود آنها را فراموش کنند!
شايد پياده كردن اين تنظيمات کمی وقت گير باشد ولي براي حفظ امنيت دسترسی، الزامي هستند. بعضي اوقات ديده شده است كه مدير شبكه با اعمال فيلترينگ سرويس FTP را به كل غير فعال كرده است تا هيچ تهديدي براي جائي وجود نداشته باشد ولي اين روش در حقيقت پاك كردن صورت مسئله مي باشد و از طرفي خود معضلاتي را بوجود مي آورد. بايد بپذيريم كه سرويس FTP به دليل سهولت و سادگي در استفاده يكي از پر طرفدارترين سرويسها و امكانات بشمار مي رود و همين موضوع نيز آن را خطرناك كرده است . بايد در نظر داشت كه حذف اين سرويس در يك سازمان تقريباً غير ممكن است. در حال حاضر بيشتر نرم افزارهاي تحت شبكه براي انتقال فايلها از این سرويس كمك مي گيرند که فيلترينگ براي آنها نيز مشكل ساز خواهد بود.
