Обзор возможностей FTP сервиса (IIS 7.5)

Именно FTP сервис! Старый добрый протокол FTP, существующий уже много лет, приобрел новое дыхание с выходом Windows 2008 R2/Windows 7. Сервис приобрел большое количество нововведений, которые помогут пользователям размещать свой контент не только удобно и быстро, но и намного безопасней.

Установка сервиса FTP

Сервис FTP тесно интегрирован с IIS7.5. Он имеет единый с IIS административный интерфейс. C выходом Windows 2008 R2 сервис не нужно отдельно скачивать с сайта Microsoft, как это было с версией сервиса FTP 7.0[1]. Его можно установить путем добавления нового сервиса к роли «Веб-сервер (IIS)» в оснастке «Диспетчер сервера» (Рисунок 1).

Рисунок 1. Запуск мастера добавления новых сервисов
Нужно отметить, что с точки зрения безопасности лучше устанавливать не полную версию Windows, а версию под название Windows Server Core. Это дает сокращение поверхности атаки за счет узконаправленных установок тех сервисов, которые действительно необходимо. К примеру, сервис FTP который вы установили, находится на сервере вашей конторы. При недостатке операционных ресурсов серверов, на этот сервер захочется поставить еще какие-нибудь дополнительные сервисы или приложения. Время принятия такого решения достаточно короткое. Ведь на сервере есть знакомый интерфейс и можно хоть сейчас начинать эксперименты. В случае же если на сервере установлена версия Windows Server Core в распоряжении системного администратора есть только командная строка, и чтобы установить новое приложение, отличного от стандартных Microsoft Windows, необходимо будет написать сценарий установки, прочитать большое количество документации, что увеличивает время принятия решения и, конечно же, удельный вес. Если же такое решение в конце-концов будет принято – оно будет продумано от начала до конца. Как можно заметить, преимущество такого подхода налицо.
Необходимо выбрать «Служба FTP» и «Расширяемость FTP». Компонент «Служба FTP» — обеспечивает возможность публикации по протоколу FTP на сервере. Компонент «Расширяемость FTP» реализует следующие новые функции FTP сервиса — настраиваемые поставщики. Поддерживаются два новых вида поставщиков аутентификации – пользователи ASP.NET и пользователи IIS.
После установки сервиса FTP, сайт по умолчанию не создается, его нужно добавлять вручную. Самый легкий способ сделать эту операцию – через оснастку «Диспетчер служб IIS» (Рисунок 2).

Рисунок 2. Добавление нового сайта FTP

На следующем шаге выбираем имя FTP-сайта и папку физического расположения контента (Рисунок 3). Общая рекомендация папке не должна быть на системном диске.

Рисунок 3. Мастер добавления нового сайта FTP

Далее на экране «Параметры привязки и SSL» можно выбрать к какому IP-адресу будет привязан создаваемый FTP-сайт. При добавлении нового сайта FTP, также можно выбрать еще одну новую возможность – поддержку протокола SSL. Это новая возможность существенно повышает безопасность соединения (Рисунок 4). Здесь есть три выбора:
1. Без SSL – отключить поддержку шифрования по протоколу SSL на данном FTP сайте.
2. Разрешить – включить поддержку шифрования по протоколу SSL на данном FTP сайте в канале управления и в канале данных, если выбирается сертификат.
3. Требовать – обязательно наличие шифрования по протоколу SSL в канале управления и в канале данных.

Рисунок 4. Параметры привязки и SSL нового FTP-сайта
На последнем шаге матера добавления FTP-сайта необходимо определить какие группы пользователей будут иметь доступ. Разрешения которое доступны это «Чтение», и для к примеру разработчика сайта корпорации – разрешение на «Запись» (Рисунок 5).

Рисунок 5. Сведения о проверке подлинности и авторизации нового сайта FTP.

Управление FTP сайтом.

Сервис FTP управляется через «Диспетчер служб IIS». Можно заметить, что теперь FTP не управляется отдельно, а представлен как полноценный сервис тесно интегрированный с IIS 7.5. Это дает преимущество быстрого развертывания и управления сайтами под управлением протокола FTP (Рисунок 6).

Рисунок 6. Управление сайтом FTP

В функции «Проверка подлинности» есть возможность настроить методы аутентификации. Традиционными являются метод анонимной аутентификации и обычной проверки подлинности с помощью учетных записей Windows. С выходом IIS7.0 сами методы стали компонентами, и можно выбрать устанавливать ли поддержку данного метода, или удалить поддержку вообще. Это существенно повышает безопасность сервиса FTP, путем снижения поверхности атаки. Также появилась возможность добавления новых поставщиков аутентификации отличных от традиционных учетных записей – пользователи ASP.NET с проверкой подлинности с помощью форм, и административные пользователи IIS, учетные записи которых хранятся на уровне самого сервера.
В функции «Параметры SSL FTP» можно настроить параметры шифрования в канале управления и в канале данных по протоколу SSL. Причем с помощью расширенной настройки политики шифрования SSL можно к каналу управления и каналу данных задавать разные настройки. К примеру, установить жесткое требование шифрования для канала управления и разрешение шифрования в случае возможности для канала данных.
В IIS 7.5 появилась поддержка сообщений об ошибках для локальных пользователей Event Tracing for Windows (ETW). Так как FTP сервис является тесно интегрированным, то данная поддержка есть и в нем. Можно выбрать и сконфигурировать с помощью функции «Ведение журнала FTP» (Рисунок 7). Можно выбрать любое поле, которое будет интересно администратору при разрешении возникающих проблем.

Рисунок 7.Выбор детальной информации

Еще одним из нововведений является потрясающая возможность интеграции с Windows Firewall. Ранее настроить пассивный режим работы по протоколу FTP было сложно, что приводило к тому, что администраторы временно выключали Windows Firewall, для обеспечения работоспособности FTP сайта с надеждой разобраться позднее. В пассивном режиме используется произвольный порт передачи данных. С помощью функции «Поддержка брандмауэра FTP» [2] данная задача значительно упростилась. Теперь, достаточно выбрать диапазон портов в поле «Диапазон портов». В случае если включена поддержка протокола шифрования SSL, нужно будет дополнительно настроить внешний IP-адрес брандмауэра. Это необходимо для того, чтобы принимать пассивные подключения по протоколу FTPS [3]. Стоит отметить, что появилась расширенная поддержка протокола IPv6.
Следующим шагом настройки будет конфигурация Windows Firewall. Нужно будет создать правила для того чтобы брандмауэр пропускал трафик защищенный по протоколу FTPS. Для этого в командной строке запущенной с правами администратора надо набрать следующие команды:
1. netsh advfirewall firewall add rule name=»FTP for IIS7″ service=ftpsvc action=allow protocol=TCP dir=in
2. netsh advfirewall set global StatefulFtp disable
После выполнения данных команд появляется правило «FTP for IIS7», которое можно посмотреть и при необходимости исправить как с командной строки, так и в оснастке «Брандмауэр Windows в режиме повышенной безопасности» — правила для входящих подключений.
В функции «Обзор FTP каталога» появилась новая возможность показывать виртуальные каталоги для пользователей, что существенно повышает гибкость использования самого FTP сервиса, с помощью выбора опции «Виртуальный каталог». Также можно сконфигурировать использование механизма квотирования c помощью сервиса File System Resource Manager (FSRM), с помощью выбора опции «Доступно байт» [4].
В функции «Изоляция пользователей FTP», можно изолировать пользователей (Рисунок 8). Основное принятие решения следующее:
1. Не изолировать пользователей. Начинать сеансы пользователей в:
— корневом каталоге FTP – выбор обозначает, что при подключении к FTP-сайту пользователей будет перенаправлен в папку указанную в параметра сайта «Физический путь». Все сеансы FTP будут также начаты в этом каталоге.
— каталог имени пользователя – выбор обозначает, что при подключении к FTP-сайту пользователей будет перенаправлен в папку пользователя и сеансы также не нужно изолировать друг от друга. Все сеансы FTP будут начинаться или на физическом каталоге пользователя или на виртуальном (данная возможность доступна с IIS 7.0)
2. Изолировать пользователей. Ограничить пользовательский доступ к следующим каталогам:
— Пользователи имеют доступ только к своим каталогам (отключить глобальные виртуальные каталоги) – чтобы изолировать сеансы пользователей FTP, предоставив пользователям доступ только к физическим или виртуальным каталогам, имя которых соответствует именам учетных записей пользователей FTP. Пользователь видит только собственный корневой каталог FTP и, следовательно, не может переместиться выше по дереву каталогов.
— Пользователи имеют доступ только к своим физическим каталогам (включить глобальные виртуальные каталоги) – чтобы изолировать сеансы пользователей FTP, предоставив пользователям доступ только к физическим каталогам, имя которых соответствует именам учетных записей пользователей FTP. Пользователь видит только собственный корневой каталог FTP и, следовательно, не может переместиться выше по дереву каталогов.
— Пользователи имеют доступ только к своим каталогам, настроенным в Active Directory — чтобы изолировать сеансы пользователей FTP, предоставив пользователям доступ только к домашнему каталогу, настроенному для учетной записи каждого пользователя FTP в Active Directory. Когда объект пользователя находится в контейнере Active Directory, свойства FTPRoot и FTPDir извлекаются для обеспечения полного пути к корневому каталогу пользователя. Если службе FTP удается получить доступ к этому пути, пользователь размещается в своем домашнем каталоге, который является для данного пользователя корневым каталогом FTP. Пользователь видит только собственный корневой каталог FTP и, следовательно, не может переместиться выше по дереву каталогов. Пользователь получает отказ в доступе, если какое-либо из свойств, FTPRoot или FTPDir, не существует, или если пара этих свойств не представляет действительный и доступный путь.

Рисунок 8. Выбор параметров изоляции пользователей

Заключение.
С выходом IIS7.5 появилась возможность полноценно использовать сервис FTP v7.5, а именно – полноценно работать по протоколу IPv6, быт уверенным в защите передаваемых на FTP сайт данных по протоколу FTPS, появились новые расширенные методы аутентификации с большими возможностями гибкой настройки, за счет интегрирования и унифицированного интерфейса администратора, появилась возможность сокращения времени облуживания, квотирование помогает рационально использовать ресурсы сервера, расширенная настройка брандмауэра значительно облегчает настройку FTP сервиса в пассивном режиме. Эти полезные нововведения делают сервис FTP в составе сервера IIS 7.5 достойным выбором при решении вопросов передачи хранения и обеспечения непрерывной защиты информации при передаче данных. НЕ остается сомнений – у сервиса FTP есть перспективы долгого жизненного цикла.

Используемая литература:
1. FTP 7 for IIS 7
http://learn.iis.net/page.aspx/356/ftp-7-for-iis-7/
2. Configuring FTP Firewall Support
http://technet.microsoft.com/ru-ru/library/dd464003(WS.10).aspx
3. RFC 4217 — Securing FTP with TLS
http://www.faqs.org/rfcs/rfc4217.html
4. Using FSRM Folder Quotas with FTP
http://learn.iis.net/page.aspx/307/using-fsrm-folder-quotas-with-ftp/

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

w

Connecting to %s

%d такие блоггеры, как: