मैं एक FTP सर्वर का मालिक हूं, और पोर्ट 21 की जरूरत है, मैं इसे कैसे सुरक्षित रख सकता हूं?

2

मैं सोच रहा था, क्योंकि मुझे अपने राउटर पर मेरे पोर्ट 21 को खोलने की जरूरत है और इसके काम करने के लिए मेरा फ़ायरवॉल है, लेकिन फिर ऐसा लगता है जैसे यह हमले के लिए चौड़ा है। क्या कोई तरीका है जिससे मैं इसे सुरक्षित रख सकूँ? सौभाग्य से, मेरे राउटर पर मेरे पास केवल उस कंप्यूटर के लिए 21 पोर्ट खुला है जिसमें ftp सर्वर है, इसलिए यह मेरे पूरे नेटवर्क से समझौता नहीं कर रहा है, बस ftp सर्वर है। मेरे पास Windows XP है, इसलिए यह मुझे और भी अधिक चिंतित करता है क्योंकि XP ​​के लिए अधिक हमले किए जाते हैं, मुझे यकीन है।

security  port  ftp 
नथानिएल हर्शलर
स्रोत
विंडोज एक्सपी के लिए वास्तव में हमले हैं। लेकिन वे आपके कंप्यूटर तक नहीं पहुँच सकते; यदि आपने केवल पोर्ट 21 को अग्रेषित किया है, तो बाहर से आने वाली एकमात्र चीज एफ़टीपी सर्वर है, कि अक्सर-शोषित एसएमबी या नेटबीआईओएस घटकों (जो, वैसे, एक्सपी फ़ायरवॉल में डिफ़ॉल्ट रूप से अवरुद्ध हैं )।
grawity

जवाबों:

4

एफ़टीपी एक सुरक्षा जोखिम है क्योंकि यह सादा / पाठ में लॉगिन जानकारी (पासवर्ड सहित) प्रसारित करता है, इसलिए आपको इसे एन्क्रिप्शन में लपेटने की आवश्यकता होगी। यदि आपको विशेष रूप से FTP का उपयोग करने की आवश्यकता है, तो OpenVPN इसे पूरी तरह से एन्क्रिप्टेड स्ट्रीम में आपके लिए बहुत अच्छी तरह से लपेट सकता है:

  OpenVPN (स्वतंत्र और खुला स्रोत)
  http://www.openvpn.net/index.php/open-source.html

आपके सर्वर और सभी क्लाइंट्स को आपके FTP सर्वर का उपयोग करने की आवश्यकता होगी, फिर OpenVPN स्थापित करना होगा।

बेशक, आपको एफटीपी के अधिक सुरक्षित संस्करणों में से एक का उपयोग करना आसान लग सकता है जिसे SFTP या FTPS के रूप में जाना जाता है क्योंकि कई एफ़टीपी ग्राहकों ने इसके लिए अंतर्निहित समर्थन किया है। वास्तव में एक अच्छा है FileZilla जो पूर्ण और स्वतंत्र ग्राहक और सर्वर अनुप्रयोगों की आपूर्ति करता है, और प्रासंगिक RFC के साथ अनुपालन करता है:

  FileZilla (मुक्त और खुला स्रोत)
  http://www.filezilla-project.org/

रैंडोल्फ रिचर्डसन
स्रोत
3

जटिलता और सुविधा के विभिन्न स्तरों के साथ, इस समस्या के कई समाधान हैं।

  1. सुलभ खातों पर सुरक्षित पासवर्ड। यदि आप अच्छे पासवर्ड का उपयोग करते हैं, तो संभावना है कि लोग तब तक नहीं मिलेंगे जब तक कि कुछ अन्य भेद्यता नहीं है।
  2. FTP को केवल कुछ IP पतों से ही एक्सेस करने दें। यदि आप जानते हैं कि आप अपनी मशीन को विशिष्ट स्थानों से एक्सेस करने जा रहे हैं, तो बस उन सभी को कनेक्ट करने और ब्लॉक करने की अनुमति दें।
  3. लिनक्स सिस्टम में DenyHosts नाम की कोई चीज होती है जो IP को रोकती है जो आपकी मशीन के प्रति दुर्भावनापूर्ण रूप से काम करती है।
  4. पोर्ट नॉकिंग पोर्ट के पूर्व निर्धारित सेट में किए गए कनेक्शन प्रयासों की एक श्रृंखला के बाद ही पोर्ट तक पहुंच सकेगा। उदाहरण के लिए, पोर्ट 20, 35, 16 और 1 पर कनेक्ट करने का प्रयास करें, फिर पोर्ट 21 खोला जाएगा। मुझे यकीन नहीं है कि अगर विंडोज के लिए इसे लागू किया जाए तो ...

शुभकामनाएँ!

रयान
स्रोत
आइटम 2 के बारे में: एक निश्चित आईपी पते तक पहुंच सीमित करना एक अच्छा कदम है, लेकिन यह तीसरे पक्ष को डेटा ट्रांसफर को देखने से रोकता नहीं है, यही कारण है कि एन्क्रिप्शन इतना महत्वपूर्ण है। चूंकि एफ़टीपी एन्क्रिप्टेड नहीं है, एक तृतीय पक्ष पर्यवेक्षक डेटा की एक प्रति प्राप्त कर सकता है क्योंकि यह स्थानांतरित हो गया है। इसके अलावा, यदि कोई थर्ड पार्टी क्लाइंट और सर्वर के बीच राउटर का नियंत्रण हासिल करती है, तो उनके पास आपके क्लाइंट को कहीं से भी एक्सेस करने के लिए अनुमत क्लाइंट IP के लिए पैकेट को फिर से रूट करने का विकल्प है (राउटर के नियंत्रण के साथ, वे आसानी से पैकेट को सूँघ भी सकते हैं। लॉगिन जानकारी के साथ-साथ अनएन्क्रिप्टेड डेटा स्ट्रीम पर डेटा देखने के लिए)।
Randolf रिचर्डसन
आइटम 4 के बारे में: यह अस्पष्टता से सुरक्षा है, हालांकि यह थोड़ी मदद कर सकता है (और यह एक दिलचस्प तकनीक है)। बेशक, अगर कोई तीसरे पक्ष के पर्यवेक्षक "पोर्ट नॉकिंग" तकनीक का पालन कर सकते हैं और बाद में चरणों को दोहरा सकते हैं। जहां "पोर्ट नॉकिंग" का उपयोग किया जाता है, ओटीपी (वन-टाइम-पासवर्ड) प्रकार की तकनीकों की अत्यधिक अनुशंसा की जाती है, ताकि किसी दिए गए दस्तक का क्रम केवल एक ही उपयोग तक सीमित हो।
रैंडोल्फ रिचर्डसन 25:11
@ Randolf: यह अश्लीलता से कड़ाई से सुरक्षा नहीं है। हां, यह सेवा स्वयं का विज्ञापन नहीं करती है, लेकिन इसे ऐसी मशीन के लिए भी खुला नहीं होना चाहिए, जिसने दस्तक नहीं दी है। यह स्पष्ट रूप से एक अच्छा पासवर्ड और सार्वजनिक-निजी कीपर के रूप में सुरक्षित नहीं है, लेकिन यह शायद ही वैसा ही है जैसा कि आपके एफ़टीपी पोर्ट को 21000 पोर्ट पर स्थापित करना है।
लुकासा
2
मुझे लगता है कि "पोर्ट नॉकिंग" पासवर्ड से अश्लीलता से अधिक सुरक्षा नहीं है। यह अभी भी एक पासवर्ड है, यह पात्रों के बजाय केवल कनेक्शन प्रयासों से बना है।
फॉशी
0

FTP को वास्तव में दो पोर्ट की आवश्यकता होती है, 21 मुख्य नियंत्रण पोर्ट है, और 20 डेटा के लिए है।

एफ़टीपी एक अजीब प्रोटोकॉल है, यह इंटरनेट के दिनों में बहुत पहले बनाया गया था, इससे पहले फायरवॉल और सुरक्षा के बारे में सोचा गया था। जैसे कि, जैसा डिज़ाइन किया गया है, यह फायरवॉलिंग के लिए बेकार है।

क्लाइंट से कनेक्शन के लिए ftp सर्वर पोर्ट 21 पर सुनता है। लेकिन डेटा दूसरे पोर्ट पर चला जाता है। 'क्लासिक' एफ़टीपी में, सर्वर सर्वर पर क्लाइंट से कुछ पंचांग पोर्ट पर सर्वर 20 पर एक कनेक्शन खोल देगा । आजकल आप ऐसा नहीं कर सकते हैं, सर्वर से क्लाइंट का कनेक्शन फ़ायरवॉल द्वारा ब्लॉक किया जाएगा या क्लाइंट NAT के कारण अनुपलब्ध हो सकता है।

निष्क्रिय एफ़टीपी में, सर्वर क्लाइंट से कनेक्ट होने के लिए कुछ पोर्ट पर एक नया सुनने वाला सॉकेट बनाता है। अब आप कुछ गतिशील रूप से बदलते पोर्ट को फ़ायरवॉल करने का प्रयास कर रहे हैं।

कि, और जैसा कि अन्य ने उल्लेख किया है कि पासवर्ड प्लेनटेक्स्ट में है, मैं दृढ़ता से http / https का सुझाव दूंगा। यह बहुत साफ है, जब तक आपको वास्तव में ftp की आवश्यकता नहीं है। उस स्थिति में, मैं केवल उन चीज़ों को रखूँगा जो गुमनाम ftp के साथ सहज होंगी।

अमीर होमोलका
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.