رویس ftp در حالت عادی اطلاعات را بصورت cleartext ارسال و دریافت می کند و این موضوع آنرا بسیار ناامن می کند.
اطلاعات رد و بدل شده در سرویس ftp در صورت عدم اعمال راهکارهای امنیتی به راحتی برای sniffer های موجود در شبکه قابل دسترسی و استفاده خواهد بود.
اطلاعات رد و بدل شده در سرویس ftp در صورت عدم اعمال راهکارهای امنیتی به راحتی برای sniffer های موجود در شبکه قابل دسترسی و استفاده خواهد بود.
امنیت در FTP
Encryption : استفاده از سیستم هایی مانند TLS در FTP باعث رد و بدل و شدن امن اطلاعات می شود.
محدودیت دسترسی : اعمال کردن محدودیت دسترسی با آی پی در سرویس FTP می تواند بسیار موثر باشد.
محدودیت دسترسی : اعمال کردن محدودیت دسترسی با آی پی در سرویس FTP می تواند بسیار موثر باشد.
توجه 1 : در سرویس های اشتراکی امکان اعمال کردن محدودیت دسترسی با آی پی در سرویس FTP مقدور نیست و مشکلات زیادی را بوجود می آورد.
توجه 2 : برای فعال کردن Encryption و ftpS نیاز به باز بودن پورت 990 می باشد
– توجه داشته باشید که در حالت Encryption و ftpS سرعت انتقال اطلاعات پایین و اگر حجم و زمان درخواست ها بالا باشد ممکن است اتصال به اجبار قطع شود.
توجه 2 : برای فعال کردن Encryption و ftpS نیاز به باز بودن پورت 990 می باشد
– توجه داشته باشید که در حالت Encryption و ftpS سرعت انتقال اطلاعات پایین و اگر حجم و زمان درخواست ها بالا باشد ممکن است اتصال به اجبار قطع شود.
برای فعال کردن Encryption بصورت زیر عمل کنید.
– وارد WHM شده و به مسیر Home » Service Configuration » FTP Server Configuration بروید.
– در صفحه ظاهر شده مقدار TLS Encryption Support را بر روی Optional قرار داده و بر روی Save کلیک کنید.
– پورت 990 را در فایروال باز کرده و آنرا restart کنید. اینکار با توجه به فایروال مورد استفاده می تواند متفاوت باشد که در WHM/cPanel معمولا از CSF استفاده می شود.
– وارد WHM شده و به مسیر Home » Service Configuration » FTP Server Configuration بروید.
– در صفحه ظاهر شده مقدار TLS Encryption Support را بر روی Optional قرار داده و بر روی Save کلیک کنید.
– پورت 990 را در فایروال باز کرده و آنرا restart کنید. اینکار با توجه به فایروال مورد استفاده می تواند متفاوت باشد که در WHM/cPanel معمولا از CSF استفاده می شود.
– در دایرکت ادمین با نسخه 1.47 امکان Encryption بصورت رسمی و قابل ترجیح استفاده می شود اما باز هم امکان استفاده به حالت عادی وجود دارد و نیازی به انجام کاری نیست.
توجه : در هنگام اتصال به ftp و استفاده از حالت امن Encryption ، می بایست در تنظیمات نوع امن اتصال را انتخاب کنید.
برای محدود کردن سرویس ftp به آی پی بصورت زیر عمل کنید.
– اینکار با چند روش قابل انجام است که روش زیر راحت ترین و بهترین روش است.
– اینکار با چند روش قابل انجام است که روش زیر راحت ترین و بهترین روش است.
– پورت 21 را در فایروال خود ببندید.
– اگر از قبل مقدار 30000:35000 را وارد کرده اید آنرا نیز حذف کنید.
– آی پی های مجاز به استفاده از سرویس ftp را در فایروال خود allow کنید. بهتر است allow کردن آی پی تنها بر روی پورت 21 باشد.
– در این صورت تمام آی پی های غیر از لیست allow امکان اتصال به ftp را نخواهند داشت.
– اگر از قبل مقدار 30000:35000 را وارد کرده اید آنرا نیز حذف کنید.
– آی پی های مجاز به استفاده از سرویس ftp را در فایروال خود allow کنید. بهتر است allow کردن آی پی تنها بر روی پورت 21 باشد.
– در این صورت تمام آی پی های غیر از لیست allow امکان اتصال به ftp را نخواهند داشت.
توجه : توصیه می شود برای اتصال ftp از اطلاعات اصلی اکانت (نام کاربری و رمز عبور) مخصوصا در حالت ” محدودیت دسترسی با آی پی ” استفاده نشود.
مثال : فرض کنید از کنترل پنل سی پنل در حالت ” محدودیت دسترسی با آی پی ” در سرویس ftp استفاده می کنیم.
در اینصورت اگر sniffer بتواند به اطلاعات اساسی مانند آی پی یا دامنه ، نام کاربری و رمز عبور دسترسی داشته باشد به راحتی می تواند با پورت 2082 وارد سی پنل شود و در اینصورت مشکلی حادتر بوجود می آید. (در صورت استفاده شخصی یا محدود ، امکان محدود کردن دسترسی به آی پی برای سرویس سی پنل و هر پورت دیگری وجود دارد اما بدلیل اینکه ارتباطی به بحث جاری ندارد به آن پرداخته نشده است.)
برای رفع این مشکل بهتر است از اطلاعات اکانت ثانویه و وابسته استفاده کنید. در اینصورت نام کاربری و رمز عبور با اطلاعات سرویس اصلی برابر نیست و بدلیل اینکه اطلاعات ثانویه تنها در ارتباط با ftp قابل استفاده است امنیت بالایی خواهد داشت.
مثال : فرض کنید از کنترل پنل سی پنل در حالت ” محدودیت دسترسی با آی پی ” در سرویس ftp استفاده می کنیم.
در اینصورت اگر sniffer بتواند به اطلاعات اساسی مانند آی پی یا دامنه ، نام کاربری و رمز عبور دسترسی داشته باشد به راحتی می تواند با پورت 2082 وارد سی پنل شود و در اینصورت مشکلی حادتر بوجود می آید. (در صورت استفاده شخصی یا محدود ، امکان محدود کردن دسترسی به آی پی برای سرویس سی پنل و هر پورت دیگری وجود دارد اما بدلیل اینکه ارتباطی به بحث جاری ندارد به آن پرداخته نشده است.)
برای رفع این مشکل بهتر است از اطلاعات اکانت ثانویه و وابسته استفاده کنید. در اینصورت نام کاربری و رمز عبور با اطلاعات سرویس اصلی برابر نیست و بدلیل اینکه اطلاعات ثانویه تنها در ارتباط با ftp قابل استفاده است امنیت بالایی خواهد داشت.
