Введение

В этой части серии статей речь пойдет о различных сценариях настройки безопасности на сайте FTP с помощью SSL сертификата в новой службе публикации FTP для IIS 7.0. Предварительным условием этой статьи является требование, чтобы служба публикации FTP уже была установлена на Windows Server 2008 и FTP сайт уже был настроен. Чтобы посмотреть, как это делается, обратитесь к первой и второй части этой серии. Эта часть будет содержать две основные темы конфигурации, каждая из которых будет состоять из собственных разделов:

• Как настраивать защищенный FTP сайт с помощью коммерческого SSL сертификата
• Как настраивать защищенный FTP сайт с помощью самоподписного (self-signed) SSL сертификата

Новая служба публикации FTP для IIS 7.0 поддерживает добавление SSL сертификата на FTP сайт. Использование SSL сертификата на FTP сайте также известно под названием FTP-S или FTP через Secure Socket Layers (SSL). FTP-S представляет собой RFC стандарт (RFC 4217), в котором SSL сертификат добавляется на FTP сайт, позволяя тем самым выполнять защищенную передачу файлов с помощью уровня TLS (SSL) за протоколом FTP. Используя SSL, передача FTP шифруется и защищается от точки к точке, а весь трафик FTP, таким образом, защищен от перехвата.

Требованием к пользователям будет использование FTP клиента, который способен подключаться к FTP сайту, используя FTP-S. Примерами FTP клиентов с поддержкой FTP-S могут быть бесплатный FTP клиент FileZilla или коммерческий FTP клиент CuteFTP.

Настройка защищенного FTP сайта с использованием коммерческого SSL сертификата

Ниже я опишу, как защищать существующий FTP сайт с помощью SSL сертификата. Сертификат, изданный и используемый ниже, будет создан во внутреннем центре сертификации (internal Certificate Authority), установленный только в целях тестирования, но процесс регистрации протокола на сервере будет одинаков с процессом, когда сертификат заказывается у стороннего поставщика, например Verisign или Godaddy. Можно также создавать самоподписной сертификат непосредственно в IIS, этот процесс будет описано позже в этой статье.

Убедитесь, что ваш FTP работает и что вы можете войти на этот FTP сайт. FTP сайт, используемый в этой статье будет ftp.example.com, как показано ниже.

1. Запустите диспетчера IIS Manager, расположенного в меню Пуск - Администрирование - Internet Information Service (IIS) Manager
2. В диспетчере IIS Manager нажмите на FTP сервер, выделите его и выберите сертификаты сервера (Server Certificates):

   

   Рисунок A: Сертификаты сервера

1. В панели действий выберите опцию Создать запрос сертификата (Create Certificate Request)

1. В появившемся диалоговом окне заполните необходимую информацию о сертификате и нажмите Далее:

1. Выберите стандартного поставщика услуг криптографии (default cryptographic service provider) и нажмите Далее:

1. Сохраните запрос в файл и нажмите Закончить:

Запрос сертификата был выполнен и рассматривается в IIS. Теперь запрос готов к отправке коммерческому стороннему поставщику сертификатов (например, Verisign, Godaddy и т.д.).

Импортирование запроса сертификата

Когда запрос сертификата возвращается от поставщика сертификатов, его нужно импортировать в IIS для работы.

1. В диспетчере IIS Manager нажмите на сервере FTP и выберите сертификаты сервера:

   

   Рисунок B: IIS Manager – Сертификаты сервера

1. Выберите опцию Завершить запрос сертификата (Complete Certificate Request):

1. Выберите Запрос сертификата, который вернулся от поставщика сертификатов, и введите общее имя сайта, а затем нажмите OK:

1. Теперь сертификат будет отображен в диспетчере IIS Manager и готов к использованию:

Включение коммерческого сертификата на FTP сайте

После импортирования SSL сертификат может быть включен и применен к FTP сайту. Перейдите на FTP сайт, на котором вы хотите использовать сертификат.

1. В диспетчере IIS Manager выберите FTP сайт и нажмите Параметры FTP SSL:

   

   Рисунок C: FTP сайт – Параметры FTP SSL

1. Выберите сертификат и параметры SSL политики (Разрешить или требовать SSL - Allow or Required SSL) и нажмите Применить:

1. Теперь SSL сертификат применен к FTP сайту:

Теперь FTP сайт защищен и требует FTP-S подключения к FTP сайту с помощью FTP клиента с поддержкой FTP-S.

Настройка защищенного FTP сайта с помощью самоподписного сертификата SSL

Как говорилось выше, всегда можно создать самоподписной (self-signed) SSL сертификат непосредственно в Internet Information Services (IIS) Manager. Этот процесс быстрее по сравнению с запросом сертификата у стороннего поставщика. Самоподписные сертификаты отлично подходят для тестирования FTP сайтов или внутреннего использования, но их не рекомендуется использовать в производстве.

1. Запустите диспетчера IIS Manager, расположенного в меню Пуск - Администрирование - Internet Information Service (IIS) Manager
2. В IIS Manager нажмите FTP сервер и выберите сертификаты сервера:

   

   Рисунок D: Сертификаты сервера

1. В панели действий выберите опцию Создать самоподписной сертификат (Create Self-Signed Certificate):

1. В появившемся диалоговом окне дайте сертификату имя и нажмите OK:

1. Сертификат создан и готов к использованию:

Следующим шагом будет применение и включение этого сертификата на сайте FTP.

1. Выберите FTP сайт (в этом примере: ftp.example.com) и нажмите Параметры FTP SSL:

1. Выберите сертификат и нужные параметры (Требовать SSL подключения), затем нажмите применить:

Теперь FTP сайт готов к использованию и весь трафик будет зашифрован. Для подключения к FTP сайту сейчас требуется клиент с поддержкой FTPs.

Подключение к FTP сайту

Используйте FTP клиента с поддержкой FTP-S для подключения к FTP сайту, чтобы протестировать подключение. В нижеприведенном примере используется FileZilla. Очень важно настроить параметры FTP сервера на клиенте FileZilla на использование FTPs для подключения, поэтому параметры FileZilla будут “FTPES - FTP over explicit TLS/SSL”.

Рисунок E: FileZilla - FTPS параметры

При первом входе на FTP сайт с самоподписным сертификатом FTP клиент (FileZilla) скажет вам, что издатель сертификата неизвестен. Если вы доверяете ему и хотите его импортировать, нажмите OK.

Теперь FTP сайт готов к использованию в защищенном виде.

Заключение

Благодаря новой службе публикации Microsoft FTP Publishing Service стало возможным устанавливать защищенное FTP решение на основе продукта Microsoft, с интеграцией Internet Information Services и Active Directory. Все FTP коммуникации теперь можно шифровать, так как служба публикации FTP для IIS 7.0 поддерживает FTP-S (FTP по SSL), FTP-S – это стандарт RFC (RFC 4217) для шифрования FTP трафика.

Шифрование FTP трафика можно выполнять с помощью коммерческого или самоподписного SSL сертификата. Все настройки осуществляются на сервере. Клиентам, подключающимся к новому защищенному сайту FTP нужно использовать FTP клиентов, которые поддерживают FTP-S.

Эта заключительная часть серии статей о новой службе публикации FTP для Internet Information Services 7.0 (IIS 7.0).

www.windowsnetworking.com

Популярность: 8% [!]

Tagged with: ftp

Спонсор



ITDoc самый Последний

• День системного администратора
• Создание Skype - SIP гейта
• И так бывает!
• Сценарий атаки на Cisco через SNMP
• Настройка шифрованного туннеля во FreeBSD с использованием IPSEC
• Шифрование диска в (K)Ubuntu для домашнего и бизнес применения
• Защита сетевых сервисов с помощью stunnel
• SSH-туннелинг или замена VPN
• Пример эксплуатации целочисленных переполнений
• Host Fingerprinting с помощью hping
• Как работают эксплоиты на основе heap overflow
• Борьба с DDOS и DOS на уровне nginx
• ICMP-Shell - организация досутпа к хосту используя только ICMP
• Хранение открытых ключей SSH в DNS
• Шифрование дискового раздела во FreeBSD при помощи GEOM-ELI
• Восстановление спрятанных или потерянных данных
• Работа с несколькими сеансами SSH через общий интерфейс
• Методы получения информации об удаленной операционной системе
• Виртуализация в FreeBSD с помощью Jail
• Устанока SpamAssassin (Postfix, MySQL, SSL, WebUsePpref)
• Зашифрованная корневая файловая система в Linux
• SSL соединение при использовании LDAP-сервиса
• “time stamping” сервис на базе патча к openssl и модуля mod_tsa
• Аутентификация в apache через modXLdapAuth
• 10+ способов обрушить mysql-сервер
• Замедление bruteforce атак на SSH с помощью PF
• Краткое введение в SSH
• Фазы (этапы) IPSec
• Обзор антивирусных пакетов для Debian 4.0 r0 (UNIX)
• Установка модуля modsecurity-apache в Linux Slackware
• Зонная Защита Solaris 10
• Безопасность ядра ОС UNIX
• Борьба со спамом на почтовых серверах
• Организация Honeypot в VMware - основы
• Помещение SSH пользователей в изолированное окружение
• Борьба со спамом в картинках при помощи OCR
• OpenBSD + Postfix + Antispam
• Перенаправление портов в SSH
• Аутентификация на SSH сервере с использованием ключей
• Аутентификация на SSH сервере с использованием ssh-agent
• Создание межсетевого экрана с помощью PF OpenBSD
• PF. Часть 2. Расширенная конфигурация
• NetBSD: безопасность процессов и сервисов
• Особенности NetBSD CGD
• OpenBSD: IPSec с нуля за 4 минуты
• IPFW - пример правил фильтрации для ADSL
• Конфигурирование ipfilter в FreeBSD
• IPF Howto
• FreeBSD IPSEC: Racoon + сертификаты X.509
• Шифрование пользовательских данных с помощью EncFS