Én és az FTP

A történet nagyjából két éve kezdődött.
Én is mint sokan mások kénytelen vagyok FTP szervert üzemeltetni. Miután elsősorban Microsoft technológiákat használok, ezeket ismerem valamilyen szinten, a feladataimat elsősorban a Windows beépített szolgáltatásaival próbálom megoldani. Ebből adódóan FTP szervernek is a Windows beépített FTP szerverét választottam (Itt még az IIS6 FTP-ről beszélek). Ennek ugyanakkor nagyon nem vagyok elégedett a biztonságával (FTP és biztonság, fábol vaskarika, tudom): Nyílt jelszóküldés, AD Authentikáció (tehát olyan accountal is lehet authentikálni amit én nem szeretnék), stb. Végigjártam az összes lehtséges biztonsági reszelést, de semelyik nem oldotta meg azt a problémát, hogy szótár alapon folyamatosan próbálkoznak a jelszó megszerzésével. Szerettem volna egy megoldást arra, hogy a szerver tiltsa, azokat az IP-ket melyekről mondjuk 5 hibás bejelentkezési kísérlet történik. Beépített megoldás nem volt erre, így fejlesztettem egyet (ezt a megoldást, mint forráskódot, telepíthető eszközt a későbbiekben leírtak miatt nem fogom közölni).
A megoldás lényege az volt, hogy beállítom az FTP szerveren, hogy ODBC-n egy oda telepített SQL 2005 Express adatbázisba logoljon, amire került egy trigger, ami figyelte a sikertelen bejelentkezéseket, és egy IPSEC szabállyal letiltotta a forrás címet, ha a kísérletek száma meghaladta a limitet, továbbá létrehozott egy scheduled task-ot ami 24 óra elteltével törölte az IPSEC szabályt feloldva ezzel a tiltást.
Céges átszervezések és időhiány miatt ez a megoldás sosem került bevezetésre (szerencsére közben nem törték fel a szervert). Néhány héttel ezelőtt az informatikai átalakításunk miatt, úgy gondoltam, hogy újra nekiugrok az FTP kérdésnek. Miután 2008-at írunk, az IIS7-hez külön letölthető FTP szervert választottam. Ez ugyen tud például SSL-es FTP-t (ez most SFTP vagy FTPS, így hirtelen nem tudom fejből, keverem a kettőt. Smile), ugyanakkor ez a biztonsági megoldás nem ad választ a fenti prolémára. Ezért nekiláttam, hogy az ODBC-s, SQL-es, IPSEC-es megoldásomat implementáljam erre a szolgáltatásra.
Nem sikerült.
Miért? Ezen piszokul meglepődtem, ez ugye egy nagyban "fejlesztett" szolgáltatás. És tényleg. Nagyot fejlesztettek rajta. Kifejlesztették belőle az adatbázisba logolás lehetőségét. Sad
Kicsit félretettem megint az FTP kérdést, és pénteken elővettem újra. Félretettem a Microsoftos megoldásokat és elővettem a FileZilla FTP szervert (ez ugye még mindíg egy ingyenes sztori). És láss csodát! Ez adatbázisba logolni ugyan nem tud, de tudja mind az SSL-es FTP-t mind az IP cím tiltást (és mindkettőt külső segítség nélkül).
Azt, hogy mennyire lesz használható a gyakorlatban, még nem tudom, de a jelek bíztatóak.
Kategória: Computers and Internet | Közvetlen link a könyvjelzőhöz.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s