[IIS FTP] Hoe beveiligen?

Ik gebruik zowiezo die FTP NIET. Hij is brak, werkt niet met files > 4 gb ed...

Makkelijkste = filezilla server, prachtige product.

Maar die is ook te bruteforcen.

Kan je niet in een firewall (ik neem aan dat al de requests vanaf het zelfde ip komen) na x aantal connecties in x aantal tijd blocken?

Serv-U is een leuk pakket alleen niet gratis. De IIS ftp is echt crap imo, Het werkt wel maar heeft low security. Filezilla heb ik ook mee gewerkt en werkt idd ook erg fijn

Och, IIS FTP kun je redelijk beveiligen. Ikzelf gebruik het als eigen FTP server en alleen geautoriseerde IP adressen mogen een connectie leggen.

Tepel schreef op dinsdag 13 maart 2007 @ 09:26:
Probleem:

We hebben een rackserver aan het internet hangen. Alles werkt naar behoren (bijna alles). Het probleem wat we nu tegenkomen is dat de FTP server (het appje uit de IIS suite) constant gehamert wordt door lui die de boel willen bruteforcen. Nu is de kans klein dat ze dat lukt, maar de baas wordt er natuurlijk niet blij van

Account locking (Security Policy) inschakelen heeft niet mogen baten, denk dat IIS FTP zich daar weinig van aan trekt. Iets anders zinnings heb ik niet kunnen vinden. Dus, is het uberhaupt mogelijk om IIS te beveiligen of moeten we een ander FTP pakket op de bak zetten.

Ik zelf denk de laatste, wat jullie?

En je dacht dat het verplaatsen van een ftp verhielp dat mensen proberen te connecten en te kijken wat ze kunnen. Elke ftp server krijgt meerdere pogingen per dag voor hun kiezen, onafhankelijk van welke ftp server je gebruikt. Dit zijn gewoon scripts, die uitgevoerd worden.

IIS ftp is redelijk simpel te beveiligen, voor zover je ftp kunt beveiligen natuurlijk. Gewoon geen anonymous toestaan en als je dat wel toestaat, zorgen dat anonymous alleen read rechten heeft (op ntfs niveau dus). Verder accounts aanmaken die alleen op de ftp dir toegang hebben en verder nergens (niet in de users group laten staan, maar in de guests group gooien en guests geen logon locally rechten geven).

edit: IIS ftp is totaal niet brak. Het is gewoon onkunde van de mensen die het configureren

[ Voor 3% gewijzigd door Verwijderd op 13-03-2007 11:45 ]

Tepel schreef op dinsdag 13 maart 2007 @ 12:17:
[...]


- Anonymous staat uit
- Homedir van de server loopt dood met alleen lezen rechten
- Virtual directories voor elke user
- Ik zal nog even kijken naar de bestandsrechten, heb het vooralsnog geregeld via IIS zelf en niet op NTFS niveau

Het probleem is dus dat mn baas het niet prettig vindt dat elke dag er een 500+ pogingen gedaan worden om in te loggen op de ftp server. Enige oplossing zal dan dus een firewall wezen, in ieder geval bedankt.

Ook me een firewall ervoor zullen er xx aantal pogingen tot gedaan worden per dag omdat er genoeg lui met poortscanners hele segmenten op het internet lopen af te zoeken dagelijks opzoek naar die ene ftp server die niet goed dicht staat om deze vervolgens gelijk vol te plaatsen met meestal niet legale software, films etc.

Het probleem is dus dat mn baas het niet prettig vindt dat elke dag er een 500+ pogingen gedaan worden om in te loggen op de ftp server. Enige oplossing zal dan dus een firewall wezen, in ieder geval bedankt.

jammer voor je baas, maar geen enkele firewall of ftp server gaat dit voorkomen.
Je staat verbinding toe van internet naar je FTP server. oftewel een firewall zet deze port open en heb je dus nog steeds de scans naar open ftp servers.

Als je baas het een onveilig idee vind, moet tie geen ftp toestaan. FTP is bij design niet het veiligste protocol. Zeker passive ftp heeft behoorlijk wat problemen wat dat betreft. Je zou een alternatief kunnen gebruiken, SFTP. maar ook hier kan iedereen een inlogpoging doen en met bruteforce het en en ander uitproberen (maar je data/username/pw is encrypt en veel minder gescan naar sftp).

Tepel schreef op dinsdag 13 maart 2007 @ 09:26:
Het probleem wat we nu tegenkomen is dat de FTP server (het appje uit de IIS suite) constant gehamert wordt door lui die de boel willen bruteforcen.

Dit is voor mij ook de reden geweest om van IIS af te stappen. Ik heb voor Servu als vervanger gekozen, je kan hier aangeven dat na een x aantal mislukte inlogpogingen, het ip-adres vanwaar dit gebeurt, geblocked wordt voor een zelf in te stellen duur.
Je kan natuurlijk nooit voorkomen dat men probeert een verbinding te maken met je FTP server, maar je voorkomt wel dat ze een effectief verbinding krijgen.

TheZoo schreef op woensdag 14 maart 2007 @ 12:30:
[...]

Dit is voor mij ook de reden geweest om van IIS af te stappen. Ik heb voor Servu als vervanger gekozen, je kan hier aangeven dat na een x aantal mislukte inlogpogingen, het ip-adres vanwaar dit gebeurt, geblocked wordt voor een zelf in te stellen duur.
Je kan natuurlijk nooit voorkomen dat men probeert een verbinding te maken met je FTP server, maar je voorkomt wel dat ze een effectief verbinding krijgen.

Tja ooit wel eens een script geschreven die dit doet in IIS. Gebruik dat overigens niet meer omdat het ook klanten blokten die hun pw weer eens vergeten waren. In iis zal je dit wel zelf moeten maken idd.

Verwijderd schreef op dinsdag 13 maart 2007 @ 16:33:
[...]


jammer voor je baas, maar geen enkele firewall of ftp server gaat dit voorkomen.
Je staat verbinding toe van internet naar je FTP server. oftewel een firewall zet deze port open en heb je dus nog steeds de scans naar open ftp servers.

Als je baas het een onveilig idee vind, moet tie geen ftp toestaan. FTP is bij design niet het veiligste protocol. Zeker passive ftp heeft behoorlijk wat problemen wat dat betreft. Je zou een alternatief kunnen gebruiken, SFTP. maar ook hier kan iedereen een inlogpoging doen en met bruteforce het en en ander uitproberen (maar je data/username/pw is encrypt en veel minder gescan naar sftp).

Met Sftp heb je het probleem inderdaad ook. Andere optie is om een andere poort te gebruiken.

Verwijderd schreef op woensdag 14 maart 2007 @ 13:55:
[...]


Tja ooit wel eens een script geschreven die dit doet in IIS. Gebruik dat overigens niet meer omdat het ook klanten blokten die hun pw weer eens vergeten waren. In iis zal je dit wel zelf moeten maken idd.

Hmm, interesting. Het kan dus wel. Toch eens induiken dan, gewoon om weer wat bij te leren.

De de opties die inderdaad veel al goed werken zijn:
1. FTP op een alternatieve port draaien
2. IP-restricties opleggen voor toegestane verbindingen of bij 3 fouten het IP blokkeren voor xx minuten
3. Gebruik maken van SSL/TLS encryptie & certificaten voor toegang tot de FTP.

optie 1 is geen serieuze oplossing. Da's leuk voor thuis, maar een commerciele ftp is dit gewoon geen optie. De meeste bedrijven doen al moeilijk om ftp open te zetten (en terecht ), laat staan dat ze voor elke ftp die ze moeten benaderen een andere port gaan openen.

Verwijderd schreef op donderdag 15 maart 2007 @ 11:36:
optie 1 is geen serieuze oplossing. Da's leuk voor thuis, maar een commerciele ftp is dit gewoon geen optie. De meeste bedrijven doen al moeilijk om ftp open te zetten (en terecht ), laat staan dat ze voor elke ftp die ze moeten benaderen een andere port gaan openen.

Met optie 1 voorkom je de meeste pogingen al.... 99% van alle scriptkiddies zal geautomatiseerde scriptjes met een tool als dfind.exe gebruiken om dit soort dingen af te lopen. Verder heb ik ook nergens gelezen dat dit een zware commerciele toepassing gaat zijn.

Verder je opmerking op het feit dat ze een poort open moeten zetten; deze gaat ook geen vlieger op omdat als je aan filesharing wil gaan doen je toch via een poort toegang moet gaan geven tot een server. Of dat nou via SFTP, SCP of FTP is dat maakt op dat moment geen fluit uit... Er moet toch een poort open.

Als het alleen om wat files te kunnen uploaden gaat is het vrij makkelijk om het op een andere port te draaien en daarmee de bulk van de scans te voorkomen. Tis inderdaad geen ideale oplossing maar wel zeker een oplossing als je het aantal inbraakpogingen wilt gaan minimaliseren. Waarom zou je je FTP op port 21 draaien en daarmee die informatie weggeven als je het eenvoudig ook op een andere poort kan draaien en daarmee ook de scriptkiddies het een stuk moeilijker kan maken?

ik bedoel niet een port openzetten aan de kant waar een server staat, maar aan de client kant.

Een beetje serieus bedrijf regelt uitgaand verkeer ook en staan niet per definitie (connectie naar een)ftp toe, laat staan dat ze dit op een niet standaard port toestaan.

Ik zie natuurlijk wel in dat het een goede beveiliging is voor die scriptkiddies, maar het is gewoon niet toepasbaar voor een commerciele ftp.

Ik gebruik zelf SFTP (VShell SSH server). Als authenticatie gebruik ik public keys. Dit houdt die bruteforce attacks niet tegen (die genereren nu gemiddels 2MB per dag aan logging) , maar binnen komen zullen ze niet omdat username/password gewoon uit staat.

De nieuwe VShell versie ondersteund ook RADIUS authenticatie. Op die manier kan je de mensen laten authenticeren met bijvoorbeeld One-Time-Passwords (SecurID) als alternatief voor public keys.