[運用]
|
 |
|
|
|
対策その1: 「既定の FTP サイト」とは別にFTPサイトを作成する
| 防御効果が期待できる攻撃手法 |
| アカウント/パスワード窃取→不正アクセス |
| 辞書攻撃 |
| 脆弱性攻撃 |
IISのFTPサーバでは、最初から「既定の FTP サイト」というデフォルトのサイトが作成されている。これをそのまま使うのではなく、手動で新たにFTPサイトを作成して利用するのが望ましい。
理由としては、「既定の FTP サイト」には各サイトの識別用番号である「識別子」として、必ず「1」という既知の値が割り当てられていることが挙げられる。識別子は、プログラムやスクリプトから設定変更などの際にサイトを指定するのに使われる。そのため、識別子が既知なサイトは、それだけ攻撃者にとって狙いを定めやすい。一方、新たに作成したサイトにはランダムに生成されたユニークな番号が自動的に割り当てられるため、識別子の特定すなわちサイト指定の攻撃が難しくなる。
 |
||||||
| FTP サイトに割り当てられた識別子の例 | ||||||
| IISマネージャで左ペインのツリーから「FTP サイト」を選んで、右ペインにFTPサイト一覧を表示したところ。 | ||||||
|
新たにFTPサイトを作成するには、「既定の FTP サイト」が運用中かどうかで、以下の手順のいずれかを選ぶ。
■まったく新しいFTPサイトを作成・追加する
「既定の FTP サイト」を運用していない場合、まったく新たにFTPサイトを作成する。それには、IISマネージャの左ペインのツリーから[FTP サイト]を右クリックし、コンテキスト・メニューから[新規作成]−[FTP サイト]を選ぶ。するとFTPサイトの作成ウィザードが起動するので、指示に従って進める。その際、「FTP サイトのコンテンツのディレクトリ」には、FTPサイト専用のディレクトリをあらかじめ作成しておいて、ここで指定する(ディレクトリ位置やアクセス権などの注意点は、後編の「対策その5: FTPサイトのルート・ディレクトリをWebサイトから分離する」で説明する)。また「FTP ユーザーの分離」では、[ユーザーを分離しない]を指定すること。そのほかの設定はデフォルトのままでよい。
 |
||||||
| FTPサイトにおけるユーザーの扱いの設定 | ||||||
|
■「既定の FTP サイト」をコピーした新規FTPサイトを追加する
すでに「既定の FTP サイト」が運用中の場合は、次の手順で「既定の FTP サイト」を新規サイトにそっくりコピーしつつ、識別子だけは新たにユニークな番号に変えることが可能だ。それにはまず、IISマネージャの左ペインで[既定の FTP サイト]を右クリックし、コンテキスト・メニューから[すべてのタスク]−[構成をファイルに保存する]を選び、XML形式の構成ファイルを適当なディレクトリに保存する。
 |
||||||
| 「既定の FTP サイト」の構成ファイル名を指定する | ||||||
|
次に「既定の FTP サイト」のポート番号を変更しておく。こうしないと「既定の FTP サイト」をコピーした直後、2つのサイトが同じIPアドレス/ポートをリッスンすることになり、エラーが発生してサイトが停止してしまう。もちろん、この変更直後から「既定の FTP サイト」には接続できなくなる。
 |
|||
| 重複防止のために「既定のFTPサイト」のFTPポートを変える | |||
| この後、FTPサイトをコピーした直後にリッスン・アドレス/ポートの重複でエラーが発生しないように、ポート番号を変更しておく。 | |||
|
ポート番号を変えたら、IISマネージャの左ペインから[FTP サイト]を右クリックし、コンテキスト・メニューから[新規作成]−[FTP サイト (ファイルから)]を選ぶ。あとは以下の画面のように操作すれば、「既定の FTP サイト」と同じ設定の新規FTPサイトが出来上がる。
 |
|||||||||||||||
| 「既定の FTP サイト」の構成ファイルから新しいFTPサイトを作成する | |||||||||||||||
| これはIISマネージャの[FTP サイト]のコンテキスト・メニューから[新規作成]−[FTP サイト (ファイルから)]をクリックして表示されるダイアログ・ボックス。 | |||||||||||||||
|
新たなFTPサイトのセキュリティ対策などが完了したら、元の「既定の FTP サイト」は停止するか削除してもよい。
 |
||||||
| 「既定の FTP サイト」をコピーしてできた新たなFTPサイト | ||||||
|
次のページでは、接続元IPアドレスや同時接続数などを制限するセキュリティ対策をついて説明する。
 |
 |
| INDEX | ||
| [運用]これだけは押さえておきたいIIS FTPサーバ・セキュリティ(前編) | ||
| 1.FTPサーバに対する攻撃とは? | ||
 |
2.「既定の FTP サイト」は使わない | |
| 3.接続元IPアドレスや同時接続数を制限する | ||
| [運用]これだけは押さえておきたいIIS FTPサーバ・セキュリティ(後編) | ||
| 1.FTPサイトはWebサイトから分離して設置する | ||
| 2.FTPサイトへのアクセスはFTP専用アカウントのみ許す | ||
| 3.FTPサイトのログから攻撃の痕跡を探し出す | ||
 |
||
 |
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
