搭建安全的FTP伺服器（SERV-U SSH）zz

通過FTP網站下載檔案是目前最常用的傳輸檔案方法之一，特別是對於企業使用者來說，公司建立一個專門的FTP伺服器提供給員工，讓他們通過這個伺服器共用資源是最便利的辦法。不過作為網路系統管理員的你是否真正瞭解FTP的安全呢？不要以為設定個複雜的系統管理員帳戶密碼就可以萬事無憂了，也不要以為將系統安裝上最新的補丁或者選擇最新版SERV-U等FTP搭建工具就可以萬無一失了。今天就由筆者帶領為大家介紹在預設情況下FTP網站傳輸資料方面的漏洞，當然在文中還會為讀者介紹如何彌補這些漏洞。

一、破解FTP使用者名稱和密碼

    首先我們要知道預設情況下FTP網站資訊是用明文進行傳輸的，沒有進行任何的加密。也就是說當使用者登入FTP網站輸入使用者名稱和密碼時，這些資訊是沒有加密的。非法使用者可以通過sniffer等工具將這些資訊還原成本來面目。

實戰：通過sniffer將FTP網站的使用者名稱和密碼還原成明文

環境描述：

公司網路中AB兩台電腦通過交換器相互串連到同一個子網，B是員工電腦，一名員工通過他訪問公司的FTP伺服器，登入FTP時使用自己的使用者名稱和密碼。A是我們安裝了sniffer的電腦，通過sniffer我們可以監測出使用B電腦的員工訪問FTP伺服器的使用者名稱和密碼。

實現方法：

第一步：首先在A電腦上安裝強大的sniffer工具，並啟動該程式。

第二步：在sniffer軟體中通過上方的“matrix”按鈕啟動監測介面。（1）

圖1

第三步：開啟監測介面後我們就可以開始監測網路中的資料包了，通過功能表列的“capture->start”啟動。

第四步：在檢測資料包視窗中我們點左下角的objects標籤，然後選擇station，這樣將把當前網路中所有通訊都顯示在視窗中。（2）

圖2

第五步：這時候如果B電腦的員工使用電腦登入了FTP伺服器，那麼我們在sniffer中點菜單的“capture->stop and display”。

第六步：這裡假設我們FTP伺服器的IP地址為211.154.80.30，那麼我們從顯示的地址清單中找到關於211.154.80.30這個IP的資料包，然後點下方的“DECODE”按鈕進行資料包再分析。（3）

圖3

第七步：在“DECODE”（反編碼）介面中我們就可以對關於211.154.80.30的所有資料包進行分析了。我們一個一個的分析資料包，分析到大概第十二個資料包時出現使用者名稱資訊，我們可以從介面中看到使用者名稱為softer。（4）

圖4

第八步：繼續往下看，到了第十四個資料包的時候就可以看到密碼了，密碼以明文的形式顯示在sniffer中，密碼為pacino。（5）
 

圖5

至此我們就通過sniffer工具將員工在FTP伺服器上的使用者名稱和密碼破解出來，該方法在員工和安裝了sniffer的電腦處在同一個子網的情況下有效。

 

二、加密FTP網站資訊的傳輸

    既然知道了FTP伺服器是以明文方式傳輸資料的，特別是使用者名稱和密碼傳輸的安全性極差，資訊很容易被盜，雖然FTP提供了SSL加密的功能，不過預設情況下是沒有啟用的，如大家常用的Serv-U FTP伺服器（簡稱Serv-U）。所以說為了保證傳輸的資料資訊不被隨意竊取，有必要啟用SSL功能，提高伺服器資料轉送的安全性。我們以Serv-u為例進行介紹來彌補這個安全缺陷。

小提示：什麼是SSL加密協議？SSL協議(Secure Socket Layer，安全套接層)是由網景（Netscape）公司推出的一種安全通訊協定，它能夠對信用卡和個人資訊提供較強的保護。SSL是對電腦之間整個會話進行加密的協議。在SSL中，採用了公開密鑰和私人密鑰兩種加密方法。所以使用SSL協議後我們就可以保證網路中傳輸的資料不被非法使用者竊取到了。

   （1）安裝Serv-U伺服器

    由於安裝Serv-U的文章比較多，所以本文就不詳細介紹了。（6）安裝完畢後我們要建立一個FTP伺服器的域並設定相應的使用者名稱和密碼。

   （2）建立SSL認證

    要想使用Serv-U的SSL功能，需要SSL認證的支援才行。雖然Serv-U在安裝之時就已經自動產生了一個SSL認證，但這個預設產生的SSL認證在所有的Serv-U伺服器中都是一樣的，非常不安全，所以我 們需要手工建立一個自己獨特的SSL認證。

第一步：在“Serv-U管理員”視窗中，展開“本機伺服器->設定”選項，然後切換到“SSL認證”標籤頁。

第二步：建立一個新的SSL認證。首先在“普通名稱”欄中輸入FTP伺服器的IP地址，接著其它欄目的內容，如電子郵件、組織和單位等，根據使用者的情況進行填寫。（7）

圖7

第三步：完成SSL認證標籤頁中所有內容的填寫後，點擊下方的“應用”按鈕即可，這時Serv-U就會產生一個新的SSL認證。

   （3）啟用SSL功能

    雖然為Serv-U伺服器建立了新的SSL認證，但預設情況下，Serv-U是沒有啟用SSL功能的，要想利用該SSL認證，首先要啟用Serv-U的SSL功能才行。

第一步：要啟用Serv-U伺服器中網域名稱為“softer”的SSL功能。在“Serv-U管理員”視窗中，依次展開“本機伺服器->域->softer”選項。

第二步：在右側的“域”管理框中找到“安全性”下拉式清單選項。這裡Serv-U提供了3種選項，分別是“僅僅規則FTP，無SSL/TLS進程”、“允許SSL/TLS和規則進程”、“只允許SSL/TLS進程”，預設情況下，Serv-U使用的是“僅僅規則FTP，無SSL/TLS進程”，因此是沒有啟用SSL加密功能的。

第三步：在“安全性”下拉選項框種選擇“只允許SSL/TLS進程”選項，然後點擊“應用”按鈕，即可啟用softer域的SSL功能。 （8）

圖8

小提示：啟用了SSL功能後，Serv-U伺服器使用的預設連接埠號碼就不再是“21”了，而是“990”了，這點在登入FTP的時候一定要留意，否則就會無法成功串連FTP伺服器。

（4）使用SSL加密串連FTP

    啟用Serv-U伺服器的SSL功能後，就可以利用此功能安全傳輸資料了，但FTP用戶端程式必須支援SSL功能才行。如果我們直接使用IE瀏覽器進行登入則會出現圖9顯示的錯誤資訊，一方面是以為沒有修改預設的連接埠21為990，另外IE瀏覽器不支援SSL協議傳輸。

當然支援SSL的FTP用戶端程式現在也比較多，筆者以“Flash FXP”程式為例，介紹如何成功串連到啟用了SSL功能的Serv-U伺服器。

第一步：運行“FlashFXP”程式後，點擊“會話->快速串連”選項，彈出“快速串連”對話方塊，在“伺服器或URL”欄中輸入Serv-U伺服器的IP地址，在“連接埠”欄中一定要輸入“990”，這是因為Serv-U伺服器啟用SSL功能後，連接埠號碼就從“21”變為“990”。

第二步：輸入可以正常登入FTP伺服器的“使用者名稱”和“密碼”。 （10）

圖10

第三步：切換到“SSL”標籤頁，選中“絕對SSL”選項，這一步驟是非常關鍵的，如果不選中“絕對SSL”，就無法成功串連到Serv-U伺服器。最後點擊“串連”按鈕。 根據實際傳輸情況在絕對SSL下方的四個選項進行選擇即可。（11）

圖11

第四步：當使用者第一次串連到Serv-U伺服器時，Flash FXP會彈出一個“認證”對話方塊，（12）這時使用者只要點擊“接受並儲存”按鈕，將SSL認證下載到本地後，就能成功串連到Serv-U伺服器，以後和Serv-U伺服器間的資料傳送就會受到SSL功能的保護，不再是以明文形式傳送，這樣就不用再擔心FTP帳號被盜，敏感資訊被竊取的問題了。在Flash FXP的下方我們也會看到一個小鎖的標誌了，他代表當前傳輸是加密安全的傳輸。（13）

圖12 圖13

小提示：如果我們僅僅選擇接受則每次登入FTP時都會彈出這個認證對話方塊。

總結：通過設定使用SSL進行加密傳輸的FTP網站就可以有效保護自己伺服器上的資源不被別人隨意偷窺了，只有通過認證的使用者才能下載到自己中意的檔案資源。而且傳輸過程中的所有資料都是進行加密的，網路中的其他使用者使用類似sniffer的軟體是無法將登入資訊還原成明文的，即使能夠獲得傳輸資料也是經過加密的，一點價值也沒有。