xp的iis的ftp server好像不太安全耶?



贊助商連結


axpm0n
2006-03-05, 09:03 AM
打開iis ftp server後,自己測試暴力密碼入侵,一秒鐘至少可以try10次以上耶?
這樣時間一久,說不定就猜中密碼了,是不是很危險?
xp內建的iis ftp server可以設定錯誤連線後要等5秒才能再次輸入連線?
找不到這樣的設定耶?
另外一問題:
在iis ftp server中,如果取消"允許匿名連線",就會自動跑出一個警告:
"根據您選取的驗證選項,在網路傳輸密碼過程中將不會為資料加密...."
這是什麼意思?
(1)不懂為什麼"匿名連線"和"資料加密"綁在一起?
這不是獨立的兩件事嗎?
也就是同時應該可以
1 "匿名連線"和"資料加密"
2 "不匿名連線"和"資料加密"
3 "匿名連線"和"不資料加密"
4 "不匿名連線"和"不資料加密"
現在為何只能有1,4兩種選擇?
(2)從客戶端登入到伺服端,是客戶端輸入使用者密碼再傳到
伺服端,那加密應該是客戶端做的事,這樣中途被攔截才不
會被竊取密碼,為何現在伺服端要加密資料?
如果選擇"允許匿名連線",別人只要用anonymous就可以連線成功,這樣豈不更危險?
請大大指導,謝謝。

贊助商連結


aeolus0829
2006-03-05, 01:32 PM
在說 ftp server 不安全、危險之前,有件事可以先思考一下:

一旦 ftp 被侵入了,會有什麼樣的危險?

1. 被上傳佔滿頻寬導致 server down

2. ftp 被侵入後,運用某種漏洞取得管理員權限

3. 被上傳木馬,被不知情的人下載後安裝導致中毒

想的到的是這些,最危險的 2>1>3

如果不放心 iis 的安全性,應該還有其他 ftp server 的方案可用

在追求安全的同時,不要一味的想最壞的狀況,以免把自己嚇死 .. ^ ^

個人覺的,應該想想看,如果 server 被侵入了,會損失的東西對自己的影響有多重,再來考慮要做到多安全,這是比較合理的做法吧

axpm0n
2006-03-05, 05:36 PM
在說 ftp server 不安全、危險之前,有件事可以先思考一下:

一旦 ftp 被侵入了,會有什麼樣的危險?

1. 被上傳佔滿頻寬導致 server down

2. ftp 被侵入後,運用某種漏洞取得管理員權限

3. 被上傳木馬,被不知情的人下載後安裝導致中毒

想...
貼個圖給大大知道就更清楚了:
http://140.134.4.20/~d9036593/had.jpg

mis339
2006-03-05, 06:37 PM
我想你可能誤會它的警告了!

一般FTP在傳輸時本來就沒有加密,不信你可以試著用一些簡單的封包記錄工具來查看!所以它是警告你如果有心人透過網路解析工具來分析你的封包的話,你的密碼就有可能會外泄!那為何允許匿名不會有警告呢?因為允許匿名的話,那表示你是個公開的FTP,所以根本就不需要去抓封包來分析就可以進了,所以也不會有警告!

這不是微軟的問題,也不是IIS的問題,而是「FTP」協定的問題!所以如果你了解的話,你要想的應該是怎麼保護「傳輸」的過程,而不是軟體!如果你真的在乎安全性而又想架FTP的話,建議你可以用以下幾個方法來防護:
1、限定可連線的IP或更改連接Port
2、透過VPN來取存FTP
 :
 :

本來還想講一些的,但是自己的表達能力有限,算了……

axpm0n
2006-03-05, 10:05 PM
我想你可能誤會它的警告了!

一般FTP在傳輸時本來就沒有加密,不信你可以試著用一些簡單的封包記錄工具來查看!所以它是警告你如果有心人透過網路解析工具來分析你的封包的話,你的密碼就有可能會外泄!那為何允許匿名不會有警告呢?因為允許匿名的話,那表示你是個公開的FTP,所以根本就不需要去抓封包來分析...
感謝你詳細解說,
嗯,像我這種不懂的人總是容易恐慌,經過你的解說,總算讓我寬心不少,
現在才了解你說IIS_FTP比較適合非完全權限的意思,
也才發現自己無知,以前都沒注意無加密傳輸的危險性。