保護FTP和SFTP伺服器的10個基本技巧

大多陣列織使用FTP或SFTP伺服器與貿易伙伴 檔案傳輸和其他關鍵業務文件。不幸的是，這些伺服器已成為駭客的主要攻擊目標，使您的FTP或SFTP伺服器面臨著代價高昂的資料洩露風險。

資訊保安三大原則

由於我們正在談論確保伺服器安全，因此我們應該定義這意味著什麼。

可以從CIA的角度討論資訊保安。不，不是CIA，在這種情況下，CIA的縮寫代表機密性，完整性和可用性。維護機密性意味著絕不會將資訊透露給未經授權的個人，實體或過程。完整性是指確保您的資料保持準確和不變。最後，可用性意味著該系統可用於授權實體而不會受到干擾。

主要合規標準和規定

遵守行業安全標準是給各種規模的組織施加壓力的問題。您面臨的合規性挑戰將取決於您的行業和所在地。在美國，最常見的法規包括：

《健康保險可移植性和責任法案》（HIPAA）：要求保護任何包含PHI（受保護的健康資訊）的通訊，這些通訊透過開放網路以電子方式傳輸，以防止被目標接收者以外的任何人截獲。

格拉姆-裡奇-布萊利法案（GLBA）：要求金融機構實施保護措施，以保護客戶資訊的安全性，完整性和機密性，無論其如何儲存或傳輸。

州隱私法：大多數州都有通知法，而其他州則更具體地規定了如何保護個人資料。

聯邦資訊保安管理法案（FISMA）：定義了一個全面的框架，以保護政府資訊，運營和資產免受自然或人為威脅。

支付卡行業資料安全標準（PCI DSS）：為負責處理簽帳金融卡或信用卡資訊以保護客戶帳戶資料隱私的公司而開發。

與清單中的其他法規一樣，不遵守PCI DSS可能會導致罰款或終止您的業務能力。銀行和信用卡機構徵收的後果可能高達500,000美元。儘管PCI DSS是為處理持卡人資料的公司而設計的，但其詳細的安全性要求對於希望保護敏感資料的任何人都是很好的參考。在整個網路研討會中，Bob和團隊參考了每個安全提示與PCI DSS的關係。

最新版本的PCI DSS進行了一些顯著更改。您可以在此免費指南中詳細瞭解它們以及它們如何影響您的業務。

如果您在歐盟境內或為歐盟居民處理資料，則20年來資料隱私法規中最重要的變化是通用資料保護法規（GDPR），該法規於2016年透過，將於5月開始實施修訂日期：2018年2月25日。其目的是取代現行的資料保護指令，並整合歐洲範圍內的資料隱私法。違反GDPR的罰款最高可達2000萬歐元，佔公司上一個財政年度收入的4％。

保護FTP和SFTP伺服器的主要技巧

FTP實施不當的做法普遍存在，使許多企業面臨遭受資料洩露或嚴重違規罰款的風險。是否要確保您的伺服器既安全又合規？以下是我們的十大技巧：

1.禁用標準FTP

如果伺服器上正在執行標準FTP，則應儘快將其禁用。FTP已經有30多年的歷史了，它並不能承受我們今天面臨的現代安全威脅。FTP缺乏隱私和完整性，使駭客在傳輸過程中很容易獲得訪問許可權並捕獲或修改您的資料。我們建議您切換到其他幾種安全FTP替代方法之一。

2.使用強加密和雜湊

SFTP和FTPS協議都使用加密密碼來保護傳輸中的資料。密碼是一種複雜的演算法，它接收原始資料，並與金鑰一起產生要傳輸的加密資料。您應該做的第一件事是禁用任何較舊的，過時的密碼，例如Blowfish和DES，而僅使用更強的密碼，例如AES或TDES。

雜湊或MAC演算法用於驗證傳輸的完整性。同樣，您應該禁用較舊的雜湊/ MAC演算法（例如MD5或SHA-1），並堅持使用SHA-2系列中的強大演算法。

3.放置在閘道器後面

DMZ（非軍事區）是組織儲存其FTP伺服器的網路的公共部分。DMZ的問題在於它面對著公共網際網路，使其成為最容易受到攻擊的部分。如果FTP伺服器位於DMZ中，則通常還將貿易伙伴的資料檔案和使用者憑據儲存在該區域中，即使檔案被加密，也存在很大的風險。

其他組織已經採取了將檔案和使用者憑據移入專用網路的步驟，這更安全。但是，此方法的問題在於，這需要您將埠開啟到專用網路中，這會為攻擊建立路徑，並且可能無法滿足合規性要求。

一種越來越流行的方法是使用DMZ安全閘道器或增強的反向代理。閘道器是您在DMZ中的伺服器上安裝的軟體。然後在啟動時從專用網路開啟一個專用控制通道進入DMZ。您的貿易伙伴將連線到閘道器，閘道器將透過控制通道將會話傳送到專用網路上的FTP伺服器。檔案和使用者憑據保留在專用網路中，不需要入站埠。

4.實施IP黑名單和白名單

IP黑名單會暫時或永久拒絕訪問系統的IP地址範圍。例如，您可能想阻止某些國家訪問。您還可以讓FTP伺服器針對某些型別的攻擊（例如DoS攻擊）執行自動黑名單。

另一種方法是僅將指定的IP地址列入白名單以訪問系統，例如您的貿易伙伴。困難在於，這隻有在貿易伙伴使用固定IP的情況下才能很好地起作用。

5.加強您的FTPS伺服器

如果您使用的是FTPS伺服器，則應採取一些措施來確保其安全，包括：

除非對身份驗證和資料通道強制加密，否則不要使用顯式FTPS 不要使用任何版本的SSL或TLS 1.0 使用橢圓曲線Diffie-Hellman金鑰交換演算法

6.利用良好的帳戶管理

為貿易伙伴建立作業系統級別的使用者帳戶是有風險的，因為它建立了獲取對伺服器上其他資源的訪問的途徑。此外，使用者憑據應與FTP應用程式分開儲存。不允許匿名使用者或共享帳戶。設定一些規則，例如帳戶使用者名稱的長度至少應為7個字元，並且在6次登入失敗或90天不活動後應自動禁用帳戶。

7.使用強密碼

密碼的長度至少應為7個字元，同時包含數字和字母數字字元，並至少包含一個特殊字元。確保管理員密碼每90天更改一次。請勿重複使用最後4個密碼，並使用SHA-2等強大的雜湊加密演算法儲存使用者密碼。

8.實施檔案和資料夾安全性

貿易伙伴應僅具有他們絕對需要的資料夾訪問許可權。例如，僅僅因為合作伙伴需要從資料夾中下載內容的許可權，並不表示他們需要對該資料夾的全部許可權。需要將檔案上傳到資料夾並不需要它們具有對該資料夾的讀取許可權。加密靜止的檔案（尤其是儲存在DMZ中的檔案），並僅在需要時將檔案保留在FTP伺服器上。

9.鎖定管理

伺服器的管理應受到嚴格控制。將管理員職責限制為有限數量的使用者，並要求他們使用多因素身份驗證。不要將密碼儲存在伺服器上，而應將它們儲存在AD域或LDAP伺服器中。請勿使用常見的管理員使用者ID（例如“ root”或“ admin”），這是駭客會嘗試的第一件事。

10.遵循最佳做法

保持FTPS或SFTP伺服器軟體為最新，如果要處理美國政府資料，請僅使用經過FIPS 140-2驗證的加密密碼，請勿使用首次登入時顯示的預設SFTP軟體版本-這將為駭客提供如何利用伺服器的線索，將所有後端資料庫保留在其他伺服器上，要求重新認證不活動的會話，實施良好的金鑰管理。

鐳速檔案傳輸協議主要特性

高速傳輸

鐳速傳輸協議可以充分利用大頻寬網路，以最快的速度進行資料傳輸。在海量資料分發應用場景中， 可以幫助使用者在最少的時間完成大資料傳輸。

實時性好

鐳速傳輸協議支援傳輸連線多通道並行特性，當使用者在 A 點與 B 點之間建立連線後，可透過多並行通道特性快速並行傳輸多個無關的資料流，這些資料流的傳輸無需經歷連線建立的握手過程，極大提高了傳輸實時性；鐳速傳輸協議創新性的 ACK 設計，幫助使用者在存在丟包的環境中，以最快最準確的方式完成資料重發。在遊戲、直播等應用場景中幫助使用者實現最佳資料傳輸實時性。

防火牆&NAT 裝置友好性

鐳速傳輸協議基於 UDP 協議，可以順利透過各種 NAT 裝置。鐳速傳輸協議可以在 1 個 UDP 埠上執行多條連線，鐳速傳輸協議服務端只需要使用者的防火牆裝置開放 1 個埠即可與多個鐳速傳輸協議客戶端完成連線和資料傳輸。

容易整合

鐳速傳輸協議執行在系統的應用層和使用者空間，不需要修改作業系統核心配置；鐳速傳輸協議提供一系列簡單易用的 SDK(Software Develop Kit/軟體開發套件)、API (Application Programming Interface/應用程式設計介面)以及清晰完整的開發文件，幫助使用者快速整合。

高度可配置

鐳速傳輸協議提供配置引數供使用者靈活自定義，透過不同的引數組配置，讓傳輸協議可以最好的適用於使用者的應用場景。例如大檔案傳輸更加關注頻寬的利用率，遊戲/直播等應用更加關注資料傳輸的實時性，鐳速傳輸已經針對常見的多種應用場景進行最佳化，提供多組配置引數供使用者進行選擇。

跨平臺

鐳速 Proxy 支援 Windows/Mac/Android/IOS/Linux/Unix

鐳速傳輸提供一站式檔案傳輸加速解決方案，旨在為IT、影視、生物基因、製造業等眾多行業客戶實現高效能、安全、穩定的資料傳輸加速服務。傳統檔案傳輸方式（如FTP/HTTP/CIFS）在傳輸速度、傳輸安全、系統管控等多個方面存在問題，而鐳速檔案傳輸解決方案透過自主研發、技術創新，可滿足客戶在檔案傳輸加速、傳輸安全、可管可控等全方位的需求。

本文《 保護FTP和SFTP伺服器的10個基本技巧》內容由 鐳速大檔案傳輸軟體整理釋出，如需轉載，請註明出處及連結： news/post-id-694