[運用]
これだけは押さえておきたいIIS FTPサーバ・セキュリティ(前編)

2.「既定の FTP サイト」は使わない

デジタルアドバンテージ 島田 広道
2010/04/28
Page1 Page2 Page3

対策その1: 「既定の FTP サイト」とは別にFTPサイトを作成する

防御効果が期待できる攻撃手法
アカウント/パスワード窃取→不正アクセス
辞書攻撃
脆弱性攻撃

  IISのFTPサーバでは、最初から「既定の FTP サイト」というデフォルトのサイトが作成されている。これをそのまま使うのではなく、手動で新たにFTPサイトを作成して利用するのが望ましい。

 理由としては、「既定の FTP サイト」には各サイトの識別用番号である「識別子」として、必ず「1」という既知の値が割り当てられていることが挙げられる。識別子は、プログラムやスクリプトから設定変更などの際にサイトを指定するのに使われる。そのため、識別子が既知なサイトは、それだけ攻撃者にとって狙いを定めやすい。一方、新たに作成したサイトにはランダムに生成されたユニークな番号が自動的に割り当てられるため、識別子の特定すなわちサイト指定の攻撃が難しくなる。

FTP サイトに割り当てられた識別子の例
IISマネージャで左ペインのツリーから「FTP サイト」を選んで、右ペインにFTPサイト一覧を表示したところ。
デフォルトで最初に作られている「既定の FTP サイト」の識別子。必ず「1」が割り当てられる。
新たに作成したFTPサイトの例。ユニークかつランダムな識別子が割り当てられている。

 新たにFTPサイトを作成するには、「既定の FTP サイト」が運用中かどうかで、以下の手順のいずれかを選ぶ。

まったく新しいFTPサイトを作成・追加する
 「既定の FTP サイト」を運用していない場合、まったく新たにFTPサイトを作成する。それには、IISマネージャの左ペインのツリーから[FTP サイト]を右クリックし、コンテキスト・メニューから[新規作成]−[FTP サイト]を選ぶ。するとFTPサイトの作成ウィザードが起動するので、指示に従って進める。その際、「FTP サイトのコンテンツのディレクトリ」には、FTPサイト専用のディレクトリをあらかじめ作成しておいて、ここで指定する(ディレクトリ位置やアクセス権などの注意点は、後編の「対策その5: FTPサイトのルート・ディレクトリをWebサイトから分離する」で説明する)。また「FTP ユーザーの分離」では、[ユーザーを分離しない]を指定すること。そのほかの設定はデフォルトのままでよい。

FTPサイトにおけるユーザーの扱いの設定
これを選ぶ。
これらを選ぶと、FTPサイトのホーム・ディレクトリがユーザーごとに別々のものに設定されるため、同一コンテンツを「共有」して更新するには都合がよくない。TIPS「IIS 6.0のFTPサーバでユーザー・フォルダを分離する(基本編)」「IIS 6.0のFTPサーバでユーザー・フォルダを分離する(Active Directory編)」参照。

「既定の FTP サイト」をコピーした新規FTPサイトを追加する
 すでに「既定の FTP サイト」が運用中の場合は、次の手順で「既定の FTP サイト」を新規サイトにそっくりコピーしつつ、識別子だけは新たにユニークな番号に変えることが可能だ。それにはまず、IISマネージャの左ペインで[既定の FTP サイト]を右クリックし、コンテキスト・メニューから[すべてのタスク]−[構成をファイルに保存する]を選び、XML形式の構成ファイルを適当なディレクトリに保存する。

「既定の FTP サイト」の構成ファイル名を指定する
構成ファイルの名前を指定する。拡張子は指定しなくても「xml」が付加される。
構成ファイルの保存先ディレクトリを指定する。

 次に「既定の FTP サイト」のポート番号を変更しておく。こうしないと「既定の FTP サイト」をコピーした直後、2つのサイトが同じIPアドレス/ポートをリッスンすることになり、エラーが発生してサイトが停止してしまう。もちろん、この変更直後から「既定の FTP サイト」には接続できなくなる。

重複防止のために「既定のFTPサイト」のFTPポートを変える
この後、FTPサイトをコピーした直後にリッスン・アドレス/ポートの重複でエラーが発生しないように、ポート番号を変更しておく。
デフォルトでは21番ポートが指定されている。これを、重複しない番号(数字の大きな番号)に変える。

 ポート番号を変えたら、IISマネージャの左ペインから[FTP サイト]を右クリックし、コンテキスト・メニューから[新規作成]−[FTP サイト (ファイルから)]を選ぶ。あとは以下の画面のように操作すれば、「既定の FTP サイト」と同じ設定の新規FTPサイトが出来上がる。

「既定の FTP サイト」の構成ファイルから新しいFTPサイトを作成する
これはIISマネージャの[FTP サイト]のコンテキスト・メニューから[新規作成]−[FTP サイト (ファイルから)]をクリックして表示されるダイアログ・ボックス。
保存しておいた「既定の FTP サイト」の構成ファイルを指定する。
これをクリックする。
によってインポート可能なFTPサイト一覧が表示されるので、[既定の FTP サイト]を選ぶ。
これをクリックする。
このダイアログ・ボックスが表示されたら、これを選んでから[OK]ボタンをクリックする。

 新たなFTPサイトのセキュリティ対策などが完了したら、元の「既定の FTP サイト」は停止するか削除してもよい。

「既定の FTP サイト」をコピーしてできた新たなFTPサイト
もともとの「既定の FTP サイト」。新たなFTPサイトの設定が完了したら、停止するか削除してもよい。
新たに作成したFTPサイト。識別子が「1」から変わっていることが分かる。コピー元と間違えないように名前を変更してから、次の設定に進んだ方がよい(コンテキスト・メニューから[名前の変更]を選べば変更可能)。

 次のページでは、接続元IPアドレスや同時接続数などを制限するセキュリティ対策をついて説明する。


 INDEX
  [運用]これだけは押さえておきたいIIS FTPサーバ・セキュリティ(前編)
    1.FTPサーバに対する攻撃とは?
  2.「既定の FTP サイト」は使わない
    3.接続元IPアドレスや同時接続数を制限する
   
  [運用]これだけは押さえておきたいIIS FTPサーバ・セキュリティ(後編)
    1.FTPサイトはWebサイトから分離して設置する
    2.FTPサイトへのアクセスはFTP専用アカウントのみ許す
    3.FTPサイトのログから攻撃の痕跡を探し出す

 運用

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH