Pembatasan Upaya Masuk IIS 8.0 FTP
oleh Robert McMurray
Kompatibilitas
| Versi | Catatan |
|---|---|
| IIS 8.0 | Pembatasan Upaya Masuk FTP diperkenalkan di IIS 8.0. |
| IIS 7.5 | Pembatasan Upaya Masuk FTP tidak didukung di IIS 7.0 atau IIS 7.5. |
| IIS 7.0 |
Masalah
Salah satu kemungkinan kerentanan untuk server adalah serangan kata sandi brute-force melalui layanan FTP. Karena akun yang digunakan untuk FTP seringkali merupakan akun pengguna fisik pada sistem operasi host, secara teoritis dimungkinkan untuk menebak nama pengguna administratif setelah Anda menentukan jenis server FTP. Setelah nama akun ditemukan, klien berbahaya dapat terhubung ke server dan mencoba serangan brute-force pada akun tersebut. (Misalnya: "administrator" untuk sistem Windows atau "root" untuk sistem UNIX.)
Di IIS 7.5, layanan FTP memperkenalkan API ekstensibilitas yang memungkinkan pengembang membuat penyedia autentikasi kustom, yang memungkinkan akun non-Windows mengakses FTP. Ini secara signifikan mengurangi area serangan permukaan untuk layanan FTP, karena akun FTP ini bukan akun Windows yang valid, dan karena itu tidak memiliki akses ke sumber daya di luar layanan FTP. Dengan menggunakan fitur ekstensibilitas autentikasi FTP di IIS 7.5, Microsoft menyediakan cara bagi administrator untuk mengurangi kemungkinan serangan brute-force untuk akun non-Windows dengan membuat penyedia autentikasi kustom. Informasi ini didokumenkan dalam artikel berikut:
Solusi
Di IIS 8.0 untuk Windows Server 2012, Microsoft telah menambahkan fitur keamanan jaringan bawaan yang menyediakan fungsionalitas ini untuk semua login tanpa perlu membuat penyedia autentikasi kustom. Dalam panduan ini, kami akan memeriksa langkah-langkah yang diperlukan untuk mengaktifkan pembatasan login FTP untuk mencegah serangan brute-force di server Anda.
Instruksi Langkah demi Langkah
Prasyarat:
- Komputer Windows Server 2012 dengan IIS 8.0 dan layanan FTP sudah diinstal.
Solusi untuk bug yang diketahui:
Tidak ada bug yang diketahui untuk fitur ini saat ini.
Mengonfigurasi FTP untuk Mencegah Serangan Brute-force
Layanan FTP dapat dikonfigurasi untuk menolak akses ke layanan FTP berdasarkan berapa kali klien FTP gagal mengautentikasi dalam periode waktu yang ditentukan pengguna. Setelah jumlah upaya masuk yang gagal tercapai, server menutup koneksi FTP secara paksa, dan alamat IP klien FTP diblokir agar tidak mengakses layanan FTP selama durasi waktu habis.
Untuk mengonfigurasi layanan FTP guna menolak pengguna berbahaya mengakses layanan FTP Anda, gunakan langkah-langkah berikut:
- Masuk sebagai administrator di komputer Windows Server 2012 Anda.
- Buka Manajer Layanan Informasi Internet (IIS).
- Sorot nama server Anda di panel Koneksi , lalu klik dua kali Pembatasan Upaya Masuk FTP dalam daftar fitur.
- Centang kotak untuk Mengaktifkan Pembatasan Upaya Masuk FTP, dan tentukan jumlah upaya masuk yang gagal dan periode waktu yang digunakan layanan FTP untuk menentukan apakah akan memblokir akses untuk klien FTP.
- KlikTerapkan.
Opsi "Tulis ke log saja" tidak memblokir upaya masuk. Sebaliknya, ia mencatat bahwa kondisi telah terpenuhi. Administrator TI kemudian dapat mencoba parameter konfigurasi yang berbeda untuk mengevaluasi bagaimana pengaturan berdampak pada pengguna mereka sebelum memberlakukannya.
Ringkasan
Dalam panduan ini, Anda melihat konfigurasi layanan FTP untuk menolak klien berbahaya menyerang server FTP Anda dengan mengonfigurasi fitur Pembatasan Upaya Masuk FTP baru di Windows Server 2012.
Perhatikan bahwa Pembatasan Upaya Masuk FTP adalah pengaturan tingkat server; Anda tidak dapat mengatur pembatasan masuk terpisah berdasarkan per situs. Karena penyerang mencoba mendapatkan akses ke server Anda, dan bukan satu situs pun, layanan FTP akan memblokir akses untuk pengguna berbahaya di tingkat server.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk