IIS 8.0 FTP Logon Attempt Restrictions

  • [アーティクル]

作成者: Robert McMurray

互換性

バージョン メモ
IIS 8.0 FTP Logon Attempt Restrictions は IIS 8.0 で導入されました。
IIS 7.5 IIS 7.0 または IIS 7.5 では、FTP Logon Attempt Restrictions はサポートされていませんでした。
IIS 7.0

問題

サーバーの脆弱性の 1 つは、FTP サービスを介したブルート フォース パスワード攻撃です。 FTP に使用されるアカウントは、多くの場合、ホスト オペレーティング システム上の物理ユーザー アカウントであるため、FTP サーバーの種類を決定した後で管理ユーザー名を推測することは理論的には可能です。 アカウント名が検出されると、悪意のあるクライアントがサーバーに接続し、そのアカウントに対するブルート フォース攻撃を試みることができます。 (たとえば、Windows システムの場合は "administrator"、UNIX システムの場合は "root" です。)

IIS 7.5 では、FTP サービスにより、開発者がカスタム認証プロバイダーを作成できる機能拡張 API が導入されました。これにより、Windows 以外のアカウントから FTP にアクセスできるようになりました。 これにより、FTP アカウントは有効な Windows アカウントではないため、FTP サービスの外部のリソースにアクセスできず、FTP サービスの表面攻撃領域が大幅に減少しました。 Microsoft では、IIS 7.5 の FTP 認証機能を使用して、カスタム認証プロバイダーを作成することで、Windows 以外のアカウントに対するブルート フォース攻撃の可能性を軽減する方法を管理者に提供しました。 この情報は、次の記事に記載されています:

マネージド コード (C#) を使用して、動的 IP 制限付きの FTP 認証プロバイダーを作成する方法

解決策

IIS 8.0 for Windows Server 2012 では、Microsoft は、カスタム認証プロバイダーを作成する必要なく、すべてのログインにこの機能を提供する組み込みのネットワーク セキュリティ機能を追加しました。 このチュートリアルでは、サーバーに対するブルート フォース攻撃を防ぐために FTP ログイン制限を有効にするために必要な手順について説明します。

ステップ バイ ステップの手順

前提条件:

  • IIS 8.0 と FTP サービスが既にインストールされている Windows Server 2012 コンピューター。

既知のバグの回避策:

現時点では、この機能に関する既知のバグはありません。

ブルート フォース攻撃を防ぐために FTP を構成する

FTP サービスは、ユーザーが指定した期間内に FTP クライアントが認証に失敗した回数に基づいて、FTP サービスへのアクセスを拒否するように構成できます。 ログイン試行の失敗回数に達すると、サーバーは FTP 接続を強制的に閉じ、FTP クライアントの IP アドレスがタイムアウトの間 FTP サービスへのアクセスをブロックされます。

悪意のあるユーザーが FTP サービスにアクセスできないように FTP サービスを構成するには、次の手順を使用します:

  1. Windows Server 2012 コンピューターに管理者としてログインします。
  2. インターネット インフォメーション サービス (IIS) マネージャーを開きます。
  3. [接続] ウィンドウでサーバー名を強調表示し、機能の一覧で [FTP ログオン試行の制限] をダブルクリックします。
    Screenshot of the Connections pane with a focus on the F T P Logon Attempt Restrictions option.
  4. [FTP ログオン試行の制限を有効にする] チェック ボックスをオンにし、FTP サービスが FTP クライアントのアクセスをブロックするかどうかを決定するために使用するログイン試行の失敗回数と期間を指定します。
    Screenshot of the F T P Logon Attempt Restrictions screen.
  5. [Apply] をクリックします。

"ログのみに書き込む" オプションは、ログオンの試行をブロックしません。 代わりに、条件が満たされたことをログに記録します。 IT 管理者は、さまざまな構成パラメーターを試して、設定を適用する前にユーザーに与える影響を評価できます。

まとめ

このチュートリアルでは、Windows Server 2012 の新しい FTP Logon Attempt Restrictions 機能を構成して、悪意のあるクライアントが FTP サーバーを攻撃できないように FTP サービスを構成する方法について説明しました。

FTP Logon Attempt Restrictions はサーバー レベルの設定であることに注意してください。サイトごとに個別のログオン制限を設定することはできません。 攻撃者は 1 つのサイトではなくサーバーへのアクセスを試みているため、FTP サービスはサーバー レベルで悪意のあるユーザーのアクセスをブロックします。