אבטחת מידעשרתים וטרמינלים

יצירת שרת SFTP

הנהלת האתר לא תישא באחריות לכל נזק שייגרם מעבודה לפי מדריך זה. המשתמש נושא באחריות הבלעדית לכל שינוי ועבודה שבוצעה. אין לראות בדברים משום המלצה.

בחיים המקצועיים מגיע איזשהו שלב בו תתבקשו ליצור או לנהל שרת SFTP. המדריך הבא יסייע לכם לבחור ולהגדיר אחד כזה נכון.

רקע- מה זה FTP?

FTP (File Transfer Protocol) הוא פרוטוקול להעברת קבצים ברשתות מחשבים. הוא מאפשר למשתמשים להעלות ולהוריד קבצים בין מחשבים שונים על פני הרשת. הפרוטוקול עצמו פותח בשנות ה-70 של המאה ה-20 ונחשב לאחד הפרוטוקולים הוותיקים ביותר להעברת קבצים.

הבדלים בין FTP ל-SFTP

1.הצפנה:

        • FTP: אין הצפנה, כל הנתונים נשלחים כטקסט רגיל.
        • SFTP (SSH File Transfer Protocol): כל התקשורת מוצפנת באמצעות פרוטוקול SSH. זה מבטיח שכל הנתונים מועברים בצורה מאובטחת ומוגנים מפני ציתות.

        2. פרוטוקול עבודה:

          • FTP: משתמש בפרוטוקול TCP/IP עם יצירת חיבור נפרד לכל תעבורת נתונים.
          • SFTP: פועל כערוץ מוצפן על גבי SSH, פרוטוקול המשמש גם לחיבורים מאובטחים לשרתים.

          3. אימות:

            • FTP: שימוש באימות בסיסי עם שם משתמש וסיסמה, שנשלחים כטקסט רגיל.
            • SFTP: תומך באימות באמצעות מפתחות ציבוריים ופרטיים, מה שמבטיח רמת אבטחה גבוהה יותר.

            דרכי הצפנה ואימות (מפתחות)

            1. הצפנה סימטרית: המפתח להצפנה ולפענוח הוא אותו מפתח. משתמשים בפרוטוקולים כמו AES (Advanced Encryption Standard).
            2. הצפנה אסימטרית: שימוש במפתחות ציבוריים ופרטיים. המפתח הציבורי מצפין את הנתונים ורק המפתח הפרטי יכול לפענח אותם.
            3. מפתחות ציבוריים ופרטיים: אימות משתמש מתבצע באמצעות זוג מפתחות, פרטי וציבורי. המשתמש מייצר מפתח פרטי ששמור רק אצלו ומפתח ציבורי שניתן לשרת.

            בקרת תעבורה

            1. חומות אש (Firewalls): מאפשרות שליטה בגישה לשירותי FTP/SFTP ומונעות גישה לא מורשית.
            2. מערכות זיהוי ומניעת חדירות (IDS/IPS): מערכות שמנטרות את התעבורה ברשת ומזהות תעבורה חשודה או זדונית, ובמקרה הצורך חוסמות אותה.
            3. רשומות (Logs): מעקב אחרי פעולות משתמשים והעברות קבצים באמצעות רישום ביומנים (log files) למטרות בקרה וניתוח תקריות אבטחה.

            באופן כללי, השימוש ב-SFTP הוא הרבה יותר מאובטח מאשר FTP רגיל, ומומלץ להשתמש בו כשמדובר בהעברת נתונים רגישים.

            הקדמה

            כל ארגון צריך היום שרת SFTP אמין ומאובטח.

            שרת SFTP (פרוטוקול העברת קבצים בצורה מאובטחת) מהווה כלי מרכזי בתשתיות המידע של ארגון מודרני.

            החשיבות של SFTP בארגון ניכרת במספר צורות:

            1. אבטחה מתקדמת: SFTP מספק תקשורת מאובטחת ומוצפנת, מונעת גישה ללא רשות וחדירה למידע רגיש.
            2. ניהול קבצים בטוח: ניתן להעביר, לקבל ולנהל קבצים בצורה מאובטחת. זה מקל על פעולות כמו גיבויים, עדכונים ושיתוף קבצים בין תחומי פעילות שונים בארגון.
            3. הקלה על מנהלי מערכות: מאפשר למנהלי מערכות לנהל את הגישה לנתונים באופן קריאטיבי ומאובטח, תוך פסק זמן לפריסה ותחזוקה.
            4. תאימות לתקנים והוראות: תקנים חוקיים והוראות בתחום הגנת המידע דורשים שימוש בתשתיות מאובטחות כמו SFTP למטרת הגנה על נתונים רגישים ופרטיות הלקוח.

            שרת SFTP אינו רק כלי להעברת קבצים, אלא כלי מרכזי לאבטחת המידע ולניהול קבצים בצורה יעילה ומאובטחת בארגונים עסקיים וארגונים ממשלתיים כאחד.

            היום נתעכב על פתרון שמכסה לנו הרבה כאב ראש. למה כאב ראש? להלן:

            היבטי אבטחת מידע ביצירת וניהול שרת SFTP

            נסביר באמצעות הדוגמה הבאה:

            שרת SFTP של Filezilla (לצורך העניין) הממוקם על גבי שרת Server 2019 OnPrem , ומשרת מספר ממשקים מול חברות:

            שרת כזה מצריך חשיבה על מס’ היבטים:

            • אבטחת מידע- מצריך יצירת חוקים בפיירוול לעניין הגישה פנימה- כל גישה חיצונית מצריכה גישה מיוחדת בפיירוול.
            • שרידות- מצריך התעסקות בלוודא כל הזמן שהשרת למעלה (נופל לא פעם בעת עדכונים אוטומטיים).
            • גם אם השרת למעלה- לא תמיד הסרוויסים רצים.
            • הגדרת DMZ בפיירוול.
            • הרשאות גישה מחוץ ובתוך הארגון למשתמשים (מצריך התחברות ל-VPN, ואז לשרת, לתוכנה, ולהגדרות המשתמשים):

            הסיכונים בשימוש שרת כזה

            שימוש ב-FileZilla כשרת FTP על גבי שרת Windows Server 2022 on-premise יכול לחשוף את הארגון לכמה סכנות אבטחה, הן מול משתמשים פנימיים והן מול חברות חיצוניות המתחברות לשרת.

            להלן הסכנות העיקריות:

            1. חוסר הצפנה: פרוטוקול FTP הקלאסי שולח נתונים (כולל שם משתמש וסיסמה) בטקסט פתוח, מה שמאפשר לגורמים זדוניים לבצע “האזנה” (sniffing) וליירט מידע רגיש.
            2. התקפות Brute Force: ללא אמצעי אבטחה מתקדמים, שרתי FTP יכולים להיות יעד להתקפות Brute Force שבהן תוקף מנסה לנחש סיסמאות על ידי ניסוי כל האפשרויות.
            3. הזרקות (Injections): קבצים הנשלחים או מתקבלים באמצעות FTP עלולים להכיל קוד זדוני או וירוסים. אם לא ננקטים צעדים לסריקת קבצים אלה, הם יכולים להדביק את השרת או את המחשבים המקבלים אותם.
            4. הרשאות בלתי מתאימות: אם לא מגדירים נכון את הרשאות הגישה לשרת ה-FTP, משתמשים עלולים לקבל גישה למידע רגיש שהם לא צריכים לראות, או לבצע שינויים במערכת שאין להם הרשאה אליהם.
            5. חולשות בתוכנה: כמו כל תוכנה, FileZilla עלול להכיל חולשות אבטחה שיכולות להיות מנוצלות על ידי תוקפים. חשוב לשמור על התוכנה מעודכנת באופן קבוע.
            6. גישה חיצונית: כאשר שרת FTP פתוח לחברות חיצוניות, הוא עלול להיות פגיע יותר להתקפות מרחוק. גישה זו דורשת תשומת לב מיוחדת בהגדרות חומת האש ובמעקב אחרי פעילות חריגה.

            אז מה הפתרון?

            הפתרון נקרא Couchdrop

            שירות SFTP שיושב על SaaS ומבוסס על AZURE. מאפשר הגדרת כתובות IP ספציפיות לכניסה, הרשאות למשתמשים, ומסוגל לבצע כל מיני אוטומציות די בסיסיות.

            שימו לב: היות ומדובר בשירות חיצוני, יש לחשוב היטב על מהות ורגישות הקבצים שיואחסנו בשרת זה.

            איך זה נראה?

            הממשק נראה כך:

            לאחר התחברות לשירות, בעמודה הימנית בדף הבית (Get started) ניתן לבצע מספר דברים:

            • יצירת משמש חדש
            • יצירת משימות
            • יצירת web portal
            • התחברות לשרת Cloud אחר
            • צפייה ובחינת פעילות משתמשים/קבצים

            נקליק על File Browser. כאן נוכל לראות את הספריה הראשית של השרת.

            קליק על שם הספריה הראשית ונוכל לראות את כל תתי הספריות.

            אז איך זה עובד? כל ספריה מתתי הספריות מקושרת אל יוזר SFTP

            אם נקליק על ספריה, נוכל לראות את הקבצים שמכילה אותה ספריה:

            כמובן שניתן להעלות קבצים נוספים באמצעות הממשק ה-web, להוריד קבצים לשנות שם, ליצור לינק לשיתוף, וכמובן למחוק.

            אם נלחץ Couchdrop Administration אשר נמצא בצד שמאל למטה של המסך:

            נגיע למסך הבא:

            במסך זה נוכל להגדיר הגדרות נרחבות:

            • משתמשים
            • קבוצות
            • הרשאות
            • התראות
            • אבטחה
            • ותשלומים

            נתעכב כרגע רק על אחד קריטי:

            יצירת ספריה והצמדתה למשתמש

            על מנת שנוכל להצמיד ספריה למשתמש, ראשית יש צורך ליצור את הספריה.

            ניגשים שוב אל File Browser – הספריה הראשית שלנו. קליק על Create ואז על New Folder

            כאן ניתן שם לתיקיה ונלחץ על Create Folder

            לאחר שהתיקיה נוצרה, ניגש לשלב של יצירת המשתמש:

            יצירת משתמש חדש

            נקליק בצד שמאל למטה על Couchdrop Administration

            בחלון זה נקליק על Users

            כאן נלחץ על Create New User

            ניתן למשתמש שם וסיסמה:

            באותו עמוד, אם נגלול מטה נוכל לבחור את התיקיה אותה נרצה לשייך למשתמש- על ידי קליק על סמל התיקיה:

            2 קליקים שמאליים על שם התיקיה הראשית, בחירת התיקיה הרצויה, ואז קליק על Select:

            ולחיצה על Save User לסיום

            הגדרת כתובות IP ספציפיות להכנסה ל-Allow List

            על מנת להגדיר שכתובת IP מסויימת תוכל לגשת ליוזר ולתיקיה זו, יש לעבור לחוצץ Access Controls להכניס את כתובת ה-IP החיצונית שלכם תחת ה-Enter IP, ואז לחיצה על Add

            אני בכל זאת רוצה להישאר עם Filezilla

            המלצות לשיפור האבטחה

            1. שימוש ב-FTP או SFTP: יש להעדיף שימוש בגרסה מאובטחת של הפרוטוקול, כמו FTPS (FTP Secure) או SFTP (SSH File Transfer Protocol) שמספקות הצפנה והגנה על הנתונים.
            2. מדיניות סיסמאות חזקה: יש להקפיד על שימוש בסיסמאות חזקות מאוד (לפחות 20 תווים), וליישם מדיניות לניהול סיסמאות כגון שינוי סיסמאות תקופתי.
            3. מעקב ובקרת גישה: יש להגדיר הרשאות גישה נכונות ולוודא שרק משתמשים מורשים יכולים לגשת לתיקיות ולקבצים ספציפיים.
            4. עדכוני תוכנה: יש לשמור את התוכנה והשרת מעודכנים באופן קבוע כדי להגן מפני חולשות חדשות שמתגלות.
            5. שימוש בחומת אש: יש להגדיר חומת אש להגבלת הגישה לשרת ה-FTP רק למשתמשים וחברות מורשות.
            6. מעקב וניטור: יש ליישם כלים לניטור פעילות על השרת ולבדוק לוגים כדי לאתר פעילויות חריגות וניסיונות חדירה.

            על ידי יישום אמצעי אבטחה אלה, ניתן למזער את הסיכונים הכרוכים בשימוש ב-FileZilla כשרת FTP בעבודה מול משתמשים וחברות חיצוניות.

            בהצלחה!

            Rami

            יזם, איש סיסטם, מתכנת בחסד, ונושם אינטרנט.

            מאמרים קשורים

            Leave a Reply

            Your email address will not be published. Required fields are marked *

            אתה תאהב גם את זה
            Close
            Back to top button