Partager via

Sécurité IP FTP <ipSecurity>

  • Article

Vue d’ensemble

L’élément <ipSecurity> définit une liste de restrictions de sécurité basées sur l’IP dans FTP 7. Ces restrictions peuvent être basées sur l’adresse IP version 4, une plage d’adresses IP version 4 ou un nom de domaine DNS.

Compatibilité

Version Notes
IIS 10.0 L’élément <ipSecurity> n’a pas été modifié dans IIS 10.0.
IIS 8.5 L’élément <ipSecurity> n’a pas été modifié dans IIS 8.5.
IIS 8.0 L’élément <ipSecurity> n’a pas été modifié dans IIS 8.0.
IIS 7.5 L’élément <ipSecurity> de l’élément <system.ftpServer/security> est fourni en tant que fonctionnalité d’IIS 7.5.
IIS 7.0 L’élément <ipSecurity> de l’élément <system.ftpServer/security> a été introduit dans FTP 7.0, qui était un téléchargement distinct pour IIS 7.0.
IIS 6.0 N/A

Remarque

Les services FTP 7.0 et FTP 7.5 ont été expédiés hors bande pour IIS 7.0, ce qui nécessite le téléchargement et l’installation du service à partir de l’URL suivante :

https://www.iis.net/expand/FTP

Avec Windows 7 et Windows Server 2008 R2, le service FTP 7.5 est fourni en tant que fonctionnalité pour IIS 7.5. Le téléchargement du service FTP n’est donc plus nécessaire.

Programme d’installation

Pour prendre en charge la publication FTP pour votre serveur internet, vous devez installer le service FTP. Pour cela, procédez comme suit.

Windows Server 2012 ou Windows Server 2012 R2

  1. Dans la barre des tâches, cliquez sur Gestionnaire de serveur.

  2. Dans Gestionnaire de serveur, cliquez sur le menu Gérer, puis sur Ajouter des rôles et des fonctionnalités.

  3. Dans l’Assistant Ajout de rôles et de fonctionnalités, cliquez sur Suivant. Sélectionnez le type d’installation, puis cliquez sur Suivant. Sélectionnez le serveur de destination, puis cliquez sur Suivant.

  4. Sur la page Serveur des rôles, développez Serveur internet (IIS), puis sélectionnez Serveur FTP.

    Remarque

    Pour prendre en charge l’authentification ASP.Membership ou l’authentification du Gestionnaire IIS pour le service FTP, vous devez sélectionner Extensibilité FTP en plus de Service FTP.
    Screenshot that shows F T P Service and F T P Extensibility selected for Windows Server 2012. .

  5. Cliquez sur Suivant puis sur la pageSélectionner des fonctionnalités, cliquez à nouveau sur Suivant.

  6. Dans la page Confirmer les sélections d’installation, cliquez sur Installer.

  7. Dans la page Résultats , cliquez sur Fermer.

Windows 8 ou Windows 8.1

  1. Dans l’écran d’accueil, déplacez le pointeur jusqu’au coin inférieur gauche, cliquez avec le bouton droit sur le bouton Démarrer, puis cliquez sur Panneau de configuration.

  2. Dans le Panneau de configuration, cliquez sur Programmes et fonctionnalités, puis sur Activer ou désactiver des fonctionnalités Windows.

  3. Développez Internet Information Services, puis sélectionnez Serveur FTP.

    Remarque

    Pour prendre en charge l’authentification ASP.Membership ou l’authentification du Gestionnaire IIS pour le service FTP, vous devez également sélectionner Extensibilité FTP.
    Screenshot that shows F T P Extensibility and F T P Service selected for Windows 8.

  4. Cliquez sur OK.

  5. Cliquez sur Fermer.

Windows Server 2008 R2

  1. Dans la barre des tâches, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire de serveur.

  2. Dans le volet hiérarchie du Gestionnaire de serveur, développez Rôles, puis cliquez sur Serveur web (IIS).

  3. Dans le volet Serveur web (IIS), faites défiler jusqu’à la section Services de rôle, puis cliquez sur Ajouter des services de rôle.

  4. Dans la page Sélectionner des services de rôle de l’Assistant Ajouter des services de rôle, développez le Serveur FTP.

  5. Sélectionnez Service FTP.

    Remarque

    Pour prendre en charge l’authentification ASP.Membership ou l’authentification du Gestionnaire IIS pour le service FTP, vous devez également sélectionner Extensibilité FTP.
    Screenshot that shows F T P Service and F T P Extensibility selected for Windows Server 2008.

  6. Sélectionnez Suivant.

  7. Dans la page Confirmer les sélections pour l'installation, cliquez sur Installer.

  8. Dans la page Résultats , cliquez sur Fermer.

Windows 7

  1. Dans la barre des tâches, cliquez sur Démarrer, puis sur Panneau de configuration.

  2. Dans le Panneau de configuration, cliquez sur Programmes et fonctionnalités, puis sur Activer ou désactiver des fonctionnalités Windows.

  3. Développez Internet Information Services puis Serveur FTP.

  4. Sélectionnez Service FTP.

    Remarque

    Pour prendre en charge l’authentification ASP.Membership ou l’authentification du Gestionnaire IIS pour le service FTP, vous devez également sélectionner Extensibilité FTP.
    Screenshot that shows F T P Extensibility and F T P Service selected for Windows 7.

  5. Cliquez sur OK.

Windows Server 2008 ou Windows Vista

  1. Téléchargez le package d’installation à partir de l’URL suivante :

  2. Suivez les instructions de la procédure pas à pas suivante pour installer le service FTP :

Procédure

Comment ajouter des restrictions IP pour autoriser ou accéder à un site FTP

  1. Ouvrez le Gestionnaire des services Internet (IIS) :

    • Si vous utilisez Windows Server 2012 ou Windows Server 2012 R2 :

      • Dans la barre des tâches, cliquez sur Gestionnaire de serveur, cliquez sur Outils, puis sur Gestionnaire Internet Information Services (IIS).

    • Si vous utilisez Windows 8 ou Windows 8.1 :

      • Maintenez la touche Windows enfoncée, appuyez sur la lettre X, puis cliquez sur Panneau de configuration.
      • Cliquez sur Outils d’administration, puis double-cliquez sur Gestionnaire des services Internet (IIS).

    • Si vous utilisez Windows Server 2008 ou Windows Server 2008 R2 :

      • Cliquez sur Démarrer, placez le curseur sur Outils d’administration, puis cliquez sur Gestionnaire Internet Information Services (IIS).

    • Si vous utilisez Windows Vista ou Windows 7 :

      • Dans la barre des tâches, cliquez sur Démarrer, puis sur Panneau de configuration.
      • Double-cliquez sur Outils d’administration, puis double-cliquez sur Gestionnaire des services Internet (IIS).

  2. Dans le volet Connexions, développez le nom du serveur, développez Sites, puis le site FTP ou l’URL pour lequel vous souhaitez ajouter des restrictions IP.

  3. Dans le volet Accueil, double-cliquez sur la fonctionnalité Restrictions d’adresse IPv4 et de domaine FTP.
    Screenshot that shows the contoso dot com Home pane, with F T P I P v 4 Address and Domain Restrictions selected.

  4. Dans la fonctionnalité Restrictions d’adresse IPv4 et de domaine FTP, cliquez sur Ajouter une entrée d’autorisation… ou Ajouter une entrée de refus… dans le volet Actions.
    Screenshot that shows the F T P I P v 4 Address and Domain Restrictions pane in the I I S Manager.

  5. Entrez l’adresse IP que vous souhaitez autoriser ou refuser, puis cliquez sur OK.
    Screenshot that shows the Add Deny Restriction Rule dialog box.

Comment modifier les paramètres de la fonctionnalité de restrictions IP d’un site FTP

  1. Ouvrez le Gestionnaire des services Internet (IIS) :

    • Si vous utilisez Windows Server 2012 ou Windows Server 2012 R2 :

      • Dans la barre des tâches, cliquez sur Gestionnaire de serveur, cliquez sur Outils, puis sur Gestionnaire Internet Information Services (IIS).

    • Si vous utilisez Windows 8 ou Windows 8.1 :

      • Maintenez la touche Windows enfoncée, appuyez sur la lettre X, puis cliquez sur Panneau de configuration.
      • Cliquez sur Outils d’administration, puis double-cliquez sur Gestionnaire des services Internet (IIS).

    • Si vous utilisez Windows Server 2008 ou Windows Server 2008 R2 :

      • Cliquez sur Démarrer, placez le curseur sur Outils d’administration, puis cliquez sur Gestionnaire Internet Information Services (IIS).

    • Si vous utilisez Windows Vista ou Windows 7 :

      • Dans la barre des tâches, cliquez sur Démarrer, puis sur Panneau de configuration.
      • Double-cliquez sur Outils d’administration, puis double-cliquez sur Gestionnaire des services Internet (IIS).

  2. Dans le volet Connexions, développez le nom du serveur, développez Sites, puis le site FTP ou l’URL pour lequel vous souhaitez configurer des restrictions IP.

  3. Dans le volet Accueil, double-cliquez sur la fonctionnalité Restrictions d’adresse IPv4 et de domaine FTP.
    Screenshot that shows the contoso dot com Home pane. F T P I P v 4 Address and Domain Restrictions is selected.

  4. Dans la fonctionnalité Restrictions d’adresse IPv4 et de domaine FTP, cliquez sur Modifier les paramètres de la fonctionnalité… dans le volet Actions.
    Screenshot that shows the F T P I P v 4 Address and Domain Restrictions pane.

  5. Choisissez le comportement d’accès par défaut pour les clients non spécifiés, spécifiez s’il faut activer les restrictions par nom de domaine, puis cliquez sur OK.
    Screenshot that shows the Edit I P and Domain Restrictions Settings dialog box. Allow is selected.

Configuration

L’élément <ipSecurity> est configuré au niveau du site ou de l’URL.

Les règles sont traitées de haut en bas, dans l’ordre dans lequel elles apparaissent dans la liste. L’attribut allowunlisted est traité en dernier. La meilleure pratique pour les restrictions de sécurité du protocole Internet (IPsec) consiste à répertorier d’abord les règles de refus. Vous ne pouvez pas effacer l’attribut allowunlisted s’il est défini sur false.

Attributs

Attribut Description
allowUnlisted Attribut Boolean facultatif.

Spécifie s’il faut autoriser les adresses IP non répertoriées. La définition de l’attribut allowUnlistedsur true permet à une adresse IP non répertoriée d’accéder au serveur. La définition de l’attribut allowUnlisted sur false verrouille le serveur, ce qui empêche l’accès à toutes les adresses IP, sauf si elles sont répertoriées. Si vous définissez cet attribut sur false et que vous ne répertoriez pas l’adresse de bouclage locale (127.0.0.1) comme adresse IP autorisée, vous ne pourrez pas accéder à votre serveur à l’aide d’un navigateur à partir d’une console locale.

La valeur par défaut est true.
enableReverseDns Attribut Boolean facultatif.

Spécifie s’il faut activer ou désactiver les recherches DNS (Domain Name System) inversées pour le serveur FTP. Les recherches inversées impliquent la recherche du nom de domaine lorsque l’adresse IP est connue.

Attention : les recherches DNS inversées utilisent beaucoup de ressources et de temps.

La valeur par défaut est false.

Éléments enfants

Élément Description
add Élément facultatif.

Ajoute une restriction IP à la collection de restrictions d’adresse IP.
remove Élément facultatif.

Supprime une référence à une restriction de la collection <ipSecurity>.
clear Élément facultatif.

Supprime toutes les références aux restrictions de la collection <ipSecurity>.

Exemple Configuration

L’exemple suivant illustre plusieurs paramètres de configuration liés à la sécurité dans l’élément <system.ftpServer> d’un site FTP. Plus précisément, les paramètres <location> de cet exemple montrent comment :

  • Spécifiez une règle d’autorisation FTP pour l’accès en lecture et en écriture pour le groupe Administrateurs.
  • Spécifiez les options de filtrage des demandes FTP qui refusent les fichiers *.exe, *.bat et *.cmd.
  • Spécifiez les limites de requête FTP pour une longueur de contenu maximale de 1 000 000 d’octets et une longueur d’URL maximale de 1024 octets.
  • Bloquez l’accès FTP au répertoire virtuel _vti_bin, qui est utilisé avec les extensions de serveur FrontPage.
  • Spécifiez les options de filtrage IP FTP qui autorisent l’accès à partir de 127.0.0.1 et refusent l’accès à partir de la plage d’adresses IP 169.254.0.0/255.255.0.0.
<location path="ftp.example.com">
  <system.ftpServer>
    <security>
      <authorization>
        <add accessType="Allow" roles="administrators" permissions="Read, Write" />
      </authorization>
      <requestFiltering>
        <fileExtensions allowUnlisted="true">
          <add fileExtension=".exe" allowed="false" />
          <add fileExtension=".bat" allowed="false" />
          <add fileExtension=".cmd" allowed="false" />
        </fileExtensions>
        <requestLimits maxAllowedContentLength="1000000" maxUrl="1024" />
        <hiddenSegments>
          <add segment="_vti_bin" />
        </hiddenSegments>
      </requestFiltering>
      <ipSecurity enableReverseDns="false" allowUnlisted="true">
        <add ipAddress="127.0.0.1" allowed="true" />
        <add ipAddress="169.254.0.0" subnetMask="255.255.0.0" allowed="false" />
      </ipSecurity>
    </security>
  </system.ftpServer>
</location>

Exemple de code

Les exemples suivants configurent la sécurité IP FTP pour autoriser les adresses IP non répertoriées, puis spécifient des restrictions IP qui autorisent l’accès à partir de 127.0.0.1 et refusent l’accès à partir de la plage d’adresses IP 169.254.0.0.0/255.255.0.0.

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/ipSecurity /allowUnlisted:"True" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/ipSecurity /+"[ipAddress='127.0.0.1',allowed='True']" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/ipSecurity /+"[ipAddress='169.254.0.0',subnetMask='255.255.0.0']" /commit:apphost

Remarque

Vous devez veiller à définir le paramètre commit sur apphost quand vous utilisez AppCmd.exe pour configurer ces paramètres. Cela valide les paramètres de configuration dans la section d’emplacement appropriée dans le fichier ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection ipSecuritySection = config.GetSection("system.ftpServer/security/ipSecurity", "Default Web Site");
         ConfigurationElementCollection ipSecurityCollection = ipSecuritySection.GetCollection();

         ipSecuritySection["allowUnlisted"] = true;

         ConfigurationElement addElement = ipSecurityCollection.CreateElement("add");
         addElement["ipAddress"] = @"127.0.0.1";
         addElement["allowed"] = true;
         ipSecurityCollection.Add(addElement);

         ConfigurationElement addElement1 = ipSecurityCollection.CreateElement("add");
         addElement1["ipAddress"] = @"169.254.0.0";
         addElement1["subnetMask"] = @"255.255.0.0";
         ipSecurityCollection.Add(addElement1);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration


Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim ipSecuritySection As ConfigurationSection = config.GetSection("system.ftpServer/security/ipSecurity", "Default Web Site")
      Dim ipSecurityCollection As ConfigurationElementCollection = ipSecuritySection.GetCollection

      ipSecuritySection("allowUnlisted") = True

      Dim addElement As ConfigurationElement = ipSecurityCollection.CreateElement("add")
      addElement("ipAddress") = "127.0.0.1"
      addElement("allowed") = True
      ipSecurityCollection.Add(addElement)

      Dim addElement1 As ConfigurationElement = ipSecurityCollection.CreateElement("add")
      addElement1("ipAddress") = "169.254.0.0"
      addElement1("subnetMask") = "255.255.0.0"
      ipSecurityCollection.Add(addElement1)

      serverManager.CommitChanges()
   End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var ipSecuritySection = adminManager.GetAdminSection("system.ftpServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var ipSecurityCollection = ipSecuritySection.Collection;

ipSecuritySection.Properties.Item("allowUnlisted").Value = true;

var addElement = ipSecurityCollection.CreateNewElement("add");
addElement.Properties.Item("ipAddress").Value = "127.0.0.1";
addElement.Properties.Item("allowed").Value = true;
ipSecurityCollection.AddElement(addElement);

var addElement1 = ipSecurityCollection.CreateNewElement("add");
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0";
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0";
ipSecurityCollection.AddElement(addElement1);

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set ipSecuritySection = adminManager.GetAdminSection("system.ftpServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set ipSecurityCollection = ipSecuritySection.Collection

ipSecuritySection.Properties.Item("allowUnlisted").Value = True

Set addElement = ipSecurityCollection.CreateNewElement("add")
addElement.Properties.Item("ipAddress").Value = "127.0.0.1"
addElement.Properties.Item("allowed").Value = True
ipSecurityCollection.AddElement(addElement)

Set addElement1 = ipSecurityCollection.CreateNewElement("add")
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0"
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0"
ipSecurityCollection.AddElement(addElement1)

adminManager.CommitChanges()