4. Ограничение доступа
Для некоторых серверов FTP желательно ограничение доступа по сетевым адресам. Например, сервер может ограничивать доступ к некоторым файлам из отдельных мест сети (например, тот или иной файл недоступен из сети определенной организации). В таких случаях серверу следует проверять принадлежность адресов удаленного хоста для управляющего соединения и соединения, используемого для передачи данных прежде, чем предоставлять возможность копирования файла с ограниченным доступом. Проверяя принадлежность адресов для обоих соединений, можно предотвратить несанкционированный доступ к файлу путем организации управляющего соединения из доверенной сети, а соединения для передачи данных из другого места. Точно так же клиенту следует проверять IP-адрес удаленного хоста после того, как будет принят запрос на организацию соединения для передачи данных, чтобы удостовериться, что данные будут получены от нужного сервера.
Отметим, что ограничение доступа по сетевым адресам не предотвращает уязвимость серверов FTP для атак с подменой адресов ("spoof" attack). В таких атаках злоумышленник может использовать подставной адрес из внутренней сети организации для получения доступа к файлам, недоступным извне. Для предотвращения подобных атак следует использовать защищенные механизмы аутентификации типа тех, что описаны в [RFC2228].