Ваши данные могут оказаться под угрозой из-за простой передачи файлов между вашим устройством и веб-сайтом. Для защиты вашей личной информации необходимо правильно настроить параметры брандмауэра как для внешних, так и для внутренних серверов. Вот почему так важно, чтобы вы были знакомы с FTP-сервером и понимали различные стратегии атак с точки зрения злоумышленника.
Так что же такое FTP-серверы? Как киберпреступники могут перехватить ваши данные, если они настроены неправильно?
Что такое FTP-серверы?
FTP означает протокол передачи файлов. Он обеспечивает передачу файлов между двумя компьютерами, подключенными к Интернету. Другими словами, вы можете передавать нужные файлы на серверы вашего веб-сайта через FTP. Вы можете получить доступ к FTP из командной строки или клиента графического пользовательского интерфейса (GUI).
Большинство разработчиков, использующих FTP, — это люди, которые регулярно поддерживают веб-сайты и передают файлы. Этот протокол помогает сделать обслуживание веб-приложения простым и беспроблемным. Хотя это довольно старый протокол, он до сих пор активно используется. Вы можете использовать FTP не только для загрузки данных, но и для загрузки файлов. С другой стороны, FTP-сервер работает как приложение, использующее протокол FTP.
Чтобы злоумышленник мог эффективно атаковать FTP-сервер, права пользователя или общие параметры безопасности должны быть установлены неправильно.
Как хакеры компрометируют связь RCP?
RCP означает удаленный вызов процедур. Это помогает компьютерам в сети выполнять некоторые запросы друг к другу, не зная деталей сети. Связь с RCP не содержит никакого шифрования; информация, которую вы отправляете и получаете, представлена в виде простого текста.
Если вы используете RCP на этапе аутентификации FTP-сервера, имя пользователя и пароль будут отправлены на сервер в виде обычного текста. На этом этапе злоумышленник, который прослушивает общение, входит в трафик и получает вашу информацию, перехватывая этот текстовый пакет.
Аналогичным образом, поскольку передача информации между клиентом и сервером не зашифрована, злоумышленник может украсть пакет, который получает клиент, и получить доступ к информации без необходимости пароля или имя пользователя. С использованием SSL (Secure Socket Layer), вы можете избежать этой опасности, потому что этот уровень безопасности будет шифровать пароль, имя пользователя и всю передачу данных.
Чтобы использовать эту структуру, на стороне клиента должно быть установлено программное обеспечение с поддержкой SSL. Кроме того, если вы хотите использовать SSL, вам понадобится независимый сторонний поставщик сертификатов, то есть Центр сертификации (ЦС). Поскольку CA выполняет процесс аутентификации между сервером и клиентом, обе стороны должны доверять этому учреждению.
Что такое активные и пассивные конфигурации подключения?
Система FTP работает через два порта. Это каналы управления и данных.
Канал управления работает на порту 21. Если вы использовали решения CTF с помощью программного обеспечения, такого как nmap раньше вы, вероятно, видели порт 21. Клиенты подключаются к этому порту сервера и инициируют передачу данных.
В канале данных происходит процесс передачи файлов. Так что это основная цель существования FTP. Также существует два разных типа соединения при передаче файлов: активное и пассивное.
Активное соединение
Клиент выбирает способ отправки данных во время активного соединения. Затем они запрашивают, чтобы сервер начал передачу данных с определенного порта, и сервер это делает.
Один из наиболее существенных недостатков этой системы начинается с того, что сервер начинает передачу, а брандмауэр клиента одобряет это соединение. Если брандмауэр открывает порт для этого и принимает соединения с этих портов, это чрезвычайно рискованно. Как следствие, злоумышленник может сканировать клиент на наличие открытых портов и взломать машину, используя один из обнаруженных открытых портов FTP.
Пассивное соединение
При пассивном соединении сервер решает, каким способом передавать данные. Клиент запрашивает файл с сервера. Сервер отправляет информацию о клиенте с любого порта, который сервер может ее получить. Эта система более безопасна, чем активное соединение, поскольку инициирующей стороной является клиент, а сервер подключается к соответствующему порту. Таким образом, клиенту не нужно открывать порт и разрешать входящие соединения.
Но пассивное соединение все еще может быть уязвимым, так как сервер открывает порт для себя и ждет. Злоумышленник сканирует порты на сервере, подключается к открытому порту до того, как клиент запрашивает файл, и извлекает соответствующий файл без необходимости вводить такие данные, как учетные данные для входа.
В этом случае клиент не может предпринять никаких действий для защиты файла. Обеспечение безопасности загруженного файла — полностью серверный процесс. Итак, как вы можете предотвратить это? Для защиты от этого типа атак FTP-сервер должен разрешать только IP-адрес или MAC-адрес который запросил файл для привязки к порту, который он открывает.
Маскировка IP/MAC
Если сервер имеет контроль IP/MAC, злоумышленник должен определить IP- и MAC-адреса фактического клиента и соответствующим образом замаскировать себя, чтобы украсть файл. Конечно, в этом случае шанс на успех атаки уменьшится, поскольку необходимо подключиться к серверу до того, как компьютер запросит файл. Пока злоумышленник не выполнит маскировку IP и MAC, компьютер, запрашивающий файл, будет подключен к серверу.
Период ожидания
Успешная атака на сервер с фильтрацией по IP/MAC возможна, если клиент испытывает короткие периоды отключения во время передачи файлов. FTP-серверы обычно определяют определенный период тайм-аута, чтобы передача файлов не прекращалась в случае кратковременных разрывов соединения. Когда клиент сталкивается с такой проблемой, сервер не отключает IP-адрес и MAC-адрес клиента и ожидает повторного установления соединения, пока не истечет время ожидания.
Выполняя маскировку IP и MAC, злоумышленник подключается к открытой сессии на сервере в течение этого временного интервала и продолжает скачивать файлы с того места, где остановился первоначальный клиент.
Как работает атака отскоком?
Наиболее важной особенностью атаки отказов является то, что злоумышленника трудно найти. При использовании в сочетании с другими атаками киберпреступник может атаковать, не оставляя следов. Логика этого типа атаки заключается в использовании FTP-сервера в качестве прокси. Основными типами атак, для которых существует метод bounce, являются сканирование портов и прохождение базовых фильтров пакетов.
Сканирование портов
Если злоумышленник использует этот метод для сканирования портов, при просмотре подробностей журналов сервера вы увидите FTP-сервер в качестве сканирующего компьютера. Если целевой сервер, который будет атакован, и FTP-сервер, выступающий в роли прокси, находятся в одной подсети, целевой сервер не выполняет никакой фильтрации пакетов данных, поступающих с FTP-сервера. Отправленные пакеты не подключены к брандмауэру. Поскольку к этим пакетам не применяются никакие правила доступа, шансы злоумышленника на успех возрастают.
Прохождение базовых фильтров пакетов
Используя этот метод, злоумышленник может получить доступ к внутреннему серверу за анонимным FTP-сервером, защищенным брандмауэром. Злоумышленник, подключающийся к анонимному FTP-серверу, обнаруживает подключенный внутренний сервер методом сканирования портов и может получить к нему доступ. Итак, хакер может атаковать сервер, который защищает брандмауэр от внешних подключений, из специально определенной точки для связи с FTP-сервером.
Что такое атака типа «отказ в обслуживании»?
DoS-атаки (отказ в обслуживании) не являются новым типом уязвимости. DoS-атаки выполняются, чтобы помешать серверу доставлять файлы, тратя впустую ресурсы целевого сервера. Это означает, что посетители взломанного FTP-сервера не могут подключиться к серверу или получить файлы, которые они запрашивают во время этой атаки. В этом случае можно понести огромные финансовые потери для веб-приложения с высокой посещаемостью и сильно разочаровать посетителей!
Понять, как работают протоколы обмена файлами
Злоумышленники могут легко обнаружить протоколы, которые вы используете для загрузки файлов. У каждого протокола есть свои сильные и слабые стороны, поэтому вам следует освоить различные методы шифрования и скрыть эти порты. Конечно, гораздо лучше смотреть на вещи глазами злоумышленника, чтобы лучше понять, какие меры нужно предпринять для защиты себя и посетителей.
Помните: злоумышленники будут на шаг впереди вас во многих отношениях. Если вы сможете найти свои уязвимые места, вы сможете получить большое преимущество над ними.
