Adatai veszélybe kerülhetnek, ha fájlokat visz át saját eszköze és egy webhely között. Személyes adatainak védelme érdekében a tűzfal beállításait mind a külső, mind a belső szervereken megfelelően be kell állítani. Ezért fontos, hogy ismerje az FTP-kiszolgálót, és megértse a különféle támadási stratégiákat a támadó szemszögéből.
Tehát mik azok az FTP szerverek? Hogyan tudják a kiberbűnözők lehallgatni az Ön adatait, ha azok nincsenek megfelelően konfigurálva?
Mik azok az FTP szerverek?
Az FTP a File Transfer Protocol rövidítése. Fájlátvitelt biztosít két internetre csatlakoztatott számítógép között. Más szóval, FTP-n keresztül átviheti a kívánt fájlokat webhelye szervereire. Az FTP-t a parancssorból vagy a grafikus felhasználói felület (GUI) kliensből érheti el.
Az FTP-t használó fejlesztők többsége olyan ember, aki rendszeresen karbantartja a webhelyeket és fájlokat visz át. Ez a protokoll segít egyszerűvé és problémamentessé tenni a webalkalmazás karbantartását. Bár ez egy meglehetősen régi protokoll, még mindig aktívan használják. Az FTP-t nem csak adatok feltöltésére, hanem fájlok letöltésére is használhatja. Az FTP-szerver viszont úgy működik, mint egy FTP protokollt használó alkalmazás.
Ahhoz, hogy a támadó hatékonyan megtámadhassa az FTP-kiszolgálót, a felhasználó jogait vagy általános biztonsági beállításait rosszul kell beállítani.
Hogyan veszélyeztetik a hackerek az RCP kommunikációt?
Az RCP a Remote Procedure Call rövidítése. Ez segít a hálózatban lévő számítógépeknek olyan kéréseket tenni egymás között, amelyek nem ismerik a hálózat részleteit. Az RCP-vel folytatott kommunikáció nem tartalmaz titkosítást; az Ön által küldött és fogadott információk egyszerű szöveges formában vannak.
Ha RCP-t használ az FTP-szerver hitelesítési szakaszában, a felhasználónév és a jelszó egyszerű szövegben kerül a szerverhez. Ebben a szakaszban a kommunikációt hallgató támadó belép a forgalomba, és ennek a szöveges csomagnak a rögzítésével eléri az Ön adatait.
Hasonlóképpen, mivel az ügyfél és a kiszolgáló közötti információátvitel titkosítatlan, a támadó ezt megteheti ellopni a kliens által kapott csomagot, és jelszó nélkül hozzáférni az információkhoz, ill felhasználónév. SSL használatával (Secure Socket Layer), elkerülheti ezt a veszélyt, mert ez a biztonsági réteg titkosítja a jelszót, a felhasználónevet és az összes adatkommunikációt.
Ennek a struktúrának a használatához SSL-támogatott szoftverrel kell rendelkeznie a kliens oldalon. Ezenkívül, ha SSL-t szeretne használni, szüksége lesz egy független, harmadik féltől származó tanúsítványszolgáltatóra, azaz a hitelesítési hatóságra (CA). Mivel a hitelesítésszolgáltató végzi el a hitelesítési folyamatot a szerver és az ügyfél között, mindkét félnek megbíznia kell ebben az intézményben.
Mik azok az aktív és passzív csatlakozási konfigurációk?
Az FTP rendszer két porton keresztül működik. Ezek a vezérlő- és adatcsatornák.
A vezérlőcsatorna a 21-es porton működik. Ha csináltál CTF megoldásokat olyan szoftverrel, mint az nmap korábban valószínűleg láttad a 21-es portot. Az ügyfelek a szerver ezen portjához csatlakoznak és adatkommunikációt kezdeményeznek.
Az adatcsatornában a fájlátviteli folyamat zajlik. Tehát ez az FTP létezésének fő célja. A fájlok átvitele során két különböző típusú kapcsolat is létezik: aktív és passzív.
Aktív kapcsolat
A kliens kiválasztja, hogyan küldje el az adatokat egy aktív kapcsolat során. Ezután kérik, hogy a szerver indítsa el az adatátvitelt egy bizonyos portról, és a szerver ezt meg is teszi.
Ennek a rendszernek az egyik legjelentősebb hibája azzal kezdődik, hogy a szerver elindítja az átvitelt, és a kliens tűzfala jóváhagyja ezt a kapcsolatot. Ha a tűzfal megnyit egy portot, hogy engedélyezze ezt, és fogadjon kapcsolatokat ezekről a portokról, az rendkívül kockázatos. Ennek eredményeként a támadó átvizsgálhatja a klienst, keresve a nyitott portokat, és a nyitottnak talált FTP-portok egyikével feltörheti a gépet.
Passzív kapcsolat
Passzív kapcsolat esetén a szerver dönti el, hogy milyen módon továbbítsa az adatokat. Az ügyfél kér egy fájlt a szervertől. A szerver elküldi a kliens információit, amelyikről a szerver fogadni tudja. Ez a rendszer biztonságosabb, mint egy aktív kapcsolat, mert a kezdeményező fél a kliens, és a szerver csatlakozik a megfelelő porthoz. Így az ügyfélnek nem kell megnyitnia a portot és engedélyeznie a bejövő kapcsolatokat.
A passzív kapcsolat azonban továbbra is sérülékeny lehet, mivel a szerver megnyit egy portot, és vár. A támadó átvizsgálja a kiszolgáló portjait, csatlakozik a nyitott porthoz, mielőtt az ügyfél kérné a fájlt, és lekéri a megfelelő fájlt anélkül, hogy szüksége lenne részletekre, például bejelentkezési adatokra.
Ebben az esetben az ügyfél nem tehet semmit a fájl védelmére. A letöltött fájl biztonságának biztosítása teljesen szerveroldali folyamat. Szóval hogyan lehet megakadályozni, hogy ez megtörténjen? Az ilyen típusú támadások elleni védelem érdekében az FTP-kiszolgáló csak a IP vagy MAC cím amely azt kérte, hogy a fájl kapcsolódjon a megnyitott porthoz.
IP/MAC maszkolás
Ha a szerver rendelkezik IP/MAC-vezérléssel, a támadónak észlelnie kell a tényleges kliens IP- és MAC-címét, és ennek megfelelően maszkolnia kell magát a fájl ellopásához. Természetesen ebben az esetben a támadás sikerének esélye csökken, mert csatlakozni kell a szerverhez, mielőtt a számítógép lekérné a fájlt. Amíg a támadó nem hajtja végre az IP- és MAC-maszkolást, a fájlt kérő számítógép csatlakozik a szerverhez.
Időtúllépési időszak
Egy IP/MAC-szűréssel rendelkező szerver elleni sikeres támadás akkor lehetséges, ha a kliens a fájlátvitel során rövid megszakítási periódusokat tapasztal. Az FTP szerverek általában meghatározott időtúllépési időt határoznak meg, hogy a fájlátvitel ne érjen véget a kapcsolat rövid távú megszakadása esetén. Ha az ügyfél ilyen problémát tapasztal, a szerver nem jelentkezik ki az ügyfél IP- és MAC-címéről, és az időkorlát lejártáig várja a kapcsolat helyreállítását.
Az IP- és MAC-maszkolás végrehajtása során a támadó ezen időintervallum alatt csatlakozik a szerver nyitott munkamenetéhez, és onnan folytatja a fájlok letöltését, ahol az eredeti kliens abbahagyta.
Hogyan működik a visszapattanó támadás?
A visszapattanó támadás legfontosabb jellemzője, hogy megnehezíti a támadó megtalálását. Ha más támadásokkal együtt használják, a kiberbűnözők nyomok hagyása nélkül támadhatnak. Az ilyen típusú támadások logikája az, hogy egy FTP-kiszolgálót használjon proxyként. A fő támadástípusok, amelyekre a visszapattanási módszer létezik, a portellenőrzés és az alapvető csomagszűrők átadása.
Port szkennelés
Ha egy támadó ezt a módszert használja a portellenőrzéshez, a kiszolgálónaplók részleteinek megtekintésekor egy FTP-kiszolgálót fog látni vizsgáló számítógépként. Ha a megtámadandó célkiszolgáló és a proxyként működő FTP-kiszolgáló ugyanazon az alhálózaton található, a célkiszolgáló nem végez csomagszűrést az FTP-kiszolgálóról érkező adatokon. Az elküldött csomagok nincsenek bedugva a tűzfalba. Mivel ezekre a csomagokra nem vonatkoznak hozzáférési szabályok, a támadó sikerének esélye megnő.
Az alapvető csomagszűrők átadása
Ezzel a módszerrel a támadó hozzáférhet a tűzfallal védett névtelen FTP-kiszolgáló mögötti belső kiszolgálóhoz. Az anonim FTP-kiszolgálóhoz csatlakozó támadó a portszkennelési módszerrel észleli a csatlakoztatott belső szervert, és el tudja érni. Így a hacker megtámadhatja azt a kiszolgálót, amelyet a tűzfal véd a külső kapcsolatok ellen, egy speciálisan meghatározott pontról az FTP-kiszolgálóval való kommunikációhoz.
Mi az a szolgáltatásmegtagadási támadás?
DoS (Denial of Service) támadások nem egy új típusú sebezhetőség. A DoS támadások célja, hogy a célkiszolgáló erőforrásainak pazarlása révén megakadályozzák a kiszolgálót a fájlok kézbesítésében. Ez azt jelenti, hogy a feltört FTP-kiszolgáló látogatói nem csatlakozhatnak a szerverhez, és nem fogadhatják el a támadás során kért fájlokat. Ebben az esetben hatalmas anyagi veszteségeket érhet el egy nagy forgalmú webes alkalmazás – és nagyon elkeseríti a látogatókat!
Ismerje meg a fájlmegosztó protokollok működését
A támadók könnyen felfedezhetik a fájlok feltöltéséhez használt protokollokat. Minden protokollnak megvannak a maga erősségei és gyengeségei, ezért érdemes elsajátítania a különféle titkosítási módszereket, és el kell rejtenie ezeket a portokat. Természetesen sokkal jobb egy támadó szemével látni a dolgokat, hogy jobban megtudja, milyen intézkedéseket kell tennie önmaga és a látogatók védelme érdekében.
Ne feledje: a támadók sok tekintetben egy lépéssel előtted járnak. Ha megtalálod a sebezhetőségeidet, nagy előnyre tehetsz szert velük szemben.
