Вашите данни могат да бъдат изложени на риск просто чрез прехвърляне на файлове между собственото ви устройство и уебсайт. За да защитите вашата лична информация, настройките на защитната стена за външни и вътрешни сървъри трябва да бъдат правилно настроени. Ето защо е изключително важно да сте запознати с FTP сървъра и да разбирате различните стратегии за атака от гледна точка на нападател.
И така, какво представляват FTP сървърите? Как киберпрестъпниците могат да прихванат вашите данни, ако не са конфигурирани правилно?
Какво представляват FTP сървърите?
FTP означава протокол за прехвърляне на файлове. Той осигурява прехвърляне на файлове между два компютъра, свързани към интернет. С други думи, можете да прехвърляте файловете, които искате, към сървърите на уебсайта си чрез FTP. Можете да получите достъп до FTP от командния ред или клиент с графичен потребителски интерфейс (GUI).
По-голямата част от разработчиците, които използват FTP, са хора, които редовно поддържат уебсайтове и прехвърлят файлове. Този протокол помага да се направи поддръжката на уеб приложението лесна и безпроблемна. Въпреки че е доста стар протокол, той все още се използва активно. Можете да използвате FTP не само за качване на данни, но и за изтегляне на файлове. FTP сървърът, от друга страна, работи като приложение, използващо FTP протокола.
За да може нападателят ефективно да атакува FTP сървъра, правата на потребителя или общите настройки за сигурност трябва да бъдат неправилно зададени.
Как хакерите компрометират RCP комуникацията?
RCP означава Remote Procedure Call. Това помага на компютрите в мрежата да правят заявки помежду си, без да знаят подробностите за мрежата. Комуникацията с RCP не съдържа никакво криптиране; информацията, която изпращате и получавате, е в обикновен текст.
Ако използвате RCP по време на фазата на удостоверяване на FTP сървъра, потребителското име и паролата ще отидат на сървъра в обикновен текст. На този етап атакуващият, който слуша комуникацията, навлиза в трафика и достига до вашата информация, като улавя този текстов пакет.
По същия начин, тъй като трансферът на информация между клиента и сървъра е некриптиран, нападателят може откраднете пакета, който клиентът получава, и осъществете достъп до информацията без нужда от парола или потребителско име. С използването на SSL (Secure Socket Layer), можете да избегнете тази опасност, тъй като този защитен слой ще шифрова паролата, потребителското име и цялата комуникация на данни.
За да използвате тази структура, трябва да имате SSL-поддържан софтуер от страна на клиента. Освен това, ако искате да използвате SSL, ще ви трябва независим доставчик на сертификати трета страна, т.е. сертифициращ орган (CA). Тъй като CA извършва процеса на удостоверяване между сървъра и клиента, и двете страни трябва да имат доверие на тази институция.
Какво представляват активните и пасивните конфигурации на връзката?
FTP системата работи през два порта. Това са каналите за управление и данни.
Контролният канал работи на порт 21. Ако сте направили CTF решения с помощта на софтуер като nmap преди вероятно сте виждали порт 21. Клиентите се свързват към този порт на сървъра и започват комуникация с данни.
В канала за данни се извършва процесът на прехвърляне на файлове. Така че това е основната цел на съществуването на FTP. Има и два различни вида връзка при прехвърляне на файлове: активна и пасивна.
Активна връзка
Клиентът избира как да се изпращат данните по време на активна връзка. След това те изискват сървърът да започне предаването на данни от определен порт и сървърът го прави.
Един от най-значимите пропуски в тази система започва със сървъра, който започва прехвърлянето и защитната стена на клиента одобрява тази връзка. Ако защитната стена отвори порт, за да активира това и приеме връзки от тези портове, това е изключително рисковано. В резултат на това нападателят може да сканира клиента за отворени портове и да проникне в машината, използвайки един от FTP портовете, открити като отворени.
Пасивна връзка
При пасивна връзка сървърът решава по какъв начин да прехвърли данните. Клиентът изисква файл от сървъра. Сървърът изпраща на клиента информация от порта, от който сървърът може да я получи. Тази система е по-сигурна от активната връзка, тъй като иницииращата страна е клиентът, а сървърът се свързва към съответния порт. По този начин клиентът не трябва да отваря порта и да разрешава входящи връзки.
Но пасивната връзка все още може да бъде уязвима, тъй като сървърът отваря порт на себе си и чака. Нападателят сканира портовете на сървъра, свързва се с отворения порт, преди клиентът да поиска файла, и извлича съответния файл, без да има нужда от подробности като идентификационни данни за вход.
В този случай клиентът не може да предприеме никакви действия за защита на файла. Гарантирането на сигурността на изтегления файл е изцяло процес от страна на сървъра. И така, как можете да спрете това да се случи? За да се предпази от този тип атака, FTP сървърът трябва да позволява само IP или MAC адрес който поиска файлът да се свърже с порта, който отваря.
IP/MAC маскиране
Ако сървърът има IP/MAC контрол, нападателят трябва да открие IP и MAC адресите на действителния клиент и да се маскира съответно, за да открадне файла. Разбира се, в този случай шансът за успех на атаката ще намалее, тъй като е необходимо да се свържете със сървъра, преди компютърът да поиска файла. Докато атакуващият извърши IP и MAC маскиране, компютърът, който иска файла, ще бъде свързан към сървъра.
Период на изчакване
Успешна атака срещу сървър с IP/MAC филтриране е възможна, ако клиентът претърпи кратки периоди на прекъсване на връзката по време на прехвърляне на файлове. FTP сървърите обикновено определят определен период на изчакване, така че прехвърлянето на файлове да не приключи в случай на краткотрайни прекъсвания на връзката. Когато клиентът срещне такъв проблем, сървърът не излиза от IP и MAC адреса на клиента и изчаква връзката да бъде възстановена, докато изтече времето за изчакване.
Извършвайки IP и MAC маскиране, атакуващият се свързва с отворената сесия на сървъра през този интервал от време и продължава да изтегля файлове от мястото, където оригиналният клиент е спрял.
Как работи Bounce Attack?
Най-важната характеристика на bounce атаката е, че затруднява намирането на нападателя. Когато се използва заедно с други атаки, киберпрестъпникът може да атакува, без да оставя никакви следи. Логиката при този тип атака е да се използва FTP сървър като прокси. Основните видове атаки, за които съществува методът на отскачане, са сканиране на портове и преминаване на основни пакетни филтри.
Сканиране на портове
Ако нападател използва този метод за сканиране на портове, когато погледнете детайлите на регистрационните файлове на сървъра, ще видите FTP сървър като сканиращ компютър. Ако целевият сървър, който ще бъде атакуван, и FTP сървърът, действащ като прокси, са в една и съща подмрежа, целевият сървър не извършва никакво филтриране на пакети на данните, идващи от FTP сървъра. Изпратените пакети не са включени в защитната стена. Тъй като към тези пакети няма да се прилагат правила за достъп, шансът за успех на атакуващия се увеличава.
Преминаване на основни пакетни филтри
Използвайки този метод, нападателят може да получи достъп до вътрешния сървър зад анонимен FTP сървър, защитен от защитна стена. Нападателят, който се свързва с анонимния FTP сървър, открива свързания вътрешен сървър чрез метода за сканиране на портове и може да го достигне. И така, хакер може да атакува сървъра, който защитната стена защитава от външни връзки, от специално определена точка за комуникация с FTP сървъра.
Какво е атака за отказ на услуга?
DoS (Denial of Service) атаки не са нов вид уязвимост. DoS атаките се правят, за да попречат на сървъра да доставя файлове, като губи ресурсите на целевия сървър. Това означава, че посетителите на хакнат FTP сървър не могат да се свържат със сървъра или да получат файловете, които искат по време на тази атака. В този случай е възможно да понесете огромни финансови загуби за уеб приложение с висок трафик - и да направите посетителите много разочаровани!
Разберете как работят протоколите за споделяне на файлове
Нападателите могат лесно да открият протоколите, които използвате за качване на файлове. Всеки протокол има своите силни и слаби страни, така че трябва да овладеете различни методи за криптиране и да скриете тези портове. Разбира се, много по-добре е да видите нещата през очите на нападателя, за да разберете по-добре какви мерки трябва да предприемете, за да защитите себе си и посетителите.
Запомнете: нападателите ще бъдат една крачка пред вас в много отношения. Ако успеете да намерите своите уязвими места, можете да спечелите голямо предимство пред тях.