Datele dvs. ar putea fi în pericol pur și simplu prin transferul de fișiere între propriul dispozitiv și un site web. Pentru a vă proteja informațiile personale, setările paravanului de protecție atât pentru serverele externe, cât și pentru cele interne trebuie să fie configurate corect. De aceea, este esențial să fiți familiarizat cu serverul FTP și să înțelegeți diferitele strategii de atac din perspectiva unui atacator.
Deci, ce sunt serverele FTP? Cum vă pot intercepta infractorii cibernetici datele dacă nu sunt configurate corect?
Ce sunt serverele FTP?
FTP înseamnă File Transfer Protocol. Oferă transfer de fișiere între două computere conectate la internet. Cu alte cuvinte, puteți transfera fișierele pe care le doriți pe serverele site-ului dvs. prin FTP. Puteți accesa FTP de la linia de comandă sau de la clientul Graphical User Interface (GUI).
Majoritatea dezvoltatorilor care folosesc FTP sunt oameni care întrețin în mod regulat site-uri web și transferă fișiere. Acest protocol ajută la întreținerea aplicației web ușoară și fără probleme. Deși este un protocol destul de vechi, este încă folosit în mod activ. Puteți utiliza FTP nu numai pentru a încărca date, ci și pentru a descărca fișiere. Un server FTP, pe de altă parte, funcționează ca o aplicație care utilizează protocolul FTP.
Pentru ca un atacator să atace în mod eficient serverul FTP, drepturile utilizatorului sau setările generale de securitate trebuie să fie configurate greșit.
Cum compromit hackerii comunicarea RCP?
RCP înseamnă Remote Procedure Call. Acest lucru ajută computerele dintr-o rețea să facă unele solicitări între ele fără a cunoaște detaliile rețelei. Comunicarea cu RCP nu conține nicio criptare; informațiile pe care le trimiteți și primiți sunt în text simplu.
Dacă utilizați RCP în timpul fazei de autentificare a serverului FTP, numele de utilizator și parola vor ajunge la server în text simplu. În această etapă, atacatorul, care ascultă comunicarea, intră în trafic și ajunge la informațiile tale prin captarea acestui pachet de text.
La fel, deoarece transferul de informații între client și server este necriptat, atacatorul poate fura pachetul pe care clientul îl primește și accesează informațiile fără a fi nevoie de o parolă sau nume de utilizator. Cu utilizarea SSL (Secure Socket Layer), puteți evita acest pericol, deoarece acest strat de securitate va cripta parola, numele de utilizator și toate comunicațiile de date.
Pentru a utiliza această structură, trebuie să aveți software compatibil SSL pe partea client. De asemenea, dacă doriți să utilizați SSL, veți avea nevoie de un furnizor independent de certificate terță parte, adică Autoritatea de Certificare (CA). Deoarece CA face procesul de autentificare între server și client, ambele părți trebuie să aibă încredere în instituția respectivă.
Ce sunt configurațiile de conexiune activă și pasivă?
Sistemul FTP funcționează pe două porturi. Acestea sunt canalele de control și de date.
Canalul de control operează pe portul 21. Dacă ai făcut soluții CTF folosind software precum nmap înainte, probabil ați văzut portul 21. Clienții se conectează la acest port al serverului și inițiază comunicarea de date.
În canalul de date are loc procesul de transfer al fișierelor. Deci acesta este scopul principal al existenței FTP. Există, de asemenea, două tipuri diferite de conexiune la transferul fișierelor: activă și pasivă.
Conexiune activă
Clientul selectează modul în care vor fi trimise datele în timpul unei conexiuni active. Apoi solicită serverului să înceapă transmisia de date de la un anumit port, iar serverul face acest lucru.
Unul dintre cele mai semnificative defecte ale acestui sistem începe cu serverul care începe transferul și firewall-ul clientului aprobă această conexiune. Dacă firewall-ul deschide un port pentru a activa acest lucru și acceptă conexiuni de la aceste porturi, este extrem de riscant. În consecință, un atacator poate scana clientul pentru porturi deschise și poate sparge mașina folosind unul dintre porturile FTP descoperite a fi deschise.
Conexiune pasivă
Într-o conexiune pasivă, serverul decide în ce mod să transfere datele. Clientul solicită un fișier de la server. Serverul trimite informațiile despre client de la orice port pe care serverul le poate primi. Acest sistem este mai sigur decât o conexiune activă, deoarece partea care inițiază este clientul, iar serverul se conectează la portul relevant. În acest fel, clientul nu trebuie să deschidă portul și să permită conexiunile de intrare.
Dar o conexiune pasivă poate fi totuși vulnerabilă, deoarece serverul își deschide un port și așteaptă. Atacatorul scanează porturile de pe server, se conectează la portul deschis înainte ca clientul să solicite fișierul și preia fișierul relevant fără a fi nevoie de detalii precum acreditările de conectare.
În acest caz, clientul nu poate lua nicio măsură pentru a proteja fișierul. Asigurarea securității fișierului descărcat este un proces complet pe partea serverului. Deci, cum poți împiedica acest lucru să se întâmple? Pentru a se proteja împotriva acestui tip de atac, serverul FTP trebuie să permită doar adresa IP sau MAC care a solicitat ca fișierul să fie legat de portul pe care îl deschide.
Mascare IP/MAC
Dacă serverul are control IP/MAC, atacatorul trebuie să detecteze adresele IP și MAC ale clientului real și să se mascheze în consecință pentru a fura fișierul. Desigur, în acest caz, șansa de succes a atacului va scădea deoarece este necesar să vă conectați la server înainte ca computerul să solicite fișierul. Până când atacatorul efectuează mascarea IP și MAC, computerul care solicită fișierul va fi conectat la server.
Perioada de expirare
Un atac de succes asupra unui server cu filtrare IP/MAC este posibil dacă clientul experimentează perioade scurte de deconectare în timpul transferului de fișiere. Serverele FTP definesc, în general, o anumită perioadă de timeout, astfel încât transferul de fișiere să nu se termine în cazul întreruperilor de scurtă durată a conexiunii. Când clientul întâmpină o astfel de problemă, serverul nu se deconectează de adresa IP și MAC a clientului și așteaptă ca conexiunea să fie restabilită până la expirarea timpului de expirare.
Efectuând mascarea IP și MAC, atacatorul se conectează la sesiunea deschisă de pe server în acest interval de timp și continuă să descarce fișiere de unde a rămas clientul original.
Cum funcționează un atac de săritură?
Cea mai importantă caracteristică a atacului de săritură este că face dificilă găsirea atacatorului. Când este utilizat împreună cu alte atacuri, un criminal cibernetic poate ataca fără să lase urme. Logica în acest tip de atac este utilizarea unui server FTP ca proxy. Principalele tipuri de atac pentru care există metoda bounce sunt scanarea portului și trecerea filtrelor de pachete de bază.
Scanare porturi
Dacă un atacator folosește această metodă pentru scanarea portului, atunci când te uiți la detaliile jurnalelor serverului, vei vedea un server FTP ca computer de scanare. Dacă serverul țintă care urmează să fie atacat și serverul FTP care acționează ca proxy se află pe aceeași subrețea, serverul țintă nu efectuează nicio filtrare de pachete asupra datelor care provin de la serverul FTP. Pachetele trimise nu sunt conectate la firewall. Deoarece nu vor fi aplicate reguli de acces acestor pachete, șansa de succes a atacatorului crește.
Trecerea filtrelor de pachete de bază
Folosind această metodă, un atacator poate accesa serverul intern din spatele unui server FTP anonim protejat de un firewall. Atacatorul care se conectează la serverul FTP anonim detectează serverul intern conectat prin metoda de scanare a portului și poate ajunge la el. Și astfel, un hacker poate ataca serverul pe care firewall-ul îl protejează împotriva conexiunilor externe, dintr-un punct special definit pentru comunicarea cu serverul FTP.
Ce este un atac de refuzare a serviciului?
Atacurile DoS (Denial of Service). nu sunt un tip nou de vulnerabilitate. Atacurile DoS sunt făcute pentru a împiedica serverul să livreze fișiere prin irosirea resurselor serverului țintă. Aceasta înseamnă că vizitatorii unui server FTP piratat nu se pot conecta la server sau nu pot primi fișierele pe care le solicită în timpul acestui atac. În acest caz, este posibil să suferiți pierderi financiare uriașe pentru o aplicație web cu trafic ridicat și să-i faceți foarte frustrați pe vizitatori!
Înțelegeți cum funcționează protocoalele de partajare a fișierelor
Atacatorii pot descoperi cu ușurință protocoalele pe care le utilizați pentru a încărca fișiere. Fiecare protocol are punctele sale forte și punctele sale slabe, așa că ar trebui să stăpâniți diferite metode de criptare și să ascundeți aceste porturi. Desigur, este mult mai bine să vezi lucrurile prin ochii unui atacator, pentru a găsi mai bine ce măsuri trebuie să iei pentru a te proteja pe tine și pe vizitatori.
Ține minte: atacatorii vor fi cu un pas înaintea ta în multe privințe. Dacă îți poți găsi vulnerabilitățile, poți câștiga un mare avantaj față de ele.