Dataene dine kan være i fare ganske enkelt ved å overføre filer mellom din egen enhet og et nettsted. For å beskytte din personlige informasjon, må brannmurinnstillingene for både eksterne og interne servere være riktig konfigurert. Derfor er det viktig at du er kjent med FTP-serveren og forstår ulike angrepsstrategier fra en angripers perspektiv.
Så hva er FTP-servere? Hvordan kan nettkriminelle fange opp dataene dine hvis de ikke er riktig konfigurert?
Hva er FTP-servere?
FTP står for File Transfer Protocol. Det gir filoverføring mellom to datamaskiner koblet til internett. Du kan med andre ord overføre filene du ønsker over til nettsidens servere via FTP. Du kan få tilgang til FTP fra kommandolinjen eller grafisk brukergrensesnitt (GUI) klient.
Flertallet av utviklerne som bruker FTP er personer som regelmessig vedlikeholder nettsteder og overfører filer. Denne protokollen bidrar til å gjøre vedlikehold av nettapplikasjonen enkelt og problemfritt. Selv om det er en ganske gammel protokoll, brukes den fortsatt aktivt. Du kan bruke FTP ikke bare til å laste opp data, men også til å laste ned filer. En FTP-server, derimot, fungerer som en applikasjon som bruker FTP-protokollen.
For at en angriper effektivt skal kunne angripe FTP-serveren, må brukerens rettigheter eller generelle sikkerhetsinnstillinger være feil konfigurert.
Hvordan kompromitterer hackere RCP-kommunikasjon?
RCP står for Remote Procedure Call. Dette hjelper datamaskiner i et nettverk med å gjøre noen forespørsler mellom hverandre uten å vite nettverksdetaljene. Kommunikasjon med RCP inneholder ingen kryptering; informasjonen du sender og mottar er i ren tekst.
Hvis du bruker RCP under autentiseringsfasen til FTP-serveren, vil brukernavnet og passordet gå til serveren i ren tekst. På dette stadiet kommer angriperen, som lytter til kommunikasjonen, inn i trafikken og når informasjonen din ved å fange opp denne tekstpakken.
På samme måte, siden informasjonsoverføringen mellom klienten og serveren er ukryptert, kan angriperen stjele pakken klienten mottar og få tilgang til informasjonen uten behov for passord eller brukernavn. Med bruk av SSL (Secure Socket Layer), kan du unngå denne faren, fordi dette sikkerhetslaget vil kryptere passordet, brukernavnet og all datakommunikasjon.
For å bruke denne strukturen må du ha SSL-støttet programvare på klientsiden. Hvis du vil bruke SSL, trenger du også en uavhengig tredjeparts sertifikatleverandør, det vil si Certification Authority (CA). Siden CA utfører autentiseringsprosessen mellom serveren og klienten, må begge parter stole på den institusjonen.
Hva er aktive og passive tilkoblingskonfigurasjoner?
FTP-systemet fungerer over to porter. Dette er kontroll- og datakanalene.
Kontrollkanalen opererer på port 21. Hvis du har gjort CTF-løsninger bruker programvare som nmap før har du sikkert sett port 21. Klienter kobler til denne porten på serveren og starter datakommunikasjon.
I datakanalen foregår filoverføringsprosessen. Så dette er hovedformålet med FTPs eksistens. Det er også to forskjellige typer tilkobling ved overføring av filer: aktiv og passiv.
Aktiv tilkobling
Klienten velger hvordan dataene skal sendes under en aktiv tilkobling. De ber da om at serveren starter dataoverføringen fra en bestemt port, og serveren gjør det.
En av de viktigste feilene i dette systemet begynner med at serveren starter overføringen og klientens brannmur godkjenner denne tilkoblingen. Hvis brannmuren åpner en port for å aktivere dette og aksepterer tilkoblinger fra disse portene, er det ekstremt risikabelt. Som en konsekvens kan en angriper skanne klienten for åpne porter og hacke seg inn i maskinen ved å bruke en av FTP-portene som oppdages å være åpne.
Passiv tilkobling
I en passiv tilkobling bestemmer serveren hvilken vei som skal overføres data. Klienten ber om en fil fra serveren. Serveren sender klientinformasjonen fra hvilken port serveren kan motta den. Dette systemet er sikrere enn en aktiv tilkobling fordi den initierende parten er klienten og serveren kobles til den aktuelle porten. På den måten trenger ikke klienten å åpne porten og tillate innkommende tilkoblinger.
Men en passiv tilkobling kan fortsatt være sårbar da serveren åpner en port på seg selv og venter. Angriperen skanner portene på serveren, kobler til den åpne porten før klienten ber om filen, og henter den aktuelle filen uten behov for detaljer som påloggingsinformasjon.
I dette tilfellet kan klienten ikke gjøre noe for å beskytte filen. Å sikre sikkerheten til den nedlastede filen er en fullstendig prosess på serversiden. Så hvordan kan du stoppe dette fra å skje? For å beskytte mot denne typen angrep, må FTP-serveren bare tillate IP- eller MAC-adresse som ba filen om å binde seg til porten den åpner.
IP/MAC-maskering
Hvis serveren har IP/MAC-kontroll, må angriperen oppdage IP- og MAC-adressene til den faktiske klienten og maskere seg deretter for å stjele filen. Selvfølgelig, i dette tilfellet, vil sjansen for at angrepet lykkes reduseres fordi det er nødvendig å koble til serveren før datamaskinen ber om filen. Inntil angriperen utfører IP- og MAC-maskering, vil datamaskinen som ber om filen være koblet til serveren.
Tidsavbruddsperiode
Et vellykket angrep på en server med IP/MAC-filtrering er mulig hvis klienten opplever korte frakoblingsperioder under filoverføring. FTP-servere definerer generelt en viss tidsavbruddsperiode slik at filoverføringen ikke avsluttes ved kortvarige brudd i forbindelsen. Når klienten opplever et slikt problem, logger ikke serveren av klientens IP- og MAC-adresse og venter på at tilkoblingen skal gjenopprettes til tidsavbruddet utløper.
Ved å utføre IP- og MAC-maskering kobler angriperen seg til den åpne økten på serveren i løpet av dette tidsintervallet og fortsetter å laste ned filer fra der den opprinnelige klienten slapp.
Hvordan fungerer et sprettangrep?
Den viktigste egenskapen til sprett-angrepet er at det gjør det vanskelig for angriperen å bli funnet. Når den brukes sammen med andre angrep, kan en nettkriminell angripe uten å etterlate noen spor. Logikken i denne typen angrep er å bruke en FTP-server som proxy. De viktigste angrepstypene som avvisningsmetoden eksisterer for, er portskanning og overføring av grunnleggende pakkefiltre.
Portskanning
Hvis en angriper bruker denne metoden for portskanning, vil du se en FTP-server som skannedatamaskinen når du ser på detaljene i serverloggene. Hvis målserveren som skal angripes og FTP-serveren som fungerer som proxy er på samme subnett, utfører ikke målserveren noen pakkefiltrering på dataene som kommer fra FTP-serveren. De sendte pakkene er ikke koblet til brannmuren. Siden ingen tilgangsregler vil bli brukt på disse pakkene, øker angriperens sjanse for å lykkes.
Passerer grunnleggende pakkefiltre
Ved å bruke denne metoden kan en angriper få tilgang til den interne serveren bak en anonym FTP-server beskyttet av en brannmur. Angriperen som kobler til den anonyme FTP-serveren oppdager den tilkoblede interne serveren ved hjelp av portskannemetoden og kan nå den. Og så kan en hacker angripe serveren som brannmuren beskytter mot eksterne tilkoblinger, fra et spesielt definert punkt for å kommunisere med FTP-serveren.
Hva er et tjenestenektangrep?
DoS (Denial of Service)-angrep er ikke en ny type sårbarhet. DoS-angrep gjøres for å hindre serveren i å levere filer ved å kaste bort ressursene til målserveren. Dette betyr at besøkende på en hacket FTP-server ikke kan koble til serveren eller motta filene de ber om under dette angrepet. I dette tilfellet er det mulig å pådra seg store økonomiske tap for en nettapplikasjon med høy trafikk – og gjøre besøkende veldig frustrerte!
Forstå hvordan fildelingsprotokoller fungerer
Angripere kan enkelt oppdage protokollene du bruker for å laste opp filer. Hver protokoll har sine styrker og svakheter, så du bør mestre ulike krypteringsmetoder og skjule disse portene. Selvfølgelig er det mye bedre å se ting gjennom øynene til en angriper, for bedre å finne hvilke tiltak du må ta for å beskytte deg selv og besøkende.
Husk: angripere vil være et skritt foran deg på mange måter. Hvis du finner sårbarhetene dine, kan du få en stor fordel over dem.
