Twoje dane mogą być zagrożone po prostu przez przesyłanie plików między własnym urządzeniem a witryną internetową. Aby chronić Twoje dane osobowe, ustawienia zapory dla serwerów zewnętrznych i wewnętrznych muszą być odpowiednio skonfigurowane. Dlatego tak ważna jest znajomość serwera FTP i zrozumienie różnych strategii ataków z perspektywy atakującego.
Czym więc są serwery FTP? W jaki sposób cyberprzestępcy mogą przechwycić Twoje dane, jeśli nie są one odpowiednio skonfigurowane?
Czym są serwery FTP?
FTP oznacza protokół przesyłania plików. Zapewnia transfer plików między dwoma komputerami podłączonymi do Internetu. Innymi słowy, możesz przesyłać pliki, które chcesz, na serwery swojej witryny za pośrednictwem FTP. Dostęp do FTP można uzyskać z wiersza poleceń lub klienta graficznego interfejsu użytkownika (GUI).
Większość programistów korzystających z FTP to osoby, które regularnie utrzymują strony internetowe i przesyłają pliki. Protokół ten pomaga uczynić konserwację aplikacji internetowej łatwą i bezproblemową. Chociaż jest to dość stary protokół, nadal jest aktywnie używany. Możesz używać FTP nie tylko do przesyłania danych, ale także do pobierania plików. Z drugiej strony serwer FTP działa jak aplikacja korzystająca z protokołu FTP.
Aby atakujący mógł skutecznie zaatakować serwer FTP, prawa użytkownika lub ogólne ustawienia bezpieczeństwa muszą być źle skonfigurowane.
W jaki sposób hakerzy naruszają komunikację RCP?
RCP oznacza zdalne wywołanie procedury. Pomaga to komputerom w sieci przesyłać między sobą niektóre żądania bez znajomości szczegółów sieci. Komunikacja z RCP nie zawiera żadnego szyfrowania; informacje, które wysyłasz i odbierasz, są w postaci zwykłego tekstu.
Jeśli użyjesz RCP podczas fazy uwierzytelniania serwera FTP, nazwa użytkownika i hasło trafią do serwera w postaci zwykłego tekstu. Na tym etapie atakujący, który nasłuchuje komunikacji, włącza się do ruchu i dociera do twoich informacji, przechwytując ten pakiet tekstowy.
Podobnie, ponieważ transfer informacji między klientem a serwerem jest niezaszyfrowany, atakujący może to zrobić ukraść pakiet otrzymywany przez klienta i uzyskać dostęp do informacji bez konieczności podawania hasła lub nazwa użytkownika. Z wykorzystaniem SSL (Secure Socket Layer), możesz uniknąć tego niebezpieczeństwa, ponieważ ta warstwa bezpieczeństwa zaszyfruje hasło, nazwę użytkownika i całą komunikację danych.
Aby korzystać z tej struktury, musisz mieć oprogramowanie obsługujące SSL po stronie klienta. Ponadto, jeśli chcesz korzystać z protokołu SSL, będziesz potrzebować niezależnego, zewnętrznego dostawcy certyfikatów, tj. urzędu certyfikacji (CA). Ponieważ urząd certyfikacji przeprowadza proces uwierzytelniania między serwerem a klientem, obie strony muszą ufać tej instytucji.
Czym są aktywne i pasywne konfiguracje połączenia?
System FTP działa na dwóch portach. Są to kanały sterowania i danych.
Kanał sterujący działa na porcie 21. Jeśli wykonałeś rozwiązania CTF przy użyciu oprogramowania takiego jak nmap wcześniej prawdopodobnie widziałeś port 21. Klienci łączą się z tym portem serwera i inicjują transmisję danych.
W kanale danych odbywa się proces przesyłania plików. To jest główny cel istnienia FTP. Istnieją również dwa różne rodzaje połączeń podczas przesyłania plików: aktywne i pasywne.
Aktywne połączenie
Klient wybiera sposób przesyłania danych podczas aktywnego połączenia. Następnie żądają, aby serwer rozpoczął transmisję danych z określonego portu, a serwer to robi.
Jedna z najbardziej znaczących wad tego systemu zaczyna się od tego, że serwer rozpoczyna transfer, a zapora ogniowa klienta zatwierdza to połączenie. Jeśli zapora otworzy port, aby to umożliwić, i zaakceptuje połączenia z tych portów, jest to bardzo ryzykowne. W rezultacie osoba atakująca może przeskanować klienta w poszukiwaniu otwartych portów i włamać się do maszyny przy użyciu jednego z odkrytych portów FTP.
Połączenie pasywne
W połączeniu pasywnym serwer decyduje, w jaki sposób przesłać dane. Klient żąda pliku z serwera. Serwer wysyła informacje do klienta z dowolnego portu, na którym serwer może je odebrać. Ten system jest bezpieczniejszy niż aktywne połączenie, ponieważ stroną inicjującą jest klient, a serwer łączy się z odpowiednim portem. W ten sposób klient nie musi otwierać portu i zezwalać na połączenia przychodzące.
Ale pasywne połączenie może nadal być podatne na ataki, ponieważ serwer otwiera port na sobie i czeka. Atakujący skanuje porty na serwerze, łączy się z otwartym portem, zanim klient zażąda pliku, i pobiera odpowiedni plik bez konieczności podawania szczegółów, takich jak dane logowania.
W takim przypadku klient nie może podjąć żadnych działań w celu ochrony pliku. Zapewnienie bezpieczeństwa pobieranego pliku jest procesem całkowicie po stronie serwera. Jak więc możesz temu zapobiec? Aby chronić się przed tego typu atakami, serwer FTP musi zezwalać tylko na Adres IP lub MAC który zażądał powiązania pliku z portem, który otwiera.
Maskowanie adresów IP/MAC
Jeśli serwer ma kontrolę IP/MAC, osoba atakująca musi wykryć adresy IP i MAC rzeczywistego klienta i odpowiednio się zamaskować, aby ukraść plik. Oczywiście w tym przypadku szansa na powodzenie ataku będzie mniejsza, ponieważ konieczne jest połączenie się z serwerem, zanim komputer zażąda pliku. Dopóki atakujący nie wykona maskowania adresów IP i MAC, komputer żądający pliku będzie połączony z serwerem.
Okres limitu czasu
Udany atak na serwer z filtrowaniem adresów IP/MAC jest możliwy, jeśli klient doświadcza krótkich okresów rozłączenia podczas przesyłania plików. Serwery FTP z reguły definiują pewien limit czasu, aby przesyłanie plików nie zakończyło się w przypadku krótkotrwałych przerw w połączeniu. Gdy klient napotka taki problem, serwer nie wylogowuje adresu IP i MAC klienta i czeka na ponowne nawiązanie połączenia, aż upłynie limit czasu.
Wykonując maskowanie adresów IP i adresów MAC, atakujący łączy się z otwartą sesją na serwerze w tym przedziale czasu i kontynuuje pobieranie plików od miejsca, w którym pierwotny klient je przerwał.
Jak działa atak z odbiciem?
Najważniejszą cechą ataku odbicia jest to, że utrudnia on odnalezienie atakującego. W połączeniu z innymi atakami cyberprzestępca może atakować bez pozostawiania śladów. Logika tego typu ataku polega na użyciu serwera FTP jako serwera proxy. Główne typy ataków, dla których istnieje metoda odbijania, to skanowanie portów i przepuszczanie podstawowych filtrów pakietów.
Skanowanie portów
Jeśli atakujący użyje tej metody do skanowania portów, po przejrzeniu szczegółowych dzienników serwera zobaczysz serwer FTP jako komputer skanujący. Jeśli serwer docelowy, który ma zostać zaatakowany, oraz serwer FTP działający jako proxy znajdują się w tej samej podsieci, serwer docelowy nie filtruje żadnych danych pochodzących z serwera FTP. Wysłane pakiety nie są podłączane do zapory. Ponieważ do tych pakietów nie zostaną zastosowane żadne reguły dostępu, zwiększa się szansa na sukces atakującego.
Przepuszczanie podstawowych filtrów pakietów
Korzystając z tej metody, osoba atakująca może uzyskać dostęp do wewnętrznego serwera za anonimowym serwerem FTP chronionym przez zaporę ogniową. Atakujący łączący się z anonimowym serwerem FTP wykrywa połączony serwer wewnętrzny metodą skanowania portów i może się do niego dostać. I tak haker może zaatakować serwer, który chroni firewall przed połączeniami zewnętrznymi, ze specjalnie zdefiniowanego punktu komunikacji z serwerem FTP.
Co to jest atak typu „odmowa usługi”?
Ataki typu DoS (Denial of Service). nie są nowym rodzajem podatności. Ataki DoS mają na celu uniemożliwienie serwerowi dostarczania plików poprzez marnowanie zasobów serwera docelowego. Oznacza to, że odwiedzający zhakowany serwer FTP nie mogą połączyć się z serwerem ani otrzymać żądanych plików podczas tego ataku. W takim przypadku możliwe jest poniesienie ogromnych strat finansowych dla aplikacji internetowej o dużym natężeniu ruchu — i bardzo sfrustrowanie odwiedzających!
Dowiedz się, jak działają protokoły udostępniania plików
Atakujący mogą łatwo wykryć protokoły używane do przesyłania plików. Każdy protokół ma swoje mocne i słabe strony, dlatego powinieneś opanować różne metody szyfrowania i ukryć te porty. Oczywiście znacznie lepiej jest spojrzeć na sprawy oczami atakującego, aby lepiej określić, jakie środki należy podjąć, aby chronić siebie i gości.
Pamiętaj: napastnicy będą o krok przed tobą na wiele sposobów. Jeśli potrafisz znaleźć swoje słabe strony, możesz zyskać nad nimi wielką przewagę.