Vaše údaje môžu byť ohrozené jednoduchým prenosom súborov medzi vlastným zariadením a webovou stránkou. Na ochranu vašich osobných údajov je potrebné správne nastaviť firewall pre externé aj interné servery. Preto je dôležité, aby ste poznali FTP server a rozumeli rôznym stratégiám útoku z pohľadu útočníka.
Čo sú teda servery FTP? Ako môžu počítačoví zločinci zachytiť vaše údaje, ak nie sú správne nakonfigurované?
Čo sú to FTP servery?
FTP je skratka pre File Transfer Protocol. Poskytuje prenos súborov medzi dvoma počítačmi pripojenými na internet. Inými slovami, súbory, ktoré chcete, môžete preniesť na servery svojich webových stránok cez FTP. K FTP môžete pristupovať z príkazového riadka alebo klienta grafického používateľského rozhrania (GUI).
Väčšina vývojárov, ktorí používajú FTP, sú ľudia, ktorí pravidelne spravujú webové stránky a prenášajú súbory. Tento protokol pomáha urobiť údržbu webovej aplikácie jednoduchou a bezproblémovou. Hoci ide o pomerne starý protokol, stále sa aktívne používa. FTP môžete použiť nielen na nahrávanie údajov, ale aj na sťahovanie súborov. Na druhej strane FTP server funguje ako aplikácia využívajúca FTP protokol.
Aby mohol útočník efektívne napadnúť FTP server, musia byť nesprávne nastavené užívateľské práva alebo všeobecné bezpečnostné nastavenia.
Ako hackeri ohrozujú komunikáciu RCP?
RCP je skratka pre Remote Procedure Call. To pomáha počítačom v sieti vytvárať medzi sebou určité požiadavky bez toho, aby poznali podrobnosti o sieti. Komunikácia s RCP neobsahuje žiadne šifrovanie; informácie, ktoré odosielate a prijímate, sú vo forme obyčajného textu.
Ak použijete RCP počas overovacej fázy FTP servera, používateľské meno a heslo budú odoslané na server ako obyčajný text. V tejto fáze útočník, ktorý počúva komunikáciu, vstúpi do prevádzky a dostane sa k vašim informáciám zachytením tohto textového paketu.
Podobne, keďže prenos informácií medzi klientom a serverom je nešifrovaný, útočník môže ukradnúť paket, ktorý klient dostáva a získať prístup k informáciám bez potreby hesla, resp užívateľské meno. S použitím SSL (Secure Socket Layer), tomuto nebezpečenstvu sa môžete vyhnúť, pretože táto bezpečnostná vrstva zašifruje heslo, používateľské meno a všetku dátovú komunikáciu.
Ak chcete použiť túto štruktúru, musíte mať na strane klienta softvér s podporou SSL. Okrem toho, ak chcete používať SSL, budete potrebovať nezávislého poskytovateľa certifikátov tretej strany, t. j. certifikačnú autoritu (CA). Keďže CA vykonáva proces autentifikácie medzi serverom a klientom, obe strany musia tejto inštitúcii dôverovať.
Čo sú konfigurácie aktívneho a pasívneho pripojenia?
FTP systém funguje cez dva porty. Toto sú riadiace a dátové kanály.
Riadiaci kanál funguje na porte 21. Ak ste urobili riešenia CTF pomocou softvéru ako nmap Port 21 ste už pravdepodobne videli. Klienti sa pripájajú na tento port servera a iniciujú dátovú komunikáciu.
V dátovom kanáli prebieha proces prenosu súborov. Toto je teda hlavný účel existencie FTP. Pri prenose súborov existujú aj dva rôzne typy pripojenia: aktívne a pasívne.
Aktívne pripojenie
Klient si vyberie, akým spôsobom sa budú dáta odosielať počas aktívneho pripojenia. Potom požiadajú server, aby spustil prenos dát z určitého portu a server tak urobí.
Jeden z najvýznamnejších nedostatkov v tomto systéme začína tým, že server spustí prenos a klientsky firewall schváli toto pripojenie. Ak brána firewall otvorí port, aby to umožnila, a akceptuje pripojenia z týchto portov, je to mimoriadne riskantné. V dôsledku toho môže útočník skenovať klienta na otvorené porty a nabúrať sa do počítača pomocou jedného z portov FTP, o ktorých sa zistilo, že sú otvorené.
Pasívne pripojenie
Pri pasívnom pripojení server rozhoduje o spôsobe prenosu údajov. Klient požaduje súbor zo servera. Server odosiela informácie o klientovi z ľubovoľného portu, z ktorého ich server môže prijať. Tento systém je bezpečnejší ako aktívne pripojenie, pretože iniciujúcou stranou je klient a server sa pripája na príslušný port. Týmto spôsobom klient nemusí otvárať port a povoľovať prichádzajúce pripojenia.
Pasívne pripojenie však môže byť stále zraniteľné, pretože server sám otvorí port a čaká. Útočník prehľadá porty na serveri, pripojí sa k otvorenému portu predtým, ako klient požiada o súbor, a získa príslušný súbor bez toho, aby potreboval podrobnosti, ako sú prihlasovacie údaje.
V tomto prípade klient nemôže vykonať žiadnu akciu na ochranu súboru. Zabezpečenie bezpečnosti sťahovaného súboru je úplne proces na strane servera. Ako teda môžete zabrániť tomu, aby sa to stalo? Na ochranu pred týmto typom útoku musí server FTP povoliť iba IP alebo MAC adresa ktorý požadoval, aby sa súbor naviazal na port, ktorý otvára.
Maskovanie IP/MAC
Ak má server kontrolu IP/MAC, útočník musí zistiť adresy IP a MAC skutočného klienta a podľa toho sa maskovať, aby ukradol súbor. Samozrejme, v tomto prípade sa šanca na úspech útoku zníži, pretože je potrebné pripojiť sa k serveru skôr, ako počítač požiada o súbor. Kým útočník nevykoná maskovanie IP a MAC, počítač požadujúci súbor bude pripojený k serveru.
Časový limit
Úspešný útok na server s filtrovaním IP/MAC je možný, ak klient počas prenosu súborov zaznamená krátke odpojenie. FTP servery vo všeobecnosti definujú určitý časový limit, aby sa prenos súborov v prípade krátkodobých prerušení spojenia neskončil. Keď klient zaznamená takýto problém, server sa neodhlási z IP a MAC adresy klienta a čaká na obnovenie spojenia, kým nevyprší časový limit.
Po vykonaní maskovania IP a MAC sa útočník počas tohto časového intervalu pripojí k otvorenej relácii na serveri a pokračuje v sťahovaní súborov tam, kde pôvodný klient skončil.
Ako funguje útok odrazom?
Najdôležitejšou vlastnosťou útoku odrazom je, že sťažuje nájdenie útočníka. Pri použití v spojení s inými útokmi môže kyberzločinec zaútočiť bez zanechania akýchkoľvek stôp. Logikou tohto typu útoku je použitie FTP servera ako proxy. Hlavné typy útokov, pre ktoré existuje metóda odrazu, sú skenovanie portov a odovzdávanie základných paketových filtrov.
Skenovanie portov
Ak útočník použije túto metódu na skenovanie portov, keď sa pozriete na podrobnosti protokolov servera, uvidíte ako skenovací počítač FTP server. Ak cieľový server, ktorý má byť napadnutý, a FTP server fungujúci ako proxy sú v rovnakej podsieti, cieľový server nevykonáva žiadne filtrovanie paketov na dátach prichádzajúcich z FTP servera. Odoslané pakety nie sú zapojené do firewallu. Keďže na tieto pakety nebudú aplikované žiadne pravidlá prístupu, zvyšuje sa šanca útočníka na úspech.
Absolvovanie základných paketových filtrov
Pomocou tejto metódy môže útočník získať prístup k internému serveru za anonymným FTP serverom chráneným firewallom. Útočník pripájajúci sa k anonymnému FTP serveru deteguje pripojený interný server metódou skenovania portov a môže sa k nemu dostať. A tak môže hacker zaútočiť na server, ktorý firewall chráni pred externými pripojeniami, zo špeciálne definovaného bodu pre komunikáciu s FTP serverom.
Čo je útok odmietnutia služby?
Útoky DoS (Denial of Service). nie sú novým typom zraniteľnosti. Útoky DoS sa vykonávajú s cieľom zabrániť serveru doručovať súbory plytvaním zdrojmi cieľového servera. To znamená, že návštevníci napadnutého FTP servera sa počas tohto útoku nemôžu pripojiť k serveru ani prijímať súbory, ktoré požadujú. V tomto prípade je možné utrpieť obrovské finančné straty pre webovú aplikáciu s vysokou návštevnosťou – a návštevníkov to veľmi frustruje!
Pochopte, ako fungujú protokoly zdieľania súborov
Útočníci môžu ľahko objaviť protokoly, ktoré používate na nahrávanie súborov. Každý protokol má svoje silné a slabé stránky, preto by ste si mali osvojiť rôzne metódy šifrovania a tieto porty skryť. Samozrejme, je oveľa lepšie vidieť veci očami útočníka, aby ste lepšie zistili, aké opatrenia musíte urobiť na ochranu seba a návštevníkov.
Pamätajte: útočníci budú v mnohých smeroch o krok pred vami. Ak dokážete nájsť svoje slabé miesta, môžete nad nimi získať veľkú výhodu.