Ваши подаци могу бити угрожени једноставним преносом датотека између вашег уређаја и веб локације. Да бисте заштитили ваше личне податке, подешавања заштитног зида за спољне и унутрашње сервере морају бити правилно подешена. Зато је кључно да сте упознати са ФТП сервером и да разумете различите стратегије напада из перспективе нападача.
Дакле, шта су ФТП сервери? Како сајбер криминалци могу пресрести ваше податке ако нису правилно конфигурисани?
Шта су ФТП сервери?
ФТП је скраћеница од Филе Трансфер Протоцол. Омогућава пренос датотека између два рачунара повезана на интернет. Другим речима, можете пренети датотеке које желите на сервере ваше веб локације путем ФТП-а. ФТП-у можете приступити из командне линије или клијента графичког корисничког интерфејса (ГУИ).
Већина програмера који користе ФТП су људи који редовно одржавају веб странице и преносе датотеке. Овај протокол помаже да одржавање веб апликације буде лако и без проблема. Иако је то прилично стар протокол, још увек се активно користи. Можете користити ФТП не само за отпремање података већ и за преузимање датотека. ФТП сервер, с друге стране, ради као апликација која користи ФТП протокол.
Да би нападач ефикасно напао ФТП сервер, корисничка права или општа безбедносна подешавања морају бити погрешно подешена.
Како хакери компромитују РЦП комуникацију?
РЦП је скраћеница од Ремоте Процедуре Цалл. Ово помаже рачунарима у мрежи да постављају неке међусобне захтеве без познавања мрежних детаља. Комуникација са РЦП-ом не садржи никакво шифровање; информације које шаљете и примате су у обичном тексту.
Ако користите РЦП током фазе аутентификације ФТП сервера, корисничко име и лозинка ће ићи на сервер у облику обичног текста. У овој фази, нападач, који слуша комуникацију, улази у саобраћај и долази до ваших информација хватањем овог пакета текста.
Исто тако, пошто је пренос информација између клијента и сервера нешифрован, нападач може украсти пакет који клијент прима и приступити информацијама без потребе за лозинком или корисничко име. Уз употребу ССЛ-а (Сецуре Соцкет Лаиер), можете избећи ову опасност, јер ће овај безбедносни слој шифровати лозинку, корисничко име и сву комуникацију података.
Да бисте користили ову структуру, морате имати софтвер који подржава ССЛ на страни клијента. Такође, ако желите да користите ССЛ, биће вам потребан независни добављач сертификата треће стране, тј. Ауторитет за сертификацију (ЦА). Пошто ЦА врши процес аутентификације између сервера и клијента, обе стране морају да верују тој институцији.
Шта су активне и пасивне конфигурације везе?
ФТП систем ради преко два порта. То су контролни и канали података.
Контролни канал ради на порту 21. Ако сте радили ЦТФ решења користећи софтвер као што је нмап раније сте вероватно видели порт 21. Клијенти се повезују на овај порт сервера и покрећу комуникацију података.
У каналу података се одвија процес преноса датотеке. Дакле, ово је главна сврха постојања ФТП-а. Такође постоје два различита типа везе приликом преноса датотека: активна и пасивна.
Активна веза
Клијент бира како ће се подаци слати током активне везе. Затим захтевају да сервер започне пренос података са одређеног порта, а сервер то и чини.
Једна од најзначајнијих мана у овом систему почиње тако што сервер покреће трансфер и клијентов заштитни зид одобрава ову везу. Ако заштитни зид отвори порт да би то омогућио и прихвати везе са ових портова, то је изузетно ризично. Као последица тога, нападач може да скенира клијента у потрази за отвореним портовима и хакује у машину користећи један од ФТП портова за које је откривено да су отворени.
Пасивна веза
У пасивној вези, сервер одлучује на који начин ће пренети податке. Клијент захтева датотеку од сервера. Сервер шаље информације клијенту са било ког порта који сервер може да прими. Овај систем је сигурнији од активне везе јер је иницијатор клијент, а сервер се повезује на релевантни порт. На тај начин, клијент не мора да отвара порт и дозвољава долазне везе.
Али пасивна веза и даље може бити рањива јер сервер отвара порт на себи и чека. Нападач скенира портове на серверу, повезује се на отворени порт пре него што клијент затражи датотеку и преузима релевантну датотеку без потребе за детаљима као што су акредитиви за пријаву.
У овом случају, клијент не може предузети ништа да заштити датотеку. Обезбеђивање безбедности преузете датотеке је у потпуности процес на страни сервера. Па како можете спречити да се ово деси? Да би се заштитио од ове врсте напада, ФТП сервер мора дозволити само ИП или МАЦ адреса који је захтевао да се датотека повеже са портом који отвара.
ИП/МАЦ маскирање
Ако сервер има ИП/МАЦ контролу, нападач мора открити ИП и МАЦ адресе стварног клијента и маскирати се у складу с тим да би украо датотеку. Наравно, у овом случају ће се смањити шанса за успех напада јер је неопходно да се повежете са сервером пре него што рачунар затражи датотеку. Док нападач не изврши ИП и МАЦ маскирање, рачунар који захтева датотеку биће повезан са сервером.
Временско ограничење
Успешан напад на сервер са ИП/МАЦ филтрирањем је могућ ако клијент доживи кратке периоде прекида везе током преноса датотеке. ФТП сервери генерално дефинишу одређени временски период тако да се пренос датотеке не завршава у случају краткотрајних прекида везе. Када клијент доживи такав проблем, сервер се не одјављује са ИП и МАЦ адресе клијента и чека да се веза поново успостави док не истекне временско ограничење.
Изводећи ИП и МАЦ маскирање, нападач се повезује на отворену сесију на серверу током овог временског интервала и наставља да преузима датотеке са места где је првобитни клијент стао.
Како функционише напад одбијања?
Најважнија карактеристика напада одбијањем је да отежава проналажење нападача. Када се користи у комбинацији са другим нападима, сајбер криминалац може да нападне без остављања трагова. Логика овог типа напада је коришћење ФТП сервера као проксија. Главни типови напада за које постоји метода одбијања су скенирање портова и прослеђивање основних филтера пакета.
Порт Сцаннинг
Ако нападач користи овај метод за скенирање портова, када погледате детаље евиденције сервера, видећете ФТП сервер као рачунар за скенирање. Ако су циљни сервер који треба да буде нападнут и ФТП сервер који делује као прокси на истој подмрежи, циљни сервер не врши никакво филтрирање пакета на подацима који долазе са ФТП сервера. Послани пакети нису прикључени на заштитни зид. Пошто на ове пакете неће бити примењена никаква правила приступа, повећавају се шансе нападача за успех.
Преношење основних филтера пакета
Користећи овај метод, нападач може да приступи интерном серверу иза анонимног ФТП сервера заштићеног заштитним зидом. Нападач који се повезује на анонимни ФТП сервер детектује повезани интерни сервер методом скенирања портова и може доћи до њега. И тако, хакер може да нападне сервер који заштитни зид штити од спољних веза, са посебно дефинисане тачке за комуникацију са ФТП сервером.
Шта је напад ускраћивања услуге?
ДоС (ускраћивање услуге) напади нису нова врста рањивости. ДоС напади се врше како би се спречило да сервер испоручи датотеке трошењем ресурса циљног сервера. То значи да посетиоци хакованог ФТП сервера не могу да се повежу са сервером нити да приме датотеке које траже током овог напада. У овом случају, могуће је претрпети огромне финансијске губитке за веб апликацију са великим прометом — и учинити посетиоце веома фрустрираним!
Схватите како функционишу протоколи за дељење датотека
Нападачи могу лако да открију протоколе које користите за отпремање датотека. Сваки протокол има своје предности и слабости, тако да би требало да савладате различите методе шифровања и сакријете ове портове. Наравно, много је боље сагледати ствари очима нападача, како бисте боље сазнали које мере треба да предузмете да заштитите себе и посетиоце.
Запамтите: нападачи ће бити корак испред вас на много начина. Ако можете да пронађете своје рањивости, можете стећи велику предност над њима.
