Vaše data mohou být ohrožena jednoduše přenosem souborů mezi vaším vlastním zařízením a webem. Pro ochranu vašich osobních údajů je nutné správně nastavit firewall pro externí i interní servery. Proto je důležité, abyste byli obeznámeni s FTP serverem a rozuměli různým strategiím útoku z pohledu útočníka.
Co jsou tedy servery FTP? Jak mohou kyberzločinci zachytit vaše data, pokud nejsou správně nakonfigurována?
Co jsou FTP servery?
FTP je zkratka pro File Transfer Protocol. Umožňuje přenos souborů mezi dvěma počítači připojenými k internetu. Jinými slovy, soubory, které chcete, můžete přenést na servery svých webových stránek přes FTP. K FTP můžete přistupovat z příkazového řádku nebo klienta grafického uživatelského rozhraní (GUI).
Většina vývojářů, kteří používají FTP, jsou lidé, kteří pravidelně spravují webové stránky a přenášejí soubory. Tento protokol pomáhá usnadnit a bezproblémovou údržbu webové aplikace. Přestože jde o poměrně starý protokol, stále se aktivně používá. FTP můžete použít nejen k nahrávání dat, ale také ke stahování souborů. Na druhé straně FTP server funguje jako aplikace využívající protokol FTP.
Aby mohl útočník efektivně napadnout FTP server, musí být nesprávně nastavena uživatelská práva nebo obecná nastavení zabezpečení.
Jak hackeři ohrozí komunikaci RCP?
RCP je zkratka pro Remote Procedure Call. To pomáhá počítačům v síti vytvářet mezi sebou některé požadavky, aniž by znaly podrobnosti o síti. Komunikace s RCP neobsahuje žádné šifrování; informace, které odesíláte a přijímáte, jsou v prostém textu.
Pokud používáte RCP během ověřovací fáze FTP serveru, uživatelské jméno a heslo se dostanou na server jako prostý text. V této fázi vstoupí do provozu útočník, který poslouchá komunikaci, a dostane se k vašim informacím zachycením tohoto textového paketu.
Podobně, protože přenos informací mezi klientem a serverem je nešifrovaný, útočník může ukrást paket, který klient přijímá, a získat přístup k informacím bez potřeby hesla nebo uživatelské jméno. S využitím SSL (Secure Socket Layer), tomuto nebezpečí se můžete vyhnout, protože tato vrstva zabezpečení zašifruje heslo, uživatelské jméno a veškerou datovou komunikaci.
Chcete-li použít tuto strukturu, musíte mít na straně klienta software s podporou SSL. Také, pokud chcete používat SSL, budete potřebovat nezávislého poskytovatele certifikátů třetí strany, tedy certifikační autoritu (CA). Protože proces ověřování mezi serverem a klientem provádí CA, musí obě strany této instituci důvěřovat.
Co jsou konfigurace aktivního a pasivního připojení?
FTP systém pracuje přes dva porty. Jedná se o řídicí a datové kanály.
Řídicí kanál pracuje na portu 21. Pokud jste provedli řešení CTF pomocí softwaru jako nmap Port 21 jste již pravděpodobně viděli. Klienti se připojí k tomuto portu serveru a zahájí datovou komunikaci.
V datovém kanálu probíhá proces přenosu souborů. To je tedy hlavní smysl existence FTP. Při přenosu souborů existují také dva různé typy připojení: aktivní a pasivní.
Aktivní připojení
Klient volí, jak budou data odesílána během aktivního připojení. Poté požádají server, aby zahájil přenos dat z určitého portu, a server tak učiní.
Jedna z nejvýznamnějších chyb tohoto systému začíná tím, že server zahájí přenos a klientský firewall toto spojení schválí. Pokud firewall otevře port, aby to umožnil, a přijímá připojení z těchto portů, je to extrémně riskantní. V důsledku toho může útočník skenovat klienta na otevřené porty a nabourat se do počítače pomocí jednoho z portů FTP, o kterých se zjistí, že jsou otevřené.
Pasivní připojení
V pasivním připojení server rozhoduje, jakým způsobem bude data přenášet. Klient požaduje soubor ze serveru. Server odešle informace o klientovi z kteréhokoli portu, který je může server přijmout. Tento systém je bezpečnější než aktivní připojení, protože iniciující stranou je klient a server se připojuje k příslušnému portu. Tímto způsobem klient nemusí otevírat port a povolovat příchozí připojení.
Pasivní připojení však může být stále zranitelné, protože server sám otevře port a čeká. Útočník prohledá porty na serveru, připojí se k otevřenému portu dříve, než klient požádá o soubor, a načte příslušný soubor, aniž by potřeboval podrobnosti, jako jsou přihlašovací údaje.
V tomto případě klient nemůže provést žádnou akci k ochraně souboru. Zajištění bezpečnosti stahovaného souboru je zcela proces na straně serveru. Jak tedy můžete tomu zabránit? K ochraně proti tomuto typu útoku musí FTP server povolit pouze IP nebo MAC adresa který požadoval, aby se soubor navázal na port, který otevírá.
Maskování IP/MAC
Pokud má server kontrolu IP/MAC, musí útočník zjistit adresy IP a MAC skutečného klienta a maskovat se, aby soubor ukradl. V tomto případě se samozřejmě šance na úspěch útoku sníží, protože je nutné se k serveru připojit dříve, než si počítač soubor vyžádá. Dokud útočník neprovede maskování IP a MAC, počítač požadující soubor bude připojen k serveru.
Časový limit
Úspěšný útok na server s filtrováním IP/MAC je možný, pokud klient během přenosu souborů zaznamená krátké odpojení. FTP servery obecně definují určitý časový limit, aby přenos souborů v případě krátkodobých přerušení spojení neskončil. Když klient zaznamená takový problém, server neodhlásí IP a MAC adresu klienta a čeká na obnovení připojení, dokud nevyprší časový limit.
Provedením maskování IP a MAC se útočník během tohoto časového intervalu připojí k otevřené relaci na serveru a pokračuje ve stahování souborů tam, kde původní klient skončil.
Jak funguje útok odrazem?
Nejdůležitější vlastností odraženého útoku je, že ztěžuje nalezení útočníka. Při použití ve spojení s jinými útoky může kyberzločinec zaútočit bez zanechání stop. Logikou tohoto typu útoku je použití FTP serveru jako proxy. Hlavní typy útoků, pro které existuje metoda bounce, jsou skenování portů a předávání základních paketových filtrů.
Skenování portů
Pokud útočník použije tuto metodu pro skenování portů, když se podíváte na podrobnosti protokolů serveru, uvidíte jako skenovací počítač FTP server. Pokud cílový server, který má být napaden, a FTP server fungující jako proxy jsou ve stejné podsíti, cílový server neprovádí žádné filtrování paketů na datech přicházejících z FTP serveru. Odeslané pakety nejsou zapojeny do firewallu. Protože na tyto pakety nebudou aplikována žádná přístupová pravidla, zvyšuje se šance útočníka na úspěch.
Předávání základních paketových filtrů
Pomocí této metody může útočník získat přístup k internímu serveru za anonymním FTP serverem chráněným firewallem. Útočník připojující se k anonymnímu FTP serveru detekuje připojený interní server metodou skenování portů a může se k němu dostat. A tak může hacker zaútočit na server, který firewall chrání před externími připojeními, ze speciálně definovaného bodu pro komunikaci s FTP serverem.
Co je útok typu odmítnutí služby?
Útoky DoS (Denial of Service). nejsou novým typem zranitelnosti. Útoky DoS se provádějí, aby zabránily serveru doručovat soubory plýtváním zdrojů cílového serveru. To znamená, že návštěvníci hacknutého FTP serveru se nemohou připojit k serveru nebo přijímat soubory, které požadují během tohoto útoku. V tomto případě je možné u vysoce provozované webové aplikace utrpět obrovské finanční ztráty – a návštěvníky to velmi frustruje!
Pochopte, jak fungují protokoly sdílení souborů
Útočníci mohou snadno objevit protokoly, které používáte k nahrávání souborů. Každý protokol má své silné a slabé stránky, takže byste měli ovládat různé metody šifrování a tyto porty skrýt. Samozřejmě je mnohem lepší vidět věci očima útočníka, abyste lépe zjistili, jaká opatření musíte udělat, abyste ochránili sebe a návštěvníky.
Pamatujte: útočníci budou v mnoha ohledech o krok před vámi. Pokud dokážete najít svá zranitelná místa, můžete nad nimi získat velkou výhodu.