Din data kan vara i fara helt enkelt genom att överföra filer mellan din egen enhet och en webbplats. För att skydda din personliga information måste brandväggsinställningarna för både externa och interna servrar vara korrekt inställda. Det är därför det är viktigt att du är bekant med FTP-servern och att du förstår olika attackstrategier ur en angripares perspektiv.
Så vad är FTP-servrar? Hur kan cyberbrottslingar fånga upp dina data om de inte är korrekt konfigurerade?
Vad är FTP-servrar?
FTP står för File Transfer Protocol. Det ger filöverföring mellan två datorer anslutna till internet. Du kan med andra ord överföra de filer du vill ha över till dina webbservrar via FTP. Du kan komma åt FTP från kommandoraden eller grafiskt användargränssnitt (GUI)-klient.
Majoriteten av utvecklarna som använder FTP är personer som regelbundet underhåller webbplatser och överför filer. Detta protokoll hjälper till att göra underhållet av webbapplikationen enkelt och problemfritt. Även om det är ett ganska gammalt protokoll, används det fortfarande aktivt. Du kan använda FTP inte bara för att ladda upp data utan också för att ladda ner filer. En FTP-server, å andra sidan, fungerar som en applikation som använder FTP-protokollet.
För att en angripare effektivt ska kunna attackera FTP-servern måste användarens rättigheter eller allmänna säkerhetsinställningar vara felaktigt inställda.
Hur äventyrar hackare RCP-kommunikation?
RCP står för Remote Procedure Call. Detta hjälper datorer i ett nätverk att göra vissa förfrågningar mellan varandra utan att känna till nätverksdetaljerna. Kommunikation med RCP innehåller ingen kryptering; informationen du skickar och tar emot är i vanlig text.
Om du använder RCP under autentiseringsfasen för FTP-servern kommer användarnamnet och lösenordet att gå till servern i vanlig text. I detta skede kommer angriparen, som lyssnar på kommunikationen, in i trafiken och når din information genom att fånga detta textpaket.
På samma sätt, eftersom informationsöverföringen mellan klienten och servern är okrypterad, kan angriparen stjäla paketet som klienten tar emot och få tillgång till informationen utan att behöva ett lösenord eller Användarnamn. Med användning av SSL (Secure Socket Layer), kan du undvika denna fara, eftersom detta säkerhetslager kommer att kryptera lösenordet, användarnamnet och all datakommunikation.
För att använda denna struktur måste du ha SSL-stödd programvara på klientsidan. Om du vill använda SSL behöver du också en oberoende certifikatleverantör från tredje part, det vill säga Certification Authority (CA). Eftersom CA utför autentiseringsprocessen mellan servern och klienten måste båda parter lita på den institutionen.
Vad är aktiva och passiva anslutningskonfigurationer?
FTP-systemet fungerar över två portar. Dessa är kontroll- och datakanalerna.
Styrkanalen fungerar på port 21. Om du har gjort CTF-lösningar använder programvara som nmap tidigare har du förmodligen sett port 21. Klienter ansluter till denna port på servern och initierar datakommunikation.
I datakanalen sker filöverföringsprocessen. Så detta är huvudsyftet med FTP: s existens. Det finns också två olika typer av anslutningar vid överföring av filer: aktiv och passiv.
Aktiv anslutning
Klienten väljer hur data ska skickas under en aktiv anslutning. De begär sedan att servern startar dataöverföringen från en viss port, och servern gör det.
En av de mest betydande bristerna i detta system börjar med att servern startar överföringen och klientens brandvägg godkänner denna anslutning. Om brandväggen öppnar en port för att aktivera detta och accepterar anslutningar från dessa portar är det extremt riskabelt. Som en konsekvens kan en angripare skanna klienten efter öppna portar och hacka sig in i maskinen med en av FTP-portarna som upptäckts vara öppna.
Passiv anslutning
I en passiv anslutning bestämmer servern vilket sätt att överföra data. Klienten begär en fil från servern. Servern skickar klientinformationen från vilken port servern kan ta emot den. Detta system är säkrare än en aktiv anslutning eftersom den initierande parten är klienten och servern ansluter till den relevanta porten. På så sätt behöver klienten inte öppna porten och tillåta inkommande anslutningar.
Men en passiv anslutning kan fortfarande vara sårbar eftersom servern öppnar en port på sig själv och väntar. Angriparen skannar portarna på servern, ansluter till den öppna porten innan klienten begär filen och hämtar den relevanta filen utan behov av detaljer såsom inloggningsuppgifter.
I det här fallet kan klienten inte vidta några åtgärder för att skydda filen. Att säkerställa säkerheten för den nedladdade filen är en fullständig process på serversidan. Så hur kan du stoppa detta från att hända? För att skydda mot denna typ av attack måste FTP-servern endast tillåta IP- eller MAC-adress som bad filen att binda till porten den öppnar.
IP/MAC-maskering
Om servern har IP/MAC-kontroll måste angriparen upptäcka IP- och MAC-adresserna för den faktiska klienten och maskera sig själva för att stjäla filen. Naturligtvis i det här fallet kommer chansen att attacken lyckas att minska eftersom det är nödvändigt att ansluta till servern innan datorn begär filen. Tills angriparen utför IP- och MAC-maskering kommer datorn som begär filen att vara ansluten till servern.
Timeoutperiod
En framgångsrik attack på en server med IP/MAC-filtrering är möjlig om klienten upplever korta frånkopplingsperioder under filöverföringen. FTP-servrar definierar i allmänhet en viss timeoutperiod så att filöverföringen inte avslutas vid kortvariga avbrott i anslutningen. När klienten upplever ett sådant problem loggar inte servern ut klientens IP- och MAC-adress och väntar på att anslutningen ska återupprättas tills timeouten går ut.
Genom att utföra IP- och MAC-maskering ansluter angriparen till den öppna sessionen på servern under detta tidsintervall och fortsätter att ladda ner filer där den ursprungliga klienten slutade.
Hur fungerar en avvisningsattack?
Det viktigaste med studsatacken är att det gör det svårt för angriparen att hittas. När den används i samband med andra attacker kan en cyberkriminell attackera utan att lämna några spår. Logiken i denna typ av attack är att använda en FTP-server som proxy. De huvudsakliga attacktyperna för vilka avvisningsmetoden finns är portskanning och överföring av grundläggande paketfilter.
Portskanning
Om en angripare använder den här metoden för portskanning, när du tittar på detaljerna i serverloggarna, kommer du att se en FTP-server som skanningsdator. Om målservern som ska attackeras och FTP-servern som fungerar som proxy finns på samma subnät, utför målservern ingen paketfiltrering på data som kommer från FTP-servern. De skickade paketen är inte anslutna till brandväggen. Eftersom inga åtkomstregler kommer att tillämpas på dessa paket, ökar angriparens chans att lyckas.
Passar grundläggande paketfilter
Med den här metoden kan en angripare komma åt den interna servern bakom en anonym FTP-server som skyddas av en brandvägg. Angriparen som ansluter till den anonyma FTP-servern upptäcker den anslutna interna servern med portskanningsmetoden och kan nå den. Och så kan en hackare attackera servern som brandväggen skyddar mot externa anslutningar, från en speciellt definierad punkt för att kommunicera med FTP-servern.
Vad är en överbelastningsattack?
DoS (Denial of Service)-attacker är inte en ny typ av sårbarhet. DoS-attacker görs för att förhindra servern från att leverera filer genom att slösa med resurserna på målservern. Detta innebär att besökare på en hackad FTP-server inte kan ansluta till servern eller ta emot filerna de begär under denna attack. I det här fallet är det möjligt att ådra sig stora ekonomiska förluster för en webbapplikation med hög trafik – och göra besökarna väldigt frustrerade!
Förstå hur fildelningsprotokoll fungerar
Angripare kan enkelt upptäcka protokollen du använder för att ladda upp filer. Varje protokoll har sina styrkor och svagheter, så du bör behärska olika krypteringsmetoder och dölja dessa portar. Naturligtvis är det mycket bättre att se saker med en angripares ögon, för att bättre kunna hitta vilka åtgärder du behöver vidta för att skydda dig själv och besökarna.
Kom ihåg: angripare kommer att ligga steget före dig på många sätt. Om du kan hitta dina sårbarheter kan du få en stor fördel gentemot dem.
