Dine data kan være i fare blot ved at overføre filer mellem din egen enhed og et websted. For at beskytte dine personlige oplysninger skal firewall-indstillingerne for både eksterne og interne servere være korrekt opsat. Derfor er det vigtigt, at du er fortrolig med FTP-serveren og forstår forskellige angrebsstrategier fra en angribers perspektiv.
Så hvad er FTP-servere? Hvordan kan cyberkriminelle opsnappe dine data, hvis de ikke er konfigureret korrekt?
Hvad er FTP-servere?
FTP står for File Transfer Protocol. Det giver filoverførsel mellem to computere, der er tilsluttet internettet. Du kan med andre ord overføre de filer, du ønsker, over på din hjemmesides servere via FTP. Du kan få adgang til FTP fra kommandolinjen eller grafisk brugergrænseflade (GUI)-klient.
Størstedelen af udviklere, der bruger FTP, er folk, der regelmæssigt vedligeholder websteder og overfører filer. Denne protokol hjælper med at gøre vedligeholdelse af webapplikationen nem og problemfri. Selvom det er en ret gammel protokol, bruges den stadig aktivt. Du kan bruge FTP ikke kun til at uploade data, men også til at downloade filer. En FTP-server fungerer på den anden side som en applikation, der bruger FTP-protokollen.
For at en hacker effektivt kan angribe FTP-serveren, skal brugerens rettigheder eller generelle sikkerhedsindstillinger være forkert konfigureret.
Hvordan kompromitterer hackere RCP-kommunikation?
RCP står for Remote Procedure Call. Dette hjælper computere i et netværk med at foretage nogle anmodninger mellem hinanden uden at kende netværksdetaljerne. Kommunikation med RCP indeholder ingen kryptering; de oplysninger, du sender og modtager, er i almindelig tekst.
Hvis du bruger RCP under godkendelsesfasen af FTP-serveren, vil brugernavnet og adgangskoden gå til serveren i almindelig tekst. På dette tidspunkt kommer angriberen, som lytter til kommunikationen, ind i trafikken og når dine oplysninger ved at fange denne tekstpakke.
Ligeledes, da informationsoverførslen mellem klienten og serveren er ukrypteret, kan angriberen stjæle pakken klienten modtager og få adgang til informationen uden behov for en adgangskode eller brugernavn. Med brug af SSL (Secure Socket Layer), kan du undgå denne fare, fordi dette sikkerhedslag vil kryptere adgangskoden, brugernavnet og al datakommunikation.
For at bruge denne struktur skal du have SSL-understøttet software på klientsiden. Hvis du vil bruge SSL, skal du også bruge en uafhængig tredjeparts certifikatudbyder, dvs. Certification Authority (CA). Da CA udfører godkendelsesprocessen mellem serveren og klienten, skal begge parter stole på denne institution.
Hvad er aktive og passive forbindelseskonfigurationer?
FTP-systemet fungerer over to porte. Disse er kontrol- og datakanalerne.
Kontrolkanalen fungerer på port 21. Hvis du har lavet CTF-løsninger ved hjælp af software som nmap før har du sikkert set port 21. Klienter opretter forbindelse til denne port på serveren og starter datakommunikation.
I datakanalen foregår filoverførselsprocessen. Så dette er hovedformålet med FTP's eksistens. Der er også to forskellige typer forbindelse ved overførsel af filer: aktiv og passiv.
Aktiv forbindelse
Klienten vælger, hvordan dataene skal sendes under en aktiv forbindelse. De anmoder derefter om, at serveren starter datatransmissionen fra en bestemt port, og serveren gør det.
En af de væsentligste fejl i dette system begynder med, at serveren starter overførslen, og klientens firewall godkender denne forbindelse. Hvis firewallen åbner en port for at aktivere dette og accepterer forbindelser fra disse porte, er det ekstremt risikabelt. Som en konsekvens heraf kan en angriber scanne klienten for åbne porte og hacke sig ind på maskinen ved hjælp af en af de FTP-porte, der opdages at være åbne.
Passiv forbindelse
I en passiv forbindelse bestemmer serveren, hvilken vej der skal overføres data. Klienten anmoder om en fil fra serveren. Serveren sender klientoplysningerne fra den port, serveren kan modtage dem. Dette system er mere sikkert end en aktiv forbindelse, fordi den initierende part er klienten, og serveren forbinder til den relevante port. På den måde behøver klienten ikke at åbne porten og tillade indgående forbindelser.
Men en passiv forbindelse kan stadig være sårbar, da serveren åbner en port på sig selv og venter. Angriberen scanner portene på serveren, opretter forbindelse til den åbne port, før klienten anmoder om filen, og henter den relevante fil uden behov for detaljer såsom login-legitimationsoplysninger.
I dette tilfælde kan klienten ikke foretage sig noget for at beskytte filen. At sikre sikkerheden af den downloadede fil er en fuldstændig server-side proces. Så hvordan kan du forhindre dette i at ske? For at beskytte mod denne type angreb må FTP-serveren kun tillade IP- eller MAC-adresse der anmodede filen om at binde til den port, den åbner.
IP/MAC-maskering
Hvis serveren har IP/MAC-kontrol, skal angriberen registrere IP- og MAC-adresserne på den faktiske klient og maskere sig selv i overensstemmelse hermed for at stjæle filen. I dette tilfælde vil chancen for angrebets succes naturligvis falde, fordi det er nødvendigt at oprette forbindelse til serveren, før computeren anmoder om filen. Indtil angriberen udfører IP- og MAC-maskering, vil den computer, der anmoder om filen, blive forbundet til serveren.
Timeout periode
Et vellykket angreb på en server med IP/MAC-filtrering er muligt, hvis klienten oplever korte afbrydelsesperioder under filoverførsel. FTP-servere definerer generelt en vis timeout-periode, så filoverførslen ikke afsluttes i tilfælde af kortvarige afbrydelser i forbindelsen. Når klienten oplever et sådant problem, logger serveren ikke af klientens IP- og MAC-adresse og venter på, at forbindelsen bliver genetableret, indtil timeoutet udløber.
Ved at udføre IP- og MAC-maskering opretter hackeren forbindelse til den åbne session på serveren i dette tidsinterval og fortsætter med at downloade filer, hvorfra den oprindelige klient slap.
Hvordan fungerer et bounce-angreb?
Det vigtigste træk ved bounce-angrebet er, at det gør det svært for angriberen at blive fundet. Når den bruges sammen med andre angreb, kan en cyberkriminel angribe uden at efterlade spor. Logikken i denne type angreb er at bruge en FTP-server som proxy. De vigtigste angrebstyper, som afvisningsmetoden findes for, er portscanning og videregivelse af grundlæggende pakkefiltre.
Port scanning
Hvis en angriber bruger denne metode til portscanning, når du ser på detaljerne i serverlogfilerne, vil du se en FTP-server som scanningscomputer. Hvis målserveren, der skal angribes, og FTP-serveren, der fungerer som proxy, er på det samme undernet, udfører målserveren ikke nogen pakkefiltrering på de data, der kommer fra FTP-serveren. De sendte pakker er ikke tilsluttet firewallen. Da ingen adgangsregler vil blive anvendt på disse pakker, øges angriberens chance for succes.
Bestå grundlæggende pakkefiltre
Ved at bruge denne metode kan en angriber få adgang til den interne server bag en anonym FTP-server beskyttet af en firewall. Angriberen, der opretter forbindelse til den anonyme FTP-server, registrerer den tilsluttede interne server ved hjælp af portscanningsmetoden og kan nå den. Og så kan en hacker angribe den server, som firewallen beskytter mod eksterne forbindelser, fra et særligt defineret punkt for kommunikation med FTP-serveren.
Hvad er et Denial of Service-angreb?
DoS (Denial of Service) angreb er ikke en ny type sårbarhed. DoS-angreb udføres for at forhindre serveren i at levere filer ved at spilde ressourcerne på målserveren. Det betyder, at besøgende på en hacket FTP-server ikke kan oprette forbindelse til serveren eller modtage de filer, de anmoder om under dette angreb. I dette tilfælde er det muligt at pådrage sig store økonomiske tab for en webapplikation med høj trafik - og gøre besøgende meget frustrerede!
Forstå, hvordan fildelingsprotokoller fungerer
Angribere kan nemt opdage de protokoller, du bruger til at uploade filer. Hver protokol har sine styrker og svagheder, så du bør mestre forskellige krypteringsmetoder og skjule disse porte. Det er selvfølgelig meget bedre at se tingene gennem en angribers øjne, for bedre at finde ud af, hvilke foranstaltninger du skal tage for at beskytte dig selv og besøgende.
Husk: Angribere vil være et skridt foran dig på mange måder. Hvis du kan finde dine sårbarheder, kan du få en stor fordel i forhold til dem.
