Teie andmed võivad olla ohus lihtsalt failide edastamisel oma seadme ja veebisaidi vahel. Isikliku teabe kaitsmiseks peavad nii välis- kui ka siseserveri tulemüüri sätted olema õigesti seadistatud. Seetõttu on ülioluline, et tunneksite FTP-serverit ja mõistaksite erinevaid ründestrateegiaid ründaja vaatenurgast.
Mis on FTP-serverid? Kuidas saavad küberkurjategijad teie andmeid pealt kuulata, kui need pole õigesti seadistatud?
Mis on FTP-serverid?
FTP tähistab failiedastusprotokolli. See võimaldab failide edastamist kahe Interneti-ühendusega arvuti vahel. Teisisõnu saate FTP kaudu soovitud failid oma veebisaidi serveritesse üle kanda. FTP-le pääsete juurde käsurealt või graafilise kasutajaliidese (GUI) kliendi kaudu.
Enamik FTP-d kasutavatest arendajatest on inimesed, kes haldavad regulaarselt veebisaite ja edastavad faile. See protokoll aitab muuta veebirakenduse hoolduse lihtsaks ja probleemivabaks. Kuigi see on üsna vana protokoll, kasutatakse seda endiselt aktiivselt. FTP-d saate kasutada mitte ainult andmete, vaid ka failide allalaadimiseks. FTP-server seevastu töötab nagu FTP-protokolli kasutav rakendus.
Selleks, et ründaja saaks FTP-serverit tõhusalt rünnata, peavad kasutaja õigused või üldised turvaseaded olema valesti seadistatud.
Kuidas häkkerid ohustavad RCP suhtlust?
RCP tähistab Remote Procedure Call. See aitab võrgus olevatel arvutitel teha üksteise vahel mõningaid päringuid, teadmata võrgu üksikasju. Side RCP-ga ei sisalda krüptimist; teave, mida saadate ja vastu võtate, on lihttekstina.
Kui kasutate FTP-serveri autentimisfaasis RCP-d, saadetakse kasutajanimi ja parool serverisse lihttekstina. Selles etapis siseneb sidet kuulav ründaja liiklusesse ja jõuab teie teabeni, hõivates selle tekstipaketi.
Samuti, kuna teabeedastus kliendi ja serveri vahel on krüpteerimata, saab ründaja seda teha varastada pakett, mida klient saab, ja pääseda teabele juurde ilma paroolita või kasutajanimi. SSL-i kasutamisega (Secure Socket Layer), saate seda ohtu vältida, kuna see turvakiht krüpteerib parooli, kasutajanime ja kogu andmeside.
Selle struktuuri kasutamiseks peab teil olema kliendi poolel SSL-toega tarkvara. Samuti, kui soovite kasutada SSL-i, vajate sõltumatut kolmandast osapoolest sertifikaadi pakkujat, st sertifitseerimisasutust (CA). Kuna CA teostab autentimisprotsessi serveri ja kliendi vahel, peavad mõlemad pooled seda asutust usaldama.
Mis on aktiivse ja passiivse ühenduse konfiguratsioonid?
FTP-süsteem töötab kahe pordi kaudu. Need on juhtimis- ja andmekanalid.
Juhtkanal töötab pordis 21. Kui olete teinud CTF-lahendusi kasutades tarkvara nagu nmap varem olete ilmselt näinud porti 21. Kliendid loovad ühenduse selle serveri pordiga ja algatavad andmeside.
Andmekanalis toimub failiedastusprotsess. Nii et see on FTP olemasolu peamine eesmärk. Samuti on failide edastamisel kaks erinevat tüüpi ühendust: aktiivne ja passiivne.
Aktiivne ühendus
Klient valib, kuidas aktiivse ühenduse ajal andmeid saadetakse. Seejärel nõuavad nad, et server alustaks andmeedastust teatud pordist ja server teeb seda.
Selle süsteemi üks olulisemaid vigu saab alguse sellest, et server alustab edastust ja kliendi tulemüür kiidab selle ühenduse heaks. Kui tulemüür avab selle lubamiseks pordi ja aktsepteerib nendest portidest ühendusi, on see äärmiselt riskantne. Selle tulemusena saab ründaja skannida klienti avatud portide leidmiseks ja masinasse sisse murda, kasutades ühte avatud FTP-portidest.
Passiivne ühendus
Passiivse ühenduse korral otsustab server, millisel viisil andmeid edastada. Klient küsib serverilt faili. Server saadab kliendi teabe sellest, millisest pordist server seda vastu võtta saab. See süsteem on turvalisem kui aktiivne ühendus, kuna algatajaks on klient ja server loob ühenduse vastava pordiga. Nii ei pea klient porti avama ja sissetulevaid ühendusi lubama.
Kuid passiivne ühendus võib siiski olla haavatav, kuna server avab enda jaoks pordi ja ootab. Ründaja kontrollib serveri porte, loob ühenduse avatud pordiga enne, kui klient faili pärib, ja hangib vastava faili, ilma et oleks vaja üksikasju, nagu sisselogimismandaat.
Sellisel juhul ei saa klient faili kaitsmiseks midagi ette võtta. Allalaaditud faili turvalisuse tagamine on täielikult serveripoolne protsess. Niisiis, kuidas saate seda takistada? Seda tüüpi rünnakute eest kaitsmiseks peab FTP-server lubama ainult IP- või MAC-aadress mis palus failil seostuda selle pordiga, mille see avab.
IP/MAC maskeerimine
Kui serveril on IP/MAC-kontroll, peab ründaja tuvastama tegeliku kliendi IP- ja MAC-aadressid ning faili varastamiseks end vastavalt maskeerima. Loomulikult väheneb sel juhul ründe õnnestumise võimalus, sest enne, kui arvuti faili pärib, on vaja luua ühendus serveriga. Kuni ründaja ei teosta IP- ja MAC-maskimist, ühendatakse faili taotlev arvuti serveriga.
Aegumisperiood
Edukas rünnak IP/MAC-filtreerimisega serveri vastu on võimalik, kui kliendil esineb failiedastuse ajal lühikesi ühenduse katkemise perioode. FTP-serverid määravad üldjuhul teatud ajalõpu perioodi, et failiedastus ei lõpeks lühiajaliste ühenduse katkemiste korral. Kui kliendil tekib selline probleem, ei logi server välja kliendi IP- ja MAC-aadressi ning ootab ühenduse taastamist, kuni ajalõpp aegub.
IP- ja MAC-i maskeerimisel loob ründaja selle ajaintervalli jooksul ühenduse serveri avatud seansiga ja jätkab failide allalaadimist sealt, kus algne klient pooleli jäi.
Kuidas põrkurünnak töötab?
Põrkerünnaku kõige olulisem omadus on see, et see raskendab ründaja leidmist. Kui seda kasutatakse koos teiste rünnakutega, võib küberkurjategija rünnata jälgi jätmata. Seda tüüpi rünnakute loogika seisneb FTP-serveri kasutamises puhverserverina. Peamised ründetüübid, mille jaoks põrkemeetod on olemas, on pordi skaneerimine ja põhiliste pakettfiltrite läbimine.
Pordi skaneerimine
Kui ründaja kasutab seda meetodit pordide kontrollimiseks, näete serveri logide üksikasju vaadates skanniva arvutina FTP-serverit. Kui rünnatav sihtserver ja puhverserverina toimiv FTP-server on samas alamvõrgus, ei tee sihtserver FTP-serverist tulevate andmete puhul pakettfiltreerimist. Saadetud paketid ei ole tulemüüriga ühendatud. Kuna nendele pakettidele juurdepääsureegleid ei rakendata, suureneb ründaja eduvõimalus.
Põhiliste pakettfiltrite läbimine
Seda meetodit kasutades pääseb ründaja tulemüüriga kaitstud anonüümse FTP-serveri taga olevale siseserverile. Anonüümse FTP-serveriga ühenduse loov ründaja tuvastab ühendatud siseserveri pordi skaneerimise meetodil ja saab selleni jõuda. Ja nii võib häkker rünnata serverit, mida tulemüür välisühenduste eest kaitseb, FTP-serveriga suhtlemiseks spetsiaalselt määratletud punktist.
Mis on teenuse keelamise rünnak?
DoS (Teenuse keelamise) rünnakud ei ole uut tüüpi haavatavus. DoS-rünnakud tehakse selleks, et takistada serveril failide edastamist sihtserveri ressursside raiskamisega. See tähendab, et häkitud FTP-serveri külastajad ei saa selle rünnaku ajal serveriga ühendust ega faile, mida nad taotlevad. Sel juhul on suure liiklusega veebirakenduse puhul võimalik kanda suuri rahalisi kaotusi – ja tekitada külastajatele suurt pettumust!
Saate aru, kuidas failijagamisprotokollid töötavad
Ründajad saavad hõlpsasti avastada protokolle, mida kasutate failide üleslaadimiseks. Igal protokollil on oma tugevad ja nõrgad küljed, seega peaksite valdama erinevaid krüptimismeetodeid ja peitma need pordid. Muidugi on palju parem näha asju läbi ründaja silmade, et paremini leida, milliseid meetmeid enda ja külastajate kaitsmiseks kasutusele võtta.
Pidage meeles: ründajad on sinust mitmel viisil sammu võrra ees. Kui leiate oma haavatavused, saate nende ees suure eelise.