Tietosi voivat olla vaarassa yksinkertaisesti siirtämällä tiedostoja oman laitteesi ja verkkosivuston välillä. Henkilökohtaisten tietojesi suojaamiseksi sekä ulkoisten että sisäisten palvelimien palomuuriasetukset on määritettävä oikein. Siksi on tärkeää, että tunnet FTP-palvelimen ja ymmärrät erilaisia hyökkäysstrategioita hyökkääjän näkökulmasta.
Mitä FTP-palvelimet sitten ovat? Kuinka kyberrikolliset voivat siepata tietojasi, jos niitä ei ole määritetty oikein?
Mitä ovat FTP-palvelimet?
FTP on lyhenne sanoista File Transfer Protocol. Se tarjoaa tiedostojen siirron kahden Internetiin yhdistetyn tietokoneen välillä. Toisin sanoen voit siirtää haluamasi tiedostot verkkosivustosi palvelimille FTP: n kautta. Voit käyttää FTP: tä komentoriviltä tai graafisen käyttöliittymän (GUI) asiakassovelluksesta.
Suurin osa FTP: tä käyttävistä kehittäjistä on ihmisiä, jotka ylläpitävät säännöllisesti verkkosivustoja ja siirtävät tiedostoja. Tämä protokolla auttaa tekemään verkkosovelluksen ylläpidosta helppoa ja vaivatonta. Vaikka se on melko vanha protokolla, sitä käytetään edelleen aktiivisesti. Voit käyttää FTP: tä paitsi tietojen lataamiseen myös tiedostojen lataamiseen. FTP-palvelin sen sijaan toimii kuin FTP-protokollaa käyttävä sovellus.
Jotta hyökkääjä voisi hyökätä tehokkaasti FTP-palvelimeen, käyttäjän oikeudet tai yleiset suojausasetukset on määritettävä väärin.
Kuinka hakkerit vaarantavat RCP-viestinnän?
RCP on lyhenne sanoista Remote Procedure Call. Tämä auttaa verkossa olevia tietokoneita tekemään pyyntöjä toistensa välillä tietämättä verkon yksityiskohtia. Viestintä RCP: n kanssa ei sisällä salausta; lähettämäsi ja vastaanottamasi tiedot ovat pelkkää tekstiä.
Jos käytät RCP: tä FTP-palvelimen todennusvaiheessa, käyttäjätunnus ja salasana lähetetään palvelimelle pelkkänä tekstinä. Tässä vaiheessa viestintää kuunteleva hyökkääjä astuu liikenteeseen ja tavoittaa tietosi kaappaamalla tämän tekstipaketin.
Samoin, koska tiedonsiirto asiakkaan ja palvelimen välillä on salaamatonta, hyökkääjä voi varastaa asiakkaan vastaanottaman paketin ja päästä käsiksi tietoihin ilman salasanaa tai käyttäjätunnus. SSL: n käytöllä (Secure Socket Layer), voit välttää tämän vaaran, koska tämä suojakerros salaa salasanan, käyttäjätunnuksen ja kaiken tiedonsiirron.
Tämän rakenteen käyttäminen edellyttää, että asiakaspuolella on SSL-tuettu ohjelmisto. Lisäksi, jos haluat käyttää SSL: ää, tarvitset riippumattoman kolmannen osapuolen varmenteiden toimittajan, eli varmenteen myöntäjän (CA). Koska varmentaja suorittaa todennusprosessin palvelimen ja asiakkaan välillä, molempien osapuolten on luotettava kyseiseen laitokseen.
Mitä ovat aktiiviset ja passiiviset yhteysasetukset?
FTP-järjestelmä toimii kahden portin kautta. Nämä ovat ohjaus- ja datakanavat.
Ohjauskanava toimii portissa 21. Jos olet tehnyt CTF-ratkaisuja käyttämällä ohjelmistoa, kuten nmap olet luultavasti nähnyt portin 21 aiemmin. Asiakkaat muodostavat yhteyden tähän palvelimen porttiin ja aloittavat tiedonsiirron.
Datakanavassa tapahtuu tiedostonsiirtoprosessi. Tämä on siis FTP: n olemassaolon päätarkoitus. Tiedostoja siirrettäessä on myös kaksi eri tyyppistä yhteyttä: aktiivinen ja passiivinen.
Aktiivinen yhteys
Asiakas valitsee, kuinka tiedot lähetetään aktiivisen yhteyden aikana. Sitten he pyytävät palvelinta aloittamaan tiedonsiirron tietystä portista, ja palvelin tekee niin.
Yksi tämän järjestelmän merkittävimmistä puutteista alkaa siitä, että palvelin aloittaa siirron ja asiakkaan palomuuri hyväksyy tämän yhteyden. Jos palomuuri avaa portin tämän mahdollistamiseksi ja hyväksyy yhteydet näistä porteista, se on erittäin riskialtista. Tämän seurauksena hyökkääjä voi skannata asiakkaan avoimien porttien varalta ja murtautua koneeseen käyttämällä yhtä avoimeksi havaituista FTP-porteista.
Passiivinen yhteys
Passiivisessa yhteydessä palvelin päättää, millä tavalla tietoja siirretään. Asiakas pyytää tiedostoa palvelimelta. Palvelin lähettää asiakastiedot mistä portista palvelin voi vastaanottaa ne. Tämä järjestelmä on turvallisempi kuin aktiivinen yhteys, koska aloittava osapuoli on asiakas ja palvelin muodostaa yhteyden asiaankuuluvaan porttiin. Näin asiakkaan ei tarvitse avata porttia ja sallia saapuvia yhteyksiä.
Mutta passiivinen yhteys voi silti olla haavoittuvainen, kun palvelin avaa itselleen portin ja odottaa. Hyökkääjä skannaa palvelimen portit, muodostaa yhteyden avoimeen porttiin ennen kuin asiakas pyytää tiedostoa ja hakee asiaankuuluvan tiedoston tarvitsematta tietoja, kuten kirjautumistietoja.
Tässä tapauksessa asiakas ei voi ryhtyä toimiin tiedoston suojaamiseksi. Ladatun tiedoston turvallisuuden varmistaminen on täysin palvelinpuolen prosessi. Joten kuinka voit estää tämän tapahtumasta? Suojautuakseen tämäntyyppisiltä hyökkäyksiltä FTP-palvelimen on sallittava vain IP- tai MAC-osoite joka pyysi tiedostoa sitoutumaan porttiin, jonka se avaa.
IP/MAC-peite
Jos palvelimella on IP/MAC-hallinta, hyökkääjän on tunnistettava todellisen asiakkaan IP- ja MAC-osoitteet ja naamioitava itsensä vastaavasti varastaakseen tiedoston. Tietenkin tässä tapauksessa hyökkäyksen onnistumisen mahdollisuus pienenee, koska on välttämätöntä muodostaa yhteys palvelimeen ennen kuin tietokone pyytää tiedostoa. Kunnes hyökkääjä suorittaa IP- ja MAC-peitetyksen, tiedostoa pyytävä tietokone on yhteydessä palvelimeen.
Aikakatkaisujakso
Onnistunut hyökkäys palvelimeen IP/MAC-suodatuksella on mahdollinen, jos asiakas kokee lyhyitä yhteyskatkoksia tiedostonsiirron aikana. FTP-palvelimet määrittävät yleensä tietyn aikakatkaisujakson, jotta tiedostonsiirto ei pääty, jos yhteys katkeaa lyhytaikaisesti. Kun asiakas kohtaa tällaisen ongelman, palvelin ei kirjaudu ulos asiakkaan IP- ja MAC-osoitteesta ja odottaa yhteyden muodostamista uudelleen, kunnes aikakatkaisu umpeutuu.
Suorittamalla IP- ja MAC-peitettä hyökkääjä muodostaa yhteyden palvelimen avoimeen istuntoon tänä aikana ja jatkaa tiedostojen lataamista siitä kohdasta, johon alkuperäinen asiakas jäi.
Kuinka pomppimishyökkäys toimii?
Pommitushyökkäyksen tärkein ominaisuus on, että se vaikeuttaa hyökkääjän löytämistä. Kun sitä käytetään yhdessä muiden hyökkäysten kanssa, kyberrikollinen voi hyökätä jättämättä jälkiä. Tämän tyyppisen hyökkäyksen logiikka on käyttää välityspalvelimena FTP-palvelinta. Tärkeimmät hyökkäystyypit, joille palautusmenetelmä on olemassa, ovat porttien skannaus ja peruspakettisuodattimien läpäiseminen.
Portin skannaus
Jos hyökkääjä käyttää tätä menetelmää porttien tarkistukseen, näet FTP-palvelimen tarkistustietokoneena, kun tarkastelet palvelimen lokien tietoja. Jos kohdepalvelin, jolle hyökätään, ja välityspalvelimena toimiva FTP-palvelin ovat samassa aliverkossa, kohdepalvelin ei suorita pakettisuodatusta FTP-palvelimelta tuleville tiedoille. Lähetettyjä paketteja ei ole kytketty palomuuriin. Koska näihin paketteihin ei sovelleta pääsysääntöjä, hyökkääjän onnistumisen mahdollisuus kasvaa.
Peruspakettisuodattimien läpäiseminen
Tällä menetelmällä hyökkääjä voi käyttää sisäistä palvelinta palomuurilla suojatun anonyymin FTP-palvelimen takana. Anonyymiin FTP-palvelimeen yhdistävä hyökkääjä havaitsee liitetyn sisäisen palvelimen porttiskannausmenetelmällä ja voi tavoittaa sen. Joten hakkeri voi hyökätä palvelimeen, jota palomuuri suojaa ulkoisilta yhteyksiltä, FTP-palvelimen kanssa kommunikointia varten määritetystä kohdasta.
Mikä on palvelunestohyökkäys?
DoS (Denial of Service) -hyökkäykset eivät ole uudenlainen haavoittuvuus. DoS-hyökkäykset tehdään estämään palvelinta toimittamasta tiedostoja tuhlaamalla kohdepalvelimen resursseja. Tämä tarkoittaa, että hakkeroidun FTP-palvelimen vierailijat eivät voi muodostaa yhteyttä palvelimeen tai vastaanottaa pyytämiään tiedostoja tämän hyökkäyksen aikana. Tässä tapauksessa suuren liikenteen verkkosovelluksesta voi aiheutua valtavia taloudellisia tappioita – ja vierailijat turhautuvat!
Ymmärrä, miten tiedostonjakoprotokollat toimivat
Hyökkääjät voivat helposti löytää protokollat, joita käytät tiedostojen lataamiseen. Jokaisella protokollalla on vahvuutensa ja heikkoutensa, joten sinun tulee hallita erilaisia salausmenetelmiä ja piilottaa nämä portit. Tietysti on paljon parempi nähdä asiat hyökkääjän silmin, jotta voit paremmin selvittää, mihin toimenpiteisiin sinun on ryhdyttävä suojellaksesi itseäsi ja vieraita.
Muista: hyökkääjät ovat askeleen edellä sinua monin tavoin. Jos löydät haavoittuvuutesi, voit saada niistä suuren edun.
