Uw gegevens kunnen in gevaar komen door simpelweg bestanden over te zetten tussen uw eigen apparaat en een website. Om uw persoonlijke gegevens te beschermen, moeten de firewall-instellingen voor zowel externe als interne servers correct zijn ingesteld. Daarom is het van cruciaal belang dat u bekend bent met de FTP-server en verschillende aanvalsstrategieën begrijpt vanuit het perspectief van een aanvaller.
Dus wat zijn FTP-servers? Hoe kunnen cybercriminelen uw gegevens onderscheppen als ze niet correct zijn geconfigureerd?
Wat zijn FTP-servers?
FTP staat voor File Transfer Protocol. Het biedt bestandsoverdracht tussen twee computers die met internet zijn verbonden. Met andere woorden, u kunt de gewenste bestanden via FTP naar uw websiteservers overbrengen. U hebt toegang tot FTP vanaf de opdrachtregel of de grafische gebruikersinterface (GUI)-client.
De meeste ontwikkelaars die FTP gebruiken, zijn mensen die regelmatig websites onderhouden en bestanden overdragen. Dit protocol helpt om het onderhoud van de webapplicatie eenvoudig en probleemloos te maken. Hoewel het een vrij oud protocol is, wordt het nog steeds actief gebruikt. U kunt FTP niet alleen gebruiken om gegevens te uploaden, maar ook om bestanden te downloaden. Een FTP-server daarentegen werkt als een applicatie die gebruikmaakt van het FTP-protocol.
Als een aanvaller de FTP-server effectief wil aanvallen, moeten de gebruikersrechten of algemene beveiligingsinstellingen verkeerd zijn ingesteld.
Hoe compromitteren hackers RCP-communicatie?
RCP staat voor Remote Procedure Call. Dit helpt computers in een netwerk om bepaalde verzoeken tussen elkaar uit te voeren zonder de netwerkdetails te kennen. Communicatie met RCP bevat geen codering; de informatie die u verzendt en ontvangt, is in platte tekst.
Als u RCP gebruikt tijdens de authenticatiefase van de FTP-server, gaan de gebruikersnaam en het wachtwoord in platte tekst naar de server. In dit stadium komt de aanvaller, die naar de communicatie luistert, het verkeer binnen en bereikt uw informatie door dit tekstpakket vast te leggen.
Evenzo, aangezien de informatieoverdracht tussen de client en de server niet-versleuteld is, kan de aanvaller dat ook steel het pakket dat de client ontvangt en krijg toegang tot de informatie zonder dat een wachtwoord nodig is of gebruikersnaam. Met behulp van SSL (Secure Socket Layer), kunt u dit gevaar vermijden, omdat deze beveiligingslaag het wachtwoord, de gebruikersnaam en alle datacommunicatie versleutelt.
Om deze structuur te gebruiken, moet u SSL-ondersteunde software aan de clientzijde hebben. Als u SSL wilt gebruiken, heeft u ook een onafhankelijke, externe certificaataanbieder nodig, d.w.z. Certification Authority (CA). Aangezien de CA het authenticatieproces tussen de server en de client uitvoert, moeten beide partijen die instelling vertrouwen.
Wat zijn actieve en passieve verbindingsconfiguraties?
Het FTP-systeem werkt via twee poorten. Dit zijn de besturings- en datakanalen.
Het besturingskanaal werkt op poort 21. Als je CTF-oplossingen hebt gedaan met behulp van software zoals nmap eerder heb je waarschijnlijk poort 21 gezien. Clients maken verbinding met deze poort van de server en starten datacommunicatie.
In het datakanaal vindt het bestandsoverdrachtproces plaats. Dit is dus het belangrijkste doel van het bestaan van FTP. Er zijn ook twee verschillende soorten verbindingen bij het overzetten van bestanden: actief en passief.
Actieve verbinding
De client selecteert hoe de gegevens worden verzonden tijdens een actieve verbinding. Vervolgens vragen ze de server om de gegevensoverdracht vanaf een bepaalde poort te starten, en de server doet dat.
Een van de belangrijkste fouten in dit systeem begint wanneer de server de overdracht start en de firewall van de client deze verbinding goedkeurt. Als de firewall een poort opent om dit mogelijk te maken en verbindingen van deze poorten accepteert, is dit uiterst riskant. Als gevolg hiervan kan een aanvaller de client scannen op open poorten en de machine hacken met behulp van een van de openstaande FTP-poorten.
passieve verbinding
Bij een passieve verbinding beslist de server op welke manier gegevens worden overgedragen. De client vraagt een bestand op bij de server. De server stuurt de klantinformatie vanaf elke poort die de server kan ontvangen. Dit systeem is veiliger dan een actieve verbinding omdat de initiërende partij de client is en de server verbinding maakt met de relevante poort. Op die manier hoeft de client de poort niet te openen en inkomende verbindingen toe te staan.
Maar een passieve verbinding kan nog steeds kwetsbaar zijn omdat de server een poort voor zichzelf opent en wacht. De aanvaller scant de poorten op de server, maakt verbinding met de open poort voordat de client het bestand opvraagt en haalt het relevante bestand op zonder dat er details zoals inloggegevens nodig zijn.
In dit geval kan de klant geen actie ondernemen om het bestand te beschermen. Het waarborgen van de veiligheid van het gedownloade bestand is een volledig server-side proces. Dus hoe kun je voorkomen dat dit gebeurt? Ter bescherming tegen dit type aanval mag de FTP-server alleen de IP- of MAC-adres die het bestand heeft verzocht om te binden aan de poort die het opent.
IP/MAC-maskering
Als de server IP/MAC-controle heeft, moet de aanvaller de IP- en MAC-adressen van de eigenlijke client detecteren en zichzelf dienovereenkomstig maskeren om het bestand te stelen. In dit geval neemt de kans op succes van de aanval natuurlijk af, omdat het nodig is om verbinding te maken met de server voordat de computer het bestand opvraagt. Totdat de aanvaller IP- en MAC-maskering uitvoert, wordt de computer die het bestand opvraagt, verbonden met de server.
Time-outperiode
Een succesvolle aanval op een server met IP/MAC-filtering is mogelijk als de client tijdens de bestandsoverdracht korte onderbrekingen ervaart. FTP-servers definiëren over het algemeen een bepaalde time-outperiode, zodat de bestandsoverdracht niet stopt in het geval van korte onderbrekingen in de verbinding. Wanneer de client een dergelijk probleem ondervindt, meldt de server zich niet af bij het IP- en MAC-adres van de client en wacht tot de verbinding is hersteld totdat de time-out is verstreken.
Door IP- en MAC-maskering uit te voeren, maakt de aanvaller gedurende dit tijdsinterval verbinding met de open sessie op de server en gaat hij verder met het downloaden van bestanden waar de oorspronkelijke client was gebleven.
Hoe werkt een bounce-aanval?
Het belangrijkste kenmerk van de bounce-aanval is dat het moeilijk is voor de aanvaller om gevonden te worden. Bij gebruik in combinatie met andere aanvallen kan een cybercrimineel aanvallen zonder sporen achter te laten. De logica van dit type aanval is het gebruik van een FTP-server als proxy. De belangrijkste aanvalstypes waarvoor de bounce-methode bestaat, zijn poortscanning en het doorgeven van elementaire pakketfilters.
Poort scannen
Als een aanvaller deze methode gebruikt voor het scannen van poorten, ziet u bij het bekijken van de details van de serverlogboeken een FTP-server als scancomputer. Als de aan te vallen doelserver en de FTP-server die als proxy fungeert zich op hetzelfde subnet bevinden, voert de doelserver geen pakketfiltering uit op de gegevens die van de FTP-server komen. De verzonden pakketten zijn niet aangesloten op de firewall. Aangezien er geen toegangsregels worden toegepast op deze pakketten, neemt de kans op succes van de aanvaller toe.
Basispakketfilters doorgeven
Met deze methode kan een aanvaller toegang krijgen tot de interne server achter een anonieme FTP-server die wordt beschermd door een firewall. De aanvaller die verbinding maakt met de anonieme FTP-server detecteert de aangesloten interne server via de poortscanmethode en kan deze bereiken. Zo kan een hacker de server die de firewall beschermt tegen externe verbindingen aanvallen vanaf een speciaal gedefinieerd punt voor communicatie met de FTP-server.
Wat is een Denial of Service-aanval?
DoS-aanvallen (Denial of Service). zijn geen nieuw type kwetsbaarheid. DoS-aanvallen worden uitgevoerd om te voorkomen dat de server bestanden aflevert door de bronnen van de doelserver te verspillen. Dit betekent dat bezoekers van een gehackte FTP-server tijdens deze aanval geen verbinding kunnen maken met de server of de bestanden kunnen ontvangen die ze opvragen. In dit geval is het mogelijk om enorme financiële verliezen te lijden voor een drukbezochte webapplicatie - en bezoekers erg gefrustreerd te maken!
Begrijp hoe protocollen voor het delen van bestanden werken
Aanvallers kunnen gemakkelijk de protocollen ontdekken die u gebruikt om bestanden te uploaden. Elk protocol heeft zijn sterke en zwakke punten, dus u moet verschillende coderingsmethoden beheersen en deze poorten verbergen. Het is natuurlijk veel beter om de zaken door de ogen van een aanvaller te bekijken, om zo beter te kunnen bepalen welke maatregelen je moet nemen om jezelf en bezoekers te beschermen.
Onthoud: aanvallers zullen u in veel opzichten een stap voor zijn. Als u uw kwetsbaarheden kunt vinden, kunt u er een groot voordeel op behalen.
