Ihre Daten könnten gefährdet sein, wenn Sie einfach Dateien zwischen Ihrem eigenen Gerät und einer Website übertragen. Um Ihre persönlichen Daten zu schützen, müssen die Firewall-Einstellungen für externe und interne Server ordnungsgemäß eingerichtet werden. Aus diesem Grund ist es wichtig, dass Sie sich mit dem FTP-Server auskennen und verschiedene Angriffsstrategien aus Sicht eines Angreifers verstehen.
Was sind FTP-Server? Wie können Cyberkriminelle Ihre Daten abfangen, wenn sie nicht richtig konfiguriert sind?
Was sind FTP-Server?
FTP steht für File Transfer Protocol. Es ermöglicht die Dateiübertragung zwischen zwei Computern, die mit dem Internet verbunden sind. Mit anderen Worten, Sie können die gewünschten Dateien per FTP auf Ihre Website-Server übertragen. Sie können über die Befehlszeile oder den Client mit grafischer Benutzeroberfläche (GUI) auf FTP zugreifen.
Die Mehrheit der Entwickler, die FTP verwenden, sind Personen, die regelmäßig Websites pflegen und Dateien übertragen. Dieses Protokoll trägt dazu bei, die Wartung der Webanwendung einfach und problemlos zu gestalten. Obwohl es sich um ein ziemlich altes Protokoll handelt, wird es immer noch aktiv verwendet. Sie können FTP nicht nur zum Hochladen von Daten, sondern auch zum Herunterladen von Dateien verwenden. Ein FTP-Server hingegen funktioniert wie eine Anwendung, die das FTP-Protokoll verwendet.
Damit ein Angreifer den FTP-Server effektiv angreifen kann, müssen die Rechte des Benutzers oder allgemeine Sicherheitseinstellungen falsch eingerichtet sein.
Wie gefährden Hacker die RCP-Kommunikation?
RCP steht für Remote Procedure Call. Dies hilft Computern in einem Netzwerk, einige Anfragen untereinander zu stellen, ohne die Netzwerkdetails zu kennen. Die Kommunikation mit RCP enthält keine Verschlüsselung; Die Informationen, die Sie senden und empfangen, sind im Klartext.
Wenn Sie RCP während der Authentifizierungsphase des FTP-Servers verwenden, werden Benutzername und Passwort im Klartext an den Server gesendet. In diesem Stadium tritt der Angreifer, der die Kommunikation abhört, in den Datenverkehr ein und erreicht Ihre Informationen, indem er dieses Textpaket erfasst.
Da die Informationsübertragung zwischen dem Client und dem Server unverschlüsselt erfolgt, kann der Angreifer dies ebenfalls tun stehlen Sie das Paket, das der Client empfängt, und greifen Sie ohne die Notwendigkeit eines Passworts auf die Informationen zu oder Nutzername. Mit der Verwendung von SSL (Secure Socket Layer) können Sie diese Gefahr vermeiden, da diese Sicherheitsschicht das Passwort, den Benutzernamen und die gesamte Datenkommunikation verschlüsselt.
Um diese Struktur verwenden zu können, müssen Sie auf der Clientseite über SSL-unterstützte Software verfügen. Wenn Sie SSL verwenden möchten, benötigen Sie außerdem einen unabhängigen Drittanbieter von Zertifikaten, d. h. eine Zertifizierungsstelle (CA). Da die CA den Authentifizierungsprozess zwischen dem Server und dem Client durchführt, müssen beide Parteien dieser Institution vertrauen.
Was sind aktive und passive Verbindungskonfigurationen?
Das FTP-System arbeitet über zwei Ports. Dies sind die Steuer- und Datenkanäle.
Der Steuerkanal arbeitet auf Port 21. Wenn Sie CTF-Lösungen gemacht haben mit Software wie nmap schon einmal haben Sie wahrscheinlich Port 21 gesehen. Clients verbinden sich mit diesem Port des Servers und initiieren die Datenkommunikation.
Im Datenkanal findet der Dateiübertragungsprozess statt. Das ist also der Hauptzweck der Existenz von FTP. Auch beim Übertragen von Dateien gibt es zwei verschiedene Verbindungsarten: aktiv und passiv.
Aktive Verbindung
Der Client wählt aus, wie die Daten während einer aktiven Verbindung gesendet werden. Sie fordern dann den Server auf, die Datenübertragung von einem bestimmten Port zu starten, und der Server führt dies aus.
Einer der größten Fehler in diesem System beginnt damit, dass der Server die Übertragung startet und die Firewall des Clients diese Verbindung genehmigt. Wenn die Firewall einen Port öffnet, um dies zu ermöglichen, und Verbindungen von diesen Ports akzeptiert, ist dies äußerst riskant. Folglich kann ein Angreifer den Client nach offenen Ports scannen und sich über einen der als offen erkannten FTP-Ports in den Computer hacken.
Passive Verbindung
Bei einer passiven Verbindung entscheidet der Server, auf welche Weise Daten übertragen werden. Der Client fordert eine Datei vom Server an. Der Server sendet die Client-Informationen von dem Port, an dem der Server sie empfangen kann. Dieses System ist sicherer als eine aktive Verbindung, da die initiierende Partei der Client ist und der Server sich mit dem entsprechenden Port verbindet. Auf diese Weise muss der Client den Port nicht öffnen und eingehende Verbindungen zulassen.
Eine passive Verbindung kann jedoch immer noch anfällig sein, da der Server einen Port für sich selbst öffnet und wartet. Der Angreifer scannt die Ports auf dem Server, verbindet sich mit dem offenen Port, bevor der Client die Datei anfordert, und ruft die relevante Datei ab, ohne dass Details wie Anmeldeinformationen erforderlich sind.
In diesem Fall kann der Client keine Maßnahmen ergreifen, um die Datei zu schützen. Die Gewährleistung der Sicherheit der heruntergeladenen Datei ist ein vollständig serverseitiger Prozess. Wie können Sie also verhindern, dass dies geschieht? Zum Schutz vor dieser Art von Angriffen darf der FTP-Server nur die zulassen IP- oder MAC-Adresse die die Datei aufgefordert hat, sich an den Port zu binden, den sie öffnet.
IP/MAC-Maskierung
Wenn der Server IP/MAC-Kontrolle hat, muss der Angreifer die IP- und MAC-Adressen des eigentlichen Clients erkennen und sich entsprechend maskieren, um die Datei zu stehlen. In diesem Fall verringert sich natürlich die Wahrscheinlichkeit eines Angriffserfolgs, da eine Verbindung zum Server hergestellt werden muss, bevor der Computer die Datei anfordert. Bis der Angreifer IP- und MAC-Maskierung durchführt, wird der Computer, der die Datei anfordert, mit dem Server verbunden.
Zeitüberschreitung
Ein erfolgreicher Angriff auf einen Server mit IP/MAC-Filterung ist möglich, wenn der Client während der Dateiübertragung kurze Unterbrechungszeiten erfährt. FTP-Server definieren in der Regel eine bestimmte Timeout-Zeit, damit die Dateiübertragung bei kurzzeitigen Verbindungsabbrüchen nicht beendet wird. Wenn beim Client ein solches Problem auftritt, meldet der Server die IP- und MAC-Adresse des Clients nicht ab und wartet auf die Wiederherstellung der Verbindung, bis das Zeitlimit abgelaufen ist.
Durch IP- und MAC-Maskierung verbindet sich der Angreifer während dieses Zeitintervalls mit der offenen Sitzung auf dem Server und fährt mit dem Herunterladen von Dateien dort fort, wo der ursprüngliche Client aufgehört hat.
Wie funktioniert ein Bounce-Angriff?
Das wichtigste Merkmal des Bounce-Angriffs ist, dass er es dem Angreifer erschwert, ihn zu finden. In Verbindung mit anderen Angriffen kann ein Cyberkrimineller angreifen, ohne Spuren zu hinterlassen. Die Logik bei dieser Art von Angriff besteht darin, einen FTP-Server als Proxy zu verwenden. Die Hauptangriffsarten, für die die Bounce-Methode existiert, sind Port-Scanning und das Passieren einfacher Paketfilter.
Port-Scannen
Wenn ein Angreifer diese Methode zum Scannen von Ports verwendet, sehen Sie in den Details der Serverprotokolle einen FTP-Server als scannenden Computer. Wenn sich der anzugreifende Zielserver und der als Proxy fungierende FTP-Server im selben Subnetz befinden, führt der Zielserver keine Paketfilterung der vom FTP-Server kommenden Daten durch. Die gesendeten Pakete werden nicht in die Firewall eingesteckt. Da auf diese Pakete keine Zugriffsregeln angewendet werden, steigen die Erfolgschancen des Angreifers.
Übergeben von grundlegenden Paketfiltern
Mit dieser Methode kann ein Angreifer hinter einem durch eine Firewall geschützten anonymen FTP-Server auf den internen Server zugreifen. Der Angreifer, der sich mit dem anonymen FTP-Server verbindet, erkennt den verbundenen internen Server durch die Port-Scanning-Methode und kann ihn erreichen. So kann ein Hacker den Server, den die Firewall vor externen Verbindungen schützt, von einer speziell definierten Stelle aus angreifen, um mit dem FTP-Server zu kommunizieren.
Was ist ein Denial-of-Service-Angriff?
DoS (Denial of Service)-Angriffe sind keine neue Art von Schwachstellen. DoS-Angriffe werden durchgeführt, um zu verhindern, dass der Server Dateien liefert, indem die Ressourcen des Zielservers verschwendet werden. Dies bedeutet, dass Besucher eines gehackten FTP-Servers während dieses Angriffs keine Verbindung zum Server herstellen oder die angeforderten Dateien erhalten können. In diesem Fall können enorme finanzielle Verluste für eine stark frequentierte Webanwendung entstehen – und die Besucher sehr frustriert sein!
Verstehen Sie, wie File-Sharing-Protokolle funktionieren
Angreifer können leicht die Protokolle entdecken, die Sie zum Hochladen von Dateien verwenden. Jedes Protokoll hat seine Stärken und Schwächen, daher sollten Sie verschiedene Verschlüsselungsmethoden beherrschen und diese Ports verstecken. Natürlich ist es viel besser, die Dinge mit den Augen eines Angreifers zu sehen, um besser herauszufinden, welche Maßnahmen Sie ergreifen müssen, um sich und Besucher zu schützen.
Denken Sie daran: Angreifer sind Ihnen in vielerlei Hinsicht einen Schritt voraus. Wenn Sie Ihre Schwachstellen finden, können Sie ihnen gegenüber einen großen Vorteil erlangen.
