بروتوكول نقل الملفات في نظام يونيكس / لينكس

بروتوكول نقل الملفات هو بروتوكول نقل الملفات. وهو بروتوكول نقل الملفات العملاء يجعل لمشاريع التعاون التقني / الملكيه الفكريه الصدد الى خادم بروتوكول نقل الملفات (بورت لمشاريع التعاون التقني 21) ، ويصدق (او في حالة مجهولة مع الخادم ، لوازم عنوان بريد الكتروني). الزبون يمكن أن قائمة ، وطرح ، أو استرجاع الملفات.

معظم الزبائن / خادم البروتوكولات استخدام واحد فقط خدمة الميناء ، في حين يستخدم بروتوكول نقل الملفات اثنين - واحد هو السيطرة الصدد لمعالجة الأوامر (بورت 21) ، وغيرها من البيانات هو الصدد (بورت 20) لنقل البيانات. البيانات الصدد يمكن الصريح أو الضمني. الخادم يبادر نشط الصدد تقوم على الميناء عدد يحددها الزبون ، في حين ان يبادر العميل سلبي الصدد تقوم على الميناء عدد يحددها خادم بروتوكول نقل الملفات. هذا وقد اثار قدرتكم على جدار ناري بنجاح بروتوكول نقل الملفات كما يجب جدار ناري ديناميكيه تسمح البيانات وصلات استنادا الى المعلومات المنقولة عبر قيادة الصدد. يتطلب هذا الجدار الناري لتكون قادرة على فك الترميز بروتوكول نقل الملفات القيادة صلات سليم المسار وبروتوكول نقل الملفات بروتوكول الدولة التحولات. البيانات الصدد تجري على مدى زاءله الميناء (أي ميناء أكبر من 1024). المسارات القياسيه لا تقدم عادة الى هذا المستوى من التطور ، مما يعني ان الشبكه قد الاداريين لتنفيذ جدا acls استرخاء.

بروتوكول نقل الملفات المخاطر

فان بروتوكول نقل الملفات بروتوكول تصميم هو لتأمين العويصه. القاعده مواصفات بروتوكول نقل الملفات ويمكن الاطلاع في المضيقين 959 - ومع ذلك ، هناك العديد من التمديدات. جدار ناري البائعين أكره عليه ، وبرامج كومبيوتر تتداول بصورة غير قانونيه ومن تجار الحب ، والامن الممارسين في محاولة لتجنب ذلك.

بعض من مخاطر تشغيل بروتوكول نقل الملفات هي

• كما مع التلنت ، وليس هناك تشفير لذلك تنطبق mitm الهجمات.

• كما مع التلنت ، بروتوكول نقل الملفات كثيرة الشياطين اعلن النظام / شيطان النسخه المعلومات عندما يربط أحد الزبائن. هذا هو تسرب المعلومات.

• اقروا المتوافقه مع بروتوكول نقل الملفات الشياطين تسمح بور التنطط الهجمات. ميناء التنطط هو تقنيه بموجبها المهاجم يأمر نائية خادم بروتوكول نقل الملفات الى ميناء المسح وجود علاقة لها من خلال نظام الاستخدام الحكيم للقيادة الميناء بروتوكول نقل الملفات. الضحيه ترى الإله وصلات من خادم بروتوكول نقل الملفات ، ومن ثم المهاجم لا أحصل على اللوم. الهجمات المرتده يمكن ان تستخدم ايضا لالالتفافيه الاساسية الحزمه - اجهزة التنقيه وفرض قيود على التصدير تنزيلات البرامج.

هذه هي مشكلة قديمة ، وبعض البائعين في نهاية المطاف حطم مع الالتزام المتجدد للحيلولة دون ذلك. البائعين الآخرين سفينة بروتوكول نقل الملفات الشياطين لا تزال عرضة لهذه "الميزه". Hobbit هو الفضل في اكتشاف هذا الضعف. رقته يمكن النظر اليها على الانترنت هنا : http://www.insecure.org/nmap/hobbit.ftpbounce.txt.

• بروتوكول نقل الملفات بروتوكول الصعب جدار ناري على الوجه الصحيح. لإنشاء اتصال البيانات ، وبرنامج التعاون التقني / الملكيه الفكريه معالجة المعلومات هو ينتقل سيطره الصدد. اصل الى الرقم الصحيح معالجة / الميناء من خلال السماح للزوج ، والجدار الناري ويجب ان ترصد بعناية سيطره con بالاجتماعات. الحزمه الاساسية - ترشيح الاجهزه ليس لديها تطبيق بروتوكول طبقة الاستخبارات للقيام بذلك ، وبالتالي فإن الثقوب الكبيرة قد تكون لكمات في شبكة acls عادل لدعم بروتوكول نقل الملفات. ثانيا ، مشكلة اخطر هي صعوبة الجدران الناريه يبدو انها قد تفهم على الوجه الصحيح تطبيق الحوار بين العميل والخادم. هذا يمكن استغلالها لضرب شبكة الخدمات الاخرى بالظهور على نفس النظام مع خادم بروتوكول نقل الملفات.

ملاحظه

اصلا ميكائيل olsson التي ابلغت عنها ، والمشكلة نفسها بشكل مستقل اكتشفتها جون ماكدونالد (المعروف أيضا باسم الافق) وتوماس lopatic. هذا هو ضد حاجز fw1 وسولاريس خادم بروتوكول نقل الملفات ، ولكن المبدأ ينطبق على اي مجموعة اخرى فيها جدار ناري خاطئ يعرب فان بروتوكول نقل الملفات سيطره التيار.

• خدمة بروتوكول نقل الملفات ان السفينة الملكيه مع توزيعات تنص عادة ضءيله جدا لمراقبة الدخول القدرة.

• مراقبة الدخول يمكن ان تكون مربكه ومعرضة للفشل الاجراءيه. بروتوكول نقل الملفات بعض الشياطين استشارة دعا ftpusers الملف ، الذى يتضمن قائمة المستخدمين الذين لا يجوز استخدام بروتوكول نقل الملفات. هذا يميل الى الخلط بين المبتدئ والاداريين ، حتى في أيدي ذوي الخبرة ، ويؤدي الى المستخدمين الجدد لا يتم ادراجها ؛ وهذا هو ، عندما مستخدم جديد يضاف الى النظام ، وقال انه يحصل على بروتوكول نقل الملفات وصول الافتراضي. اذا كان موقعك وترتكز هذه السياسة على اقل امتيازا من حيث المبدأ ، وهذا لا يفيد.

• للكتابة ، هي خدمة بروتوكول نقل الملفات المجهوله بشكل لا يصدق بجد لتأمين. تمكين أي شخص ان يكتب الى حسابك في نظام ملفات من الصعب ان تفعل بشكل آمن.

• الافتراضي umask وضع بروتوكول نقل الملفات الشياطين على العديد من النتائج في الملفات التي انشئت حديثا في متناول الجميع. هذا هو عموما نتيجة للوراثة وجود ضعف umask من inetd (شيطان ان البيوض فان deamon بروتوكول نقل الملفات).

• افتراضي ، وكثير من الملكيه بروتوكول نقل الملفات الشياطين لا سجل الزبائن الوصلات.

تأمين بروتوكول نقل الملفات

اذا اردت ان توفر خدمات لبروتوكول نقل الملفات المجهوله غير موثوق فيه العملاء ، والنظر جديا باستخدام مكرسه ، نظام مستقل) على ارضه المنطقة المجرده من السلاح قبالة جدار ناري). هذا يعزل اي تفكك في خدمة لبروتوكول نقل الملفات فقط. وكما يقول المثل القديم ، "سلسلة وكما هو فقط قوة اضعف حلقاتها."

الخادم ينبغي ان جردت اسفل. بروتوكول نقل الملفات فقط يجب ان تكون الخدمة متاحة لعملاء غير موثوق فيه (على سبيل المثال ، الانترنت).

شعبية بديلة لادارة الملكيه شيطان بروتوكول نقل الملفات هي جامعة واشنطن بروتوكول نقل الملفات شيطان المتاحة من http://www.wu-ftpd.org/. هذا المعزز يوفر خادم بروتوكول نقل الملفات وظيفيه اضافية مفيدة لتقليل الاساءه. ومع ذلك ، فان لديه تاريخ شوهد الامن الحكيم. اذا اخترت من تشغيلها ، ويكون مستعدا للترقية في عجلة من أمرنا عندما الرئيسي المقبل هو اكتشاف ثقب ، والطفل هو كل النصي الصيد بالشباك الانترنت تبحث عن المستضعفين وو - ftpd المنشآت.

وبدلا من ذلك ، تقييم فوائد تشغيل وقف اسفل بروتوكول نقل الملفات شيطان. دان بيرنشتاين لقد كتب تسرب في بروتوكول نقل الملفات استبدال دعا publicfile ، المصممه والمكتوبة مع الامن كهدف اساسي. ومن مثاليه لبروتوكول نقل الملفات المجهوله. التنزيل هو http://cr.yp.to/publicfile.html الصفحه. Publicfile يمكن أن يكون أيضا بمثابة ملقم الويب جدا الأساسية التي تخدم ساكنة المحتوى فقط.

اذا كان ذلك ممكنا على الاطلاق ، وتجنب تشغيل مجهولة تماما للكتابة خادم بروتوكول نقل الملفات. انت من المحتمل ان ينتهي بها بصفتها كمراه للبرامج المقرصنه مخباه في خلسه اسمه الادله. ليس ذلك فحسب بل ان يكتبوا الوصول الى نظام ملفات الايدز وهو المهاجم الذي يستطيع التأثير حتى قاصر misconfiguration جانبك. جميلة لقائمة شاملة للانتهاكات بروتوكول نقل الملفات المجهوله ، والتحقق من اصل http://www.uga.edu/ucns/wsg/security/ftp/anonymous_ftp_abuses.html.

المخططات المختلفة وقد اقترحت حتى الان ، ولكن يبدو أن لا شيء من الرصاص. بيد انه قال ، انت يمكن ان يفعل اسوأ من اتباع CERT 'sالنصيحه هنا : http://www.bristol.ac.uk/is/computing/advice/networks/documentation/anonftp/anonftp.html

واخيرا ، وتفعيل بروتوكول نقل الملفات شيطان قطع الاشجار وتأكد ان syslog هو تهيئتها لlog_daemon سجل الرسائل. (التحقق من اتصالك ftpd رجل صفحة محددة لقطع الاشجار مرفق المستخدمة.)