ftpは、ファイル転送プロトコルです。 ftpクライアントには、 tcp / ip接続するftpサーバ( tcpポート21 )および認証(または、匿名のサーバーの例は、供給するe - mailアドレス)します。 リストには、クライアントは、置く、またはファイルを取得します。
|
|
ほとんどのクライアント/サーバプロトコルを使用するサーバーのポートの1つだけが、 ftpを使用し2〜1コマンドを処理するためには、制御用の接続(ポート21 )やその他のデータは、接続(ポート20 )へのデータ転送します。 データをアクティブにもパッシブ接続することができます。 サーバーを開始し、アクティブな接続に基づいて、クライアントのポート番号を指定されたが、クライアントの接続を開始するに基づいて受動的にポート番号が指定されたftpサーバにします。 これは、お客様の影響力をファイアウォールのftpとして成功しなければ、ファイアウォールの情報に基づいて動的に接続できるようにデータを転送するコマンドを経由して接続してください。 これには、ファイアウォールのftpコマンドをデコードできるように適切に接続したり、追跡ftpプロトコルステートトランジション。 その上でのデータ接続が行われ短命ポート(つまり、ポート以上の1024 )です。 通常、この提供していないルータの標準的なレベルの洗練された。これは、ネットワーク管理者が非常にリラックスし救命処置を実施します。
ftpプロトコルの設計を確保するのが難しいです。 ftpの基本仕様は、 rfc 959 -しかし、そこには多くの拡張機能します。 ファイアウォールのベンダー嫌いかは別として、ウェアーズpeddlers愛すること、およびセキュリティを避けるために修行してみてください。
いくつかのリスクは、実行中のftp
telnetのスポンジのように、暗号化はありませんので、 mitm攻撃に適用されます。
telnetのスポンジのように、多くのftpデーモンシステムを発表/デーモンのバージョン情報をクライアントに接続したときにします。 これは、情報をリークします。
スポンジのrfcに準拠したデーモンのftpポート宛先不明の攻撃を許可します。 宛先不明の技術は、どのようにしポートを攻撃するよう指示しリモートftpサーバーのポートを介してシステムをスキャンすると無関係の賢明な使い方のftpポートコマンドを使います。 被害者のマシンにftpサーバーからの接続を見て、それ故、攻撃を取得していないせいだ。 直帰の攻撃に使用することもできバイパスの基本的なパケットフィルタリングデバイスを制限するソフトウェアのダウンロードおよびエクスポートします。
これは、古い問題で、いくつかのベンダーを破ってついにこれを防止するためのrfc準拠します。 他のベンダーもこの船のftpデーモンの影響を受けやすい"機能"と述べた。 ホビットとして功績が認められ、この弱点を発見します。 彼の論文をオンラインで表示できページ: http://www.insecure.org/nmap/hobbit.ftpbounce.txtます。
スポンジ、 ftpプロトコルは、ファイアウォールのハードを適切にします。 データ接続を設定するには、 tcp / ipのアドレス情報が渡され、制御用の接続ダウンします。 を理解するし、正しいアドレス/ポートペアを許可するを通じて、注意深く監視する必要があり、ファイアウォールのコントロールコンnectionます。 パケットフィルタリングの基本的なデバイスを持っていないアプリケーション層プロトコルインテリジェンスこれを行うには、そして、そのため、大規模な穴パンチでなければならないだけのaclをサポートするネットワークのftpします。 2つ目は、より深刻な問題は、ファイアウォールの困難に見えますが、アプリケーションを正しく理解し、クライアントおよびサーバ間の対話します。 この他のネットワークへの攻撃に利用できるサービスを同じシステム上で実行されてftpサーバーにします。
注意
もともとmikaelオルソンが報告され、同様の問題が発見された独自のジョンマクドナルド(地平線としても知られる)とトーマスlopaticます。 これは反対の検問fw1とsolarisのftpサーバー、しかし、原則の組み合わせに適用され、他のどこに間違って解析して、ファイアウォールのftpのストリーム制御します。
スポンジftpサーバーを独占して船のほとんどのディストリビューションは通常のアクセス制御機能を提供します。
スポンジへのアクセスを制御することができ混乱しやすいと手続き失敗します。 いくつかのftpデーモンに相談するftpusersファイルと呼ばれる、利用者のリストが含まれないかもしれませんftpを使用します。 初心者管理者は、この傾向を混同すると、経験を積んでも手につながる新しいユーザーが含まれていない;では、新しいユーザーが追加されたときには、システム、彼はデフォルトで、 ftpアクセスを取得します。 お客様のサイトの場合は、ポリシーに基づいて、最小権限の原則は、これはまったく役に立たなかった。
スポンジ書き込み、匿名ftpサーバーには信じられないほどのハードを確保します。 誰でもできるようにしてファイルシステムを書くのは難しいことをしっかりとします。
スポンジのデフォルトのumaskを設定し、多くの検索結果のftpデーモンにアクセスできるようにファイルを新しく作成してまいります。 この結果は通常、 umaskを継承するからinetdの弱い(ことによって、デーモンのftp deamon )します。
スポンジデフォルトでは、多くの独占的なデーモンにログインしていないクライアントのftp接続できません。
を提供する場合は匿名ftpサービスを信頼していないクライアントを使って、専用の配慮を本気で、単体のシステム(オフに独自のファイアウォールの非武装地帯)します。 この分離株侵入して任意のftpサービスのみです。 そして、古い諺に、 "鎖の強さは、最も弱いリンク"と述べた。
裸なければならない、サーバーダウンします。 ftpサービスのみアクセスできるようにしなければならない信頼していないクライアント(たとえば、インターネット)します。
人気の代わりに実行する独自のftpデーモンは、ワシントン大学のftpデーモンhttp://www.wu-ftpd.org/から入手できます。 この拡張ftpサーバーを追加提供するための便利な機能を最小限に抑えることを乱用します。 しかし、それは賢明な安全保障の歴史を発見しました。 を実行することを選択した場合は、アップグレードを用意して、急いでいるときに、次の大きな穴が発見され、すべての児童のスクリプトは、インターネットtrawling呉- ftpdの脆弱性を探してインストールできます。
また、評価の恩恵を削減したftpデーモンを実行します。 ダンバーンスタインが書いたftpのドロップイン置換と呼ばれるpublicfile 、設計およびセキュリティとして書かれ、その主な目標となります。 それは理想的な匿名ftpします。 ダウンロードページには、 http://cr.yp.to/publicfile.htmlます。 publicfileすることも非常に基本的なウェブサーバーとしての役割を果たす、静的なコンテンツの配信のみです。
可能な場合は、実行中の匿名の書き込みを避けるftpサーバーを完全にします。 あなたの演技に終わる可能性を鏡として、海賊版ソフトウェアをひそかに隠された名前のディレクトリにある。 しかし、そればかりではなく、ファイルシステムの書き込みアクセスをエイズを攻撃者にも活用することができ、お客様のマイナーmisconfiguration部分です。 かなり包括的なリストは、匿名ftpの乱用、 http://www.uga.edu/ucns/wsg/security/ftp/anonymous_ftp_abuses.htmlチェックアウトします。
さまざまなスキームを提案してきた日、なしでもいるように見える防弾ます。 しかし、それによると、あなたも悪くないcertのアドバイスに従って与えられたページ: http://www.bristol.ac.uk/is/computing/advice/networks/documentation/anonftp/anonftp.html
最後に、ログを有効にftpデーモンとのsyslogを設定したことを確認してログメッセージlog_daemonます。 ( ftpdのmanページをチェックして、特定のログの施設使用されます。 )
Online: 392 users browsing the articles directory
|
|