ftp는 파일 전송 프로토콜입니다. an ftp 고객 만족을 tcp / ip 연결하기 ftp 서버 (tcp 포트 21), 그리고 인증 (또는의 경우 익명의 서버, 소모품 전자 - 메일 주소). 이 클라이언트는 목록, 배치, 또는 검색할 파일입니다.
|
|
대부분의 클라이언트 / 서버 프로토콜을 사용하면 하나의 서버 포트 반면, ftp 사용 2에서 1 사이는 제어 연결에 대한 처리 명령 (포트 21), 그리고 다른 문제는 데이터 연결 (포트 20)에 대한 데이터를 전송합니다. 활성 또는 수동의 데이터 연결하실 수있습니다. 이 서버를 시작으로 활성 연결을 기반으로하는 포트 번호를 지정하여이 클라이언트 반면 클라이언트를 시작하는 수동적 연결을 기반으로하는 포트 번호를 ftp 서버에 의해 지정됩니다. 이것은 의미에 대한 귀하의 능력을 성공적으로 방화벽을 ftp로 방화벽을 반드시를 통해 전송되는 정보를 기반으로 동적으로 데이터 연결을 허용 명령을 연결합니다. 이것을 필요로 방화벽을 할 수있게 ftp 명령을 연결하여 디코딩을 제대로하고 추적 ftp 프로토콜 상태로 전환됩니다. 이 데이터 연결이 이루어지는 동안 임시 포트 (즉,가 포트보다 큰 1024). 표준 라우터를하지 않는가 정상적으로 제공이 수준의 세련, 즉 네트워크 관리자는 매우 편안 acl을 구현합니다.
가 ftp 프로토콜 디자인은 까다로운을 확보합니다. ftp 명세를베이스에서 찾을 수있습니다 rfc 959 - 그러나, 확장 기능이 많습니다. 방화벽 공급 업체가 증오가, 와레즈 보부상을 사랑하고 보안 진료의 시도를 피하 그것입니다.
일부의 위험성을 실행 ftp는
·와 함께 텔넷, 없다 암호화하므로 mitm 공격이 적용됩니다.
·와 함께 텔넷, 많은 ftp 데몬을 발표할 시스템 / 데몬 버전 정보가하면 클라이언트가 연결됩니다. 이 메시지는 정보를 누설합니다.
· rfc - 호환 ftp 데몬을 허용 포트 - 수신 거부 공격을합니다. 포트를 수신 거부는 기술을 보완 지시 공격자가 원격 ftp 서버를 포트 스캔 an 무관한 시스템을 통해 적절히 사용은 ftp 포트 명령입니다. 피해자가 기계를보고 연결을 ftp 서버, 그래서는 공격자를 얻을 비난하지 않습니다. 반송 공격도 사용을하지 않고 기본적인 패킷 - 필터링 장치 및 수출 제한에 소프트웨어를 다운로드합니다.
이것은 오래된 문제로, 일부 공급 업체가 결국 깬와 rfc 준수으로 인해이있습니다. 다른 공급 업체가 여전히 배송 ftp 데몬 쉽습을이 "기능을합니다." 인종은 크레딧과 함께 이러한 약점을 발견합니다. 논문을 온라인으로 볼 수있습니다 위치 : http://www.insecure.org/nmap/hobbit.ftpbounce.txt.
· ftp 프로토콜은 하드에 방화벽이 제대로합니다. 를 설정은 데이터 연결, tcp / ip 주소 정보가 전달된 상태에서 컨트롤을 연결합니다. 를 파악의 올바른 주소 / 포트 쌍을을 허용을 통해,이 방화벽을 신중하게 모니터링하고 컨트롤을 구성해야합니다 무. 기본적인 패킷 - 필터링 장치를하지 않은가 응용 프로그램 계층 프로토콜 지능 이렇게하고, 따라서, 대형 홀해야 할 수 스캇의 네트워크 acl 단지를 지원해. 두 번째, 더 심각한 문제는 어려움이 방화벽을 보인다을 올바르게 이해하는 응용 프로그램이 클라이언트와 서버 간의 대화입니다. 이것을 공격 기타 네트워크 서비스를 이용할 수있습니다가 동일한 시스템을 사용하여 ftp 서버에서 실행됩니다.
참고 사항
원래 보고한 미카엘 olsson, 같은 문제는 독자에 의해 발견 존 맥도날드 (일명 수평선)과 토마스 lopatic. 이것이 반대 검문소 fw1와 solaris ftp 서버의 원리가 적용되지만 다른 조합이 위치에 방화벽이 잘못 ftp 제어 스트림의 구문을 분석합니다.
· ftp 서버와 함께 제공되는 독점 배포판 일반적으로 매우 적은 액세스 제어 기능을 제공합니다.
· 액세스를 제어할 수있습니다 혼란을 겪기을 절차적 실패합니다. 일부 ftp 데몬 상담라는 파일 ftpusers하고있는 사용자의 목록이 들어있습니다 ftp를 사용하지 않을 수있습니다. 이러한 경향이 혼동 초급 관리자와, 심지어에서 경험 많은 손, 리드를 새 사용자가되지 않습니다 포함; 즉, 새 사용자가 추가 시스템을 때, 그는 ftp 액세스를 기본적으로 얻을 수있습니다. 귀하의 사이트 정책이 기반이 최저 - 특권 원칙, 이것은 도움이되지 않습니다.
· 쓰기, 익명 ftp 서버는 믿을 하드을 확보합니다. 누구를 작성할 수 있도록 귀하의 파일이 하드를 수행하여 안전합니다.
·이 기본 후 설정이 많은 ftp 데몬 결과는 새로 만들어진 파일을 액세스할 수 있도록 모든 사람입니다. 이것은 일반적으로 상속 an 약한 후의 결과를 inetd (데몬이 정의해가 ftp deamon)입니다.
· 기본적으로, 많은 독자적인 ftp 데몬 로그 클라이언트 연결을하지 않습니다.
익명의 ftp 서비스를 제공하려는 경우 신뢰할 수없는 클라이언트, 부여 심각한 고려를 사용하는 전용, 독립형 시스템 (를 자체 비무장 지대 해제를 방화벽)입니다. 이 분리 어떠한 나누기 -에 ftp 서비스 전용입니다. 과 등 옛 말이 상태 "에 체인이 전용으로 강력한으로 취약 링크가있습니다."
서버에서 제외 다운해야한다. 오직 ftp 서비스를해야한다 접근을 신뢰할 수없는 클라이언트 (예를 들어, 인터넷).
로 인기가 대안을 실행하고있는 독점 ftp 데몬은 워싱턴 대학 ftp 데몬 http://www.wu-ftpd.org/에서 구할 수있습니다. 이 개선된 ftp 서버를 제공합니다 남용을 최소화하기위한 추가 기능이 유용합니다. 그러나, 그것은 얼룩 역사 보안을 현명합니다. 실행을 선택하면 그것을 철저히 준비를 업그레이 드에 서두르는 경우 내년 주요 구멍이 발견, 그리고 모든 스크립트 짝짜꿍이 기간은 인터넷을 찾고 취약 우 - 매뉴얼 번역 설치를합니다.
또는, 평의 혜택을 잘라내 - 다운 ftp 데몬을 실행합니다. 댄 번스타인이 쓴 한 방울 -에서 ftp 교체라는 publicfile, 설계 및 서면으로 보안을하면서 기본 목표입니다. 익명의 ftp에 이상적이다. http://cr.yp.to/publicfile.html 다운로드 페이지입니다. publicfile 수도있습니다 역할을하는 아주 기본적인 웹 서버 - 검색 정적 콘텐츠 전용입니다.
만약에 전혀능한 경우 익명 쓰기가 ftp 서버를 한꺼번에 실행하지 않도록합니다. 여러분의 역할을 거울에 대한 우려가 결국 해적판 소프트웨어를 숨김으로 속닥라는 이름의 디렉터리입니다. 뿐만 아니라 파일에 대한 쓰기 액세스 권한이 있지만 에이즈 공격자 활용할 수있는 사람 심지어는 사소한 잘못 구성에 대한 귀하의 일부분입니다. 에 대한 꽤 포괄적인 목록은 익명의 ftp 남용, 체크 아웃 http://www.uga.edu/ucns/wsg/security/ftp/anonymous_ftp_abuses.html.
다양한 방식이 제안을 날짜, 그러나 방탄 없음 것처럼 보일 수있습니다. 그러나, 그 말은, 다음과 cert의 조언을 할 수합니까보다 더 나쁜 주어진 위치 : http://www.bristol.ac.uk/is/computing/advice/networks/documentation/anonftp/anonftp.html
마지막으로, ftp 데몬 로깅을 활성화하고 로그가 구성되어 있는지 확인합니다에 로그 log_daemon 메시지입니다. (확인하여 매뉴얼 번역 맨 페이지에 대한 구체적인 로깅 설비를 사용합니다.)
Online: 350 users browsing the articles directory
|
|