FTP - это протокол передачи файлов. В FTP клиент делает TCP / IP связи с FTP сервера (TCP порт 21) и аутентификацию (или в случае анонимного сервера, принадлежности адреса электронной почты). Клиент может списка, говоря, и извлекать файлы.
|
|
Большинство клиент / сервер протоколов использовать только один порт сервера, а FTP использует два - один - это соединение для обработки команд (порт 21), а другой - данные связи (порт 20) для передачи данных. Данные связи может быть активной или пассивной. Сервер инициирует активное связи на основе номера порта, указанный клиентом, то клиент инициирует пассивной связи на основе номера порта, предусмотренных FTP сервера. Это сказывается на вашей способности успешно брандмауэр FTP, как брандмауэр должен позволить динамически данных соединений на основе информации, переданных через командную связи. Это требует брандмауэра могли декодировать FTP командования соединений и правильно отслеживать FTP протокола состояния перехода. Данные связи происходит в течение эфемерных портов (то есть портов более 1024). Стандарт маршрутизаторы, как правило, не предлагает такой уровень сложности, это означает, что сетевым администраторам придется выполнять очень смягчены список контроля доступа.
В FTP протокола дизайн сложно обеспечить. Базовая спецификация FTP можно найти в RFC 959, однако существует множество расширений. Firewall продавцов ненавидеть, варезом разносчиках нравится, и безопасности практиков постараться избежать его.
Некоторые риски запуска FTP являются
· Как с TELNET, нет шифрования, чтобы MITM нападений применяются.
· Как и Telnet, FTP демоны многих объявить системы / демон информацию о версии, когда клиент подключается. Это утечка информации.
· RFC требованиям FTP демоны позволяют порта почту нападения. Порт почта - это прием, в котором злоумышленник указывает удаленный FTP сервер для сканирования портов, несвязанной системы за счет рационального использования на FTP команду PORT. Потерпевший машина видит соединения с FTP сервера, поэтому злоумышленник не получит вину. Отказов нападения также может быть использована для обхода основных пакетов устройств фильтрации и ограничения на экспорт программного обеспечения.
Это старая проблема, и некоторые продавцы конечном вспыхнули с соблюдением RFC предотвратить это. Другие продавцы по-прежнему судна FTP демоны подвержены этой функции. " Хоббит зачисляются обнаружив эту слабость. Его документ можно просмотреть в Интернете здесь: http://www.insecure.org/nmap/hobbit.ftpbounce.txt.
· В FTP протокола трудно брандмауэр должным образом. Чтобы создать соединения TCP / IP решения информация передаются контроля связи. Чтобы узнать правильный адрес / порт паре разрешить путем, брандмауэр должен внимательно следить за контроль кон связи. Основные пакетной фильтрации устройства - не имеют прикладного уровня протокола интеллекта для этого, и, следовательно, большого отверстия должны быть кулаком в сети просто список контроля доступа для поддержки FTP. Второй, более серьезной проблемой является трудность брандмауэров как правильно понимаю применение диалога между клиентом и сервером. Это может быть использовано для нападения на другие сетевые услуги, работающих на одной и той же системы с FTP сервера.
Примечание
Первоначально сообщили Микаэл Олссон, те же проблемы самостоятельно обнаружил Джон Макдональд (также известный как Horizon) и Томас Lopatic. Это было против Checkpoint FW1 и Solaris FTP сервер, но в принципе относится и к любой другой комбинации, когда брандмауэр неправильно разбирает FTP контроля потока.
· FTP серверов, поставляемых с дистрибутивами собственности, как правило, содержат весьма мало возможностей контроля доступа.
· Контроль доступа может быть запутанной и подвержены процедурных провал. Некоторые FTP демоны консультации файл ftpusers, который содержит список пользователей, которые не могут использовать FTP. Это, как правило, путают начинающих администраторов, и даже в опытных руках, приводит к новым пользователям не включен; Это, когда новый пользователь будет добавлен в систему, он получает доступ FTP по умолчанию. Если Ваш сайт политика основывается на наименее честь принципе, это не полезно.
· Райтабле, анонимных FTP серверов невероятно трудно обеспечить. С кем бы написать файловой трудно сделать надежно.
· По умолчанию umask параметр на многих FTP демоны результатов в новых файлы доступными для каждого. Это обычно результате унаследовать один слабый umask из inetd (демон, что порождает в FTP deamon).
· По умолчанию, многие собственности FTP демоны не заходите клиентом соединения.
Если вы хотите предложить анонимный FTP услуг ненадежным клиентам, уделять серьезное внимание, используя специальную, автономную систему (по собственной ДЗ отключить брандмауэр). Это изолирует любой перерыв в с FTP услуга. И, как старая поговорка, "А цепь только сильна, как ее самое слабое звено."
На сервере должны быть лишены вниз. Только FTP службы должны быть доступны для ненадежные клиенты (например, Интернет).
Популярный альтернативы управления собственностью FTP демон Вашингтонского университета FTP демон из http://www.wu-ftpd.org/. Это более FTP сервер обеспечивает дополнительную функциональность полезна для минимизации злоупотреблений. Однако, она имеет историю пятнами безопасности мудрым. Если вы запустите его, будьте готовы к модернизации в спешка при следующем основные дыры обнаруживаются, и каждый сценарий kiddy является траление в Интернете ищут уязвимые wu - ftpd установок.
С другой стороны, оценить выгоды от эксплуатации вырезать вниз FTP демон. Дэна Бернстайна письмо падение - в FTP замены называется Publicfile, разработана и написана безопасности в качестве своей главной цели. Она идеально подходит для анонимного FTP. Загрузка страницы http://cr.yp.to/publicfile.html. Publicfile может также служить основным Web сервер служит только статическое содержание.
Если это вообще возможно, не делать записи анонимного FTP сервер вообще. Вы вероятно, в конечном счете, выступающей в качестве зеркала пиратское тайно спрятаны в директории с именем. И не только это, но доступ на запись в файловую средства злоумышленник, которые могут обеспечить даже незначительные Неправильная с вашей стороны. Для довольно полный список анонимных злоупотреблений FTP, проверьте http://www.uga.edu/ucns/wsg/security/FTP/anonymous_ftp_abuses.html.
Различные схемы были предложены на сегодняшний день, но никто, по-видимому, пуленепробиваемые. Вместе с тем, что говорит, можно сделать хуже, чем следовать CERT рекомендуют уделять здесь: http://www.bristol.ac.uk/is/computing/advice/networks/documentation/anonftp/anonftp.html
Наконец, активировать FTP демон войти и убедиться, что журнал настроен на журнал LOG_DAEMON сообщений. (Посмотрите в ftpd мужчина страницу для конкретного объекта, используемых при входе.)
Online: 422 users browsing the articles directory
|
|