Sus datos pueden estar en riesgo durante una simple transferencia de archivos entre su dispositivo y el sitio web. Para proteger su información personal, la configuración del firewall para servidores externos e internos debe configurarse correctamente. Por eso es importante estar familiarizado con el servidor FTP y comprender las diferentes estrategias de ataque desde la perspectiva del atacante y quién es accesible.
Entonces, ¿qué son los servidores FTP? ¿Cómo pueden los ciberdelincuentes interceptar sus datos si no están configurados correctamente? Verificar Las mejores aplicaciones FTP gratuitas para Windows.
¿Qué son los servidores FTP?
El Protocolo de transferencia de archivos, abreviado como FTP, es un protocolo generalmente utilizado para intercambiar archivos en cualquier red que admita Internet Protocol Suite. Brinda la capacidad de transferir archivos entre dos computadoras conectadas a Internet. En otras palabras, puede transferir los archivos que desee a los servidores del sitio web a través de FTP. Puede acceder a FTP desde la línea de comandos o desde un cliente de interfaz gráfica de usuario (GUI).
La mayoría de los desarrolladores que confían en FTP son personas que mantienen sitios web y transfieren archivos con regularidad. Este protocolo ayuda a que el mantenimiento de la aplicación web sea fácil y sin complicaciones. Aunque es un protocolo bastante antiguo, todavía se usa activamente. Puede usar FTP no solo para cargar datos sino también para descargar archivos. Por otro lado, un servidor FTP funciona como una aplicación que utiliza el protocolo FTP.
Para que un hacker ataque efectivamente un servidor FTP, los derechos de usuario o la configuración general de seguridad deben configurarse incorrectamente.
¿Cómo compromete el hacker las conexiones RCP?
RCP es un acrónimo de Llamada a procedimiento remoto. Lo que ayuda a las computadoras en la red a realizar solicitudes entre sí sin conocer los detalles de la red. La conexión a RCP no contiene ningún cifrado; La información que envía y recibe tiene lugar en texto sin formato.
Si utiliza RCP durante la fase de autenticación en el servidor FTP, el nombre de usuario y la contraseña se enviarán al servidor en texto sin formato. En este punto, el hacker, que está escuchando la conexión, puede conocer el tráfico y acceder a su información capturando este paquete de texto.
Del mismo modo, dado que la transmisión de información entre el cliente y el servidor no está encriptada, un pirata informático puede robar el paquete recibido por el cliente y acceder a la información sin requerir una contraseña o un nombre de usuario. Al usar SSL (Secure Socket Layer), puede evitar este riesgo, porque esta capa de seguridad encriptará su contraseña, nombre de usuario y toda la comunicación de datos.
Para usar esta arquitectura, debe tener una aplicación personalizada que admita SSL en el lado del cliente. Además, si desea utilizar SSL, necesitará un proveedor de certificados independiente de terceros, es decir, una autoridad de certificación (CA). Dado que la autoridad de certificación realiza el proceso de autenticación entre el servidor y el cliente, ambas partes deben confiar en esta organización. Verificar Comparación de RDP y VPN: ¿Cuál es la diferencia?
¿Cuáles son las configuraciones de conexión en modo activo y pasivo?
FTP funciona a través de dos puertos. Cuáles son los canales de control y de datos.
El canal de control se ejecuta en el puerto 21. Si implementó soluciones CTF con una aplicación como nmap anteriormente, probablemente haya visto el puerto 21. El cliente se conecta a este puerto para acceder al servidor e iniciar una conexión de datos. Verificar Tipos de ataques negativos que fácilmente pueden pasar desapercibidos.
En el canal de datos del puerto 20 se lleva a cabo el proceso de transferencia de archivos. Así que este es el objetivo principal de tener FTP. También hay dos tipos diferentes de conexión al transferir archivos: modo activo y modo pasivo.
Conexión en modo activo
El cliente determina cómo se envían los datos durante una conexión activa. Luego le pide al servidor que inicie la transmisión de datos desde un puerto específico y el servidor lo hace.
Una de las principales fallas en este sistema comienza cuando el servidor inicia la transferencia y el firewall del cliente acepta esa conexión. Si el cortafuegos abre un puerto para habilitar esto y se aceptan las conexiones de esos puertos, esto es un gran riesgo. Como resultado, un pirata informático puede escanear la máquina cliente en busca de puertos abiertos y secuestrar la máquina utilizando uno de los puertos FTP que se detecta que está abierto.
Contacto de patrón negativo
En una conexión pasiva, el servidor decide de qué manera transferir los datos. El cliente solicita un archivo del servidor. El servidor envía la información del cliente desde cualquier puerto que el servidor pueda recibir. Este esquema es más seguro que una conexión activa porque el extremo iniciador es el cliente y el servidor se conecta al puerto correspondiente. De esta forma, el cliente no necesita abrir el puerto y permitir conexiones entrantes.
Pero la conexión pasiva puede seguir siendo vulnerable ya que el servidor abre un puerto y espera. El hacker escanea los puertos en el servidor, se conecta al puerto abierto antes de que el cliente solicite el archivo y recupera el archivo relevante sin necesidad de detalles como las credenciales de inicio de sesión.
En este caso, el cliente no puede realizar ninguna acción para proteger el archivo. Garantizar la seguridad de un archivo descargado es un proceso del lado del servidor únicamente. ¿Cómo puedes evitar que esto suceda? Para protegerse contra este tipo de ataque, un servidor FTP solo debe permitir que la dirección IP o MAC que solicitó el archivo se vincule al puerto que abre.
Ocultar dirección IP/MAC
Si el servidor controla la dirección IP/MAC, el pirata informático debe averiguar las direcciones IP y MAC del cliente real y enmascararse de acuerdo con estos detalles para robar el archivo. Por supuesto, en este caso, la posibilidad de éxito del ataque disminuirá porque es necesario contactar al servidor antes de que la computadora solicite el archivo. Para que el hacker oculte la IP y la MAC, la computadora que solicita el archivo se conectará al servidor.
período de tiempo de espera
Es posible un ataque exitoso en un servidor que usa el filtrado de direcciones IP/MAC si el cliente encuentra breves interrupciones durante la transferencia de archivos. Los servidores FTP generalmente especifican un período de tiempo de espera para que la transferencia de archivos no finalice en caso de interrupciones breves en la conexión. Cuando el cliente encuentra un problema de este tipo, el servidor no cierra la sesión de la dirección IP y la dirección MAC del cliente, y espera una reconexión hasta que se agote el tiempo de espera.
Cuando se realiza el enmascaramiento de IP y MAC, el atacante se conecta a la sesión abierta en el servidor durante este período de tiempo y continúa descargando archivos desde donde los dejó el cliente original.
¿Cómo funciona un ataque de rebote FTP?
La ventaja más importante de un ataque de rebote es que hace que el intruso sea más difícil de encontrar. Cuando se usa junto con otros ataques, un atacante puede robar datos sin dejar rastro. La lógica en este tipo de ataque es utilizar un servidor FTP como proxy. Los principales tipos de ataques para los que existe el método de eco son el escaneo de puertos y el filtrado de paquetes de paso.
control de puerto
Si el atacante usa este método para escanear puertos, cuando observe los detalles de los registros del servidor, verá que el servidor FTP es la computadora que realiza el escaneo. Si el servidor objetivo que se va a atacar y el servidor FTP que actúa como proxy están en la misma subred, el servidor objetivo no realizará ningún filtrado de paquetes en los datos provenientes del servidor FTP. Los paquetes enviados no están conectados al firewall. Dado que no se aplican reglas de acceso a estos paquetes, el hacker tiene mayores posibilidades de éxito.
Pasar filtrado básico de paquetes
Con este método, el atacante puede acceder al servidor interno detrás de un servidor FTP anónimo que está protegido por un firewall. Un pirata informático que se conecta a un servidor FTP anónimo descubre el servidor interno conectado a través del método de escaneo de puertos y obtiene acceso a él. Así, un hacker puede atacar un servidor protegido por un cortafuegos de conexiones externas, desde un punto de comunicación especialmente designado con el servidor FTP.
¿Qué es un ataque de denegación de servicio?
Los ataques de denegación de servicio (DoS) no son un nuevo tipo de vulnerabilidad. Los ataques DoS se realizan para evitar que el servidor entregue archivos desperdiciando los recursos del servidor de destino. Esto significa que los visitantes del servidor FTP comprometido no pueden conectarse al servidor ni recibir los archivos que solicitan durante este ataque. En este caso, podría incurrir en enormes pérdidas financieras por una aplicación web de alto tráfico, ¡y hacer que sus visitantes se sientan muy frustrados! Verificar ¿Qué puede hacer alguien con tu dirección IP?
Comprender cómo funcionan los protocolos para compartir archivos
Un atacante puede descubrir fácilmente los protocolos que utiliza para cargar archivos. Cada protocolo tiene sus puntos fuertes y débiles, por lo que debe dominar diferentes métodos de encriptación y ocultar estos puertos. Por supuesto, es mucho mejor ver las cosas a través de los ojos de un atacante, para encontrar mejor las medidas que debe tomar para protegerse a sí mismo y a los visitantes.
recuerda: El atacante intentará estar un paso por delante de ti de muchas maneras. Si puede encontrar las debilidades de su dispositivo, puede obtener una gran ventaja sobre él. Puedes ver ahora ¿Qué es la pérdida de paquetes y cómo se soluciona la causa?
