Vos données peuvent être en danger lors d'un simple transfert de fichier entre votre appareil et le site. Pour protéger vos informations personnelles, les paramètres du pare-feu des serveurs externes et internes doivent être correctement configurés. C'est pourquoi il est important de se familiariser avec le serveur FTP et de comprendre les différentes stratégies d'attaque du point de vue de l'attaquant et qui est accessible.
Que sont donc les serveurs FTP ? Comment les cybercriminels peuvent-ils intercepter vos données si elles ne sont pas correctement configurées ? Vérifier Meilleures applications FTP gratuites pour Windows.
Qu'est-ce qu'un serveur FTP ?
Le protocole de transfert de fichiers, abrégé en FTP, est un protocole généralement utilisé pour échanger des fichiers sur n'importe quel réseau prenant en charge la suite de protocoles Internet. Il offre la possibilité de transférer des fichiers entre deux ordinateurs connectés à Internet. En d'autres termes, vous pouvez transférer les fichiers que vous souhaitez vers les serveurs du site Web via FTP. Vous pouvez accéder à FTP à partir de la ligne de commande ou d'un client d'interface utilisateur graphique (GUI).
La plupart des développeurs qui utilisent FTP sont des personnes qui gèrent régulièrement des sites Web et transfèrent des fichiers. Ce protocole permet de rendre la maintenance des applications Web facile et sans tracas. Bien qu'il s'agisse d'un protocole assez ancien, il est toujours activement utilisé. Vous pouvez utiliser FTP non seulement pour télécharger des données, mais également pour télécharger des fichiers. D'autre part, un serveur FTP fonctionne comme une application qui utilise le protocole FTP.
Pour qu'un pirate puisse attaquer efficacement un serveur FTP, les droits d'utilisateur ou les paramètres de sécurité généraux doivent être mal définis.
Comment le pirate compromet-il les connexions RCP ?
RCP est l'acronyme de Remote Procedure Call. Ce qui aide les ordinateurs du réseau à faire des requêtes entre eux sans connaître les détails du réseau. La connexion au RCP ne contient aucun cryptage ; Les informations que vous envoyez et recevez s'effectuent en texte clair.
Si vous utilisez RCP lors de la phase d'authentification sur le serveur FTP, le nom d'utilisateur et le mot de passe seront envoyés au serveur en clair. À ce stade, le pirate, qui écoute la connexion, peut en savoir plus sur le trafic et accéder à vos informations en capturant ce paquet de texte.
De même, étant donné que la transmission d'informations entre le client et le serveur n'est pas cryptée, un pirate peut voler le paquet reçu par le client et accéder aux informations sans avoir besoin d'un mot de passe ou d'un nom d'utilisateur. En utilisant SSL (Secure Socket Layer), vous pouvez éviter ce risque, car cette couche de sécurité cryptera votre mot de passe, votre nom d'utilisateur et toutes les communications de données.
Pour utiliser cette architecture, vous devez disposer d'une application personnalisée prenant en charge SSL côté client. De plus, si vous souhaitez utiliser SSL, vous aurez besoin d'un fournisseur de certificats tiers indépendant, c'est-à-dire une autorité de certification (CA). Étant donné que l'autorité de certification effectue le processus d'authentification entre le serveur et le client, les deux parties doivent faire confiance à cette organisation. Vérifier Comparaison entre RDP et VPN : quelle est la différence ?
Quelles sont les configurations de connexion en mode actif et passif ?
FTP fonctionne via deux ports. Quels sont les canaux de contrôle et de données.
Le canal de contrôle s'exécute sur le port 21. Si vous avez déjà implémenté des solutions CTF avec une application comme nmap, vous avez probablement déjà vu le port 21. Le client se connecte à ce port pour accéder au serveur et initier une connexion de données. Vérifier Types d'attaques négatives qui peuvent facilement passer inaperçues.
Dans le canal de données sur le port 20, le processus de transfert de fichiers a lieu. C'est donc le but principal d'avoir FTP. Il existe également deux types de connexion différents lors du transfert de fichiers : le mode actif et le mode passif.
Connexion en mode actif
Le client détermine comment les données sont envoyées pendant une connexion active. Ensuite, il demande au serveur de démarrer la transmission de données à partir d'un port spécifique, et le serveur le fait.
L'un des défauts majeurs de ce système commence par le fait que le serveur lance le transfert et que le pare-feu du client accepte cette connexion. Si le pare-feu ouvre un port pour permettre cela et que les connexions à partir de ces ports sont acceptées, il s'agit d'un gros risque. Par conséquent, un pirate peut analyser la machine cliente à la recherche de ports ouverts et détourner la machine en utilisant l'un des ports FTP détectés comme étant ouverts.
Contact de motif négatif
Dans une connexion passive, le serveur décide de quelle manière transférer les données. Le client demande un fichier au serveur. Le serveur envoie les informations client à partir de n'importe quel port que le serveur peut recevoir. Ce schéma est plus sécurisé qu'une connexion active car l'extrémité initiatrice est le client et le serveur se connecte au port approprié. De cette manière, le client n'a pas besoin d'ouvrir le port et d'autoriser les connexions entrantes.
Mais la connexion passive peut rester vulnérable car le serveur ouvre un port sur lui-même et attend. Le pirate analyse les ports sur le serveur, se connecte au port ouvert avant que le client ne demande le fichier et récupère le fichier pertinent sans avoir besoin de détails tels que les identifiants de connexion.
Dans ce cas, le client ne peut prendre aucune mesure pour protéger le fichier. Assurer la sécurité d'un fichier téléchargé est un processus côté serveur uniquement. Comment pouvez-vous empêcher que cela se produise? Pour se protéger contre ce type d'attaque, un serveur FTP ne doit autoriser que l'adresse IP ou MAC qui a demandé le fichier à se lier au port qu'il ouvre.
Masquer l'adresse IP/MAC
Si le serveur contrôle l'adresse IP/MAC, le pirate doit trouver les adresses IP et MAC réelles du client et se masquer en fonction de ces détails pour voler le fichier. Bien entendu, dans ce cas, les chances de succès de l'attaque diminueront car il est nécessaire de contacter le serveur avant que l'ordinateur ne demande le fichier. Pour que le pirate cache l'IP et le MAC, l'ordinateur demandant le fichier sera connecté au serveur.
La période de temporisation
Une attaque réussie sur un serveur utilisant le filtrage d'adresses IP/MAC est possible si le client rencontre de courtes interruptions pendant le transfert de fichiers. Les serveurs FTP spécifient généralement un délai d'expiration afin que le transfert de fichiers ne se termine pas en cas de brèves interruptions de la connexion. Lorsque le client rencontre un tel problème, le serveur ne se déconnecte pas de l'adresse IP et de l'adresse MAC du client et attend une reconnexion jusqu'à l'expiration du délai.
Lorsque le masquage IP et MAC est effectué, l'attaquant se connecte à la session ouverte sur le serveur pendant cette période et continue de télécharger des fichiers là où le client d'origine s'est arrêté.
Comment fonctionne une attaque par rebond FTP ?
L'avantage le plus important d'une attaque par rebond est qu'elle rend l'intrus plus difficile à trouver. Lorsqu'il est utilisé en conjonction avec d'autres attaques, un attaquant peut voler des données sans laisser de trace. La logique de ce type d'attaque est d'utiliser un serveur FTP comme proxy. Les principaux types d'attaques pour lesquels la méthode d'écho existe sont le balayage de port et le filtrage de paquets passe-système.
Vérification du port
Si l'attaquant utilise cette méthode pour analyser les ports, lorsque vous regardez les détails des journaux du serveur, vous verrez le serveur FTP comme l'ordinateur effectuant l'analyse. Si le serveur cible à attaquer et le serveur FTP jouant le rôle de proxy sont sur le même sous-réseau, le serveur cible n'effectuera aucun filtrage de paquets sur les données provenant du serveur FTP. Les paquets envoyés ne sont pas connectés au pare-feu. Puisqu'aucune règle d'accès n'est appliquée à ces paquets, le pirate a plus de chances de réussir.
Passer le filtrage de base des paquets
Avec cette méthode, l'attaquant peut accéder au serveur interne derrière un serveur FTP anonyme protégé par un pare-feu. Un pirate qui se connecte à un serveur FTP anonyme découvre le serveur interne connecté via la méthode d'analyse des ports et y accède. Ainsi, un pirate peut attaquer un serveur protégé par un pare-feu à partir de connexions externes, à partir d'un point de communication spécialement désigné avec le serveur FTP.
Qu'est-ce qu'une attaque par déni de service ?
Les attaques par déni de service (DoS) ne sont pas un nouveau type de vulnérabilité. Les attaques DoS sont effectuées pour empêcher le serveur de livrer des fichiers en gaspillant les ressources du serveur cible. Cela signifie que les visiteurs du serveur FTP compromis ne peuvent pas se connecter au serveur ou recevoir les fichiers qu'ils demandent lors de cette attaque. Dans ce cas, vous pourriez subir d'énormes pertes financières pour une application Web à fort trafic - et rendre vos visiteurs très frustrés ! Vérifier Que peut faire quelqu'un avec votre adresse IP ?
Comprendre le fonctionnement des protocoles de partage de fichiers
Un attaquant peut facilement découvrir les protocoles que vous utilisez pour télécharger des fichiers. Chaque protocole a ses forces et ses faiblesses, vous devez donc maîtriser différentes méthodes de cryptage et masquer ces ports. Bien sûr, il est bien préférable de voir les choses à travers les yeux d'un attaquant, afin de mieux trouver les mesures à prendre pour se protéger et protéger les visiteurs.
Rappelez-vous: L'attaquant essaiera d'avoir une longueur d'avance sur vous à bien des égards. Si vous pouvez trouver les faiblesses de votre appareil, vous pouvez obtenir un énorme avantage sur celui-ci. Vous pouvez voir maintenant Qu'est-ce que la perte de fermeté et comment la cause en est-elle résolue?
