Vos données pourraient être en danger simplement en transférant des fichiers entre votre propre appareil et un site Web. Pour protéger vos informations personnelles, les paramètres du pare-feu des serveurs externes et internes doivent être correctement configurés. C'est pourquoi il est essentiel que vous connaissiez le serveur FTP et que vous compreniez les différentes stratégies d'attaque du point de vue d'un attaquant.
Que sont donc les serveurs FTP? Comment les cybercriminels peuvent-ils intercepter vos données si elles ne sont pas correctement configurées ?
Que sont les serveurs FTP?
FTP signifie File Transfer Protocol. Il permet le transfert de fichiers entre deux ordinateurs connectés à Internet. En d'autres termes, vous pouvez transférer les fichiers que vous souhaitez sur les serveurs de votre site Web via FTP. Vous pouvez accéder à FTP à partir de la ligne de commande ou du client de l'interface utilisateur graphique (GUI).
La majorité des développeurs qui utilisent FTP sont des personnes qui maintiennent régulièrement des sites Web et transfèrent des fichiers. Ce protocole permet de rendre la maintenance de l'application Web facile et sans tracas. Bien qu'il s'agisse d'un protocole assez ancien, il est toujours activement utilisé. Vous pouvez utiliser FTP non seulement pour télécharger des données, mais également pour télécharger des fichiers. Un serveur FTP, en revanche, fonctionne comme une application utilisant le protocole FTP.
Pour qu'un attaquant attaque efficacement le serveur FTP, les droits de l'utilisateur ou les paramètres de sécurité généraux doivent être mal configurés.
Comment les pirates compromettent-ils la communication RCP?
RCP signifie Remote Procedure Call. Cela aide les ordinateurs d'un réseau à effectuer des requêtes entre eux sans connaître les détails du réseau. La communication avec RCP ne contient aucun cryptage; les informations que vous envoyez et recevez sont en texte brut.
Si vous utilisez RCP pendant la phase d'authentification du serveur FTP, le nom d'utilisateur et le mot de passe iront au serveur en texte clair. A ce stade, l'attaquant, qui écoute la communication, entre dans le trafic et accède à vos informations en capturant ce paquet texte.
De même, comme le transfert d'informations entre le client et le serveur n'est pas crypté, l'attaquant peut voler le paquet que le client reçoit et accéder aux informations sans avoir besoin d'un mot de passe ou nom d'utilisateur. Avec l'utilisation de SSL (Secure Socket Layer), vous pouvez éviter ce danger, car cette couche de sécurité cryptera le mot de passe, le nom d'utilisateur et toutes les communications de données.
Pour utiliser cette structure, vous devez disposer d'un logiciel compatible SSL côté client. De plus, si vous souhaitez utiliser SSL, vous aurez besoin d'un fournisseur de certificats tiers indépendant, c'est-à-dire une autorité de certification (CA). Étant donné que l'autorité de certification effectue le processus d'authentification entre le serveur et le client, les deux parties doivent faire confiance à cette institution.
Que sont les configurations de connexion active et passive?
Le système FTP fonctionne sur deux ports. Ce sont les canaux de contrôle et de données.
Le canal de contrôle fonctionne sur le port 21. Si vous avez fait des solutions CTF en utilisant un logiciel comme nmap auparavant, vous avez probablement déjà vu le port 21. Les clients se connectent à ce port du serveur et initient la communication de données.
Dans le canal de données, le processus de transfert de fichiers a lieu. C'est donc le but principal de l'existence de FTP. Il existe également deux types de connexion différents lors du transfert de fichiers: active et passive.
Connexion active
Le client sélectionne la façon dont les données seront envoyées pendant une connexion active. Ils demandent ensuite au serveur de démarrer la transmission de données à partir d'un certain port, et le serveur le fait.
L'une des failles les plus importantes de ce système commence par le fait que le serveur démarre le transfert et que le pare-feu du client approuve cette connexion. Si le pare-feu ouvre un port pour permettre cela et accepte les connexions de ces ports, c'est extrêmement risqué. En conséquence, un attaquant peut scanner le client à la recherche de ports ouverts et pirater la machine en utilisant l'un des ports FTP découverts comme étant ouverts.
Connexion passive
Dans une connexion passive, le serveur décide de quelle manière transférer les données. Le client demande un fichier au serveur. Le serveur envoie les informations client à partir de n'importe quel port sur lequel le serveur peut les recevoir. Ce système est plus sécurisé qu'une connexion active car l'initiateur est le client et le serveur se connecte au port concerné. De cette façon, le client n'a pas besoin d'ouvrir le port et d'autoriser les connexions entrantes.
Mais une connexion passive peut toujours être vulnérable car le serveur ouvre un port sur lui-même et attend. L'attaquant analyse les ports sur le serveur, se connecte au port ouvert avant que le client ne demande le fichier et récupère le fichier pertinent sans avoir besoin de détails tels que les identifiants de connexion.
Dans ce cas, le client ne peut prendre aucune mesure pour protéger le fichier. Assurer la sécurité du fichier téléchargé est un processus entièrement côté serveur. Alors, comment pouvez-vous empêcher que cela se produise? Pour se protéger contre ce type d'attaque, le serveur FTP doit uniquement autoriser le Adresse IP ou MAC qui a demandé au fichier de se lier au port qu'il ouvre.
Masquage IP/MAC
Si le serveur a un contrôle IP/MAC, l'attaquant doit détecter les adresses IP et MAC du client réel et se masquer en conséquence pour voler le fichier. Bien sûr, dans ce cas, les chances de succès de l'attaque diminueront car il est nécessaire de se connecter au serveur avant que l'ordinateur ne demande le fichier. Jusqu'à ce que l'attaquant effectue le masquage IP et MAC, l'ordinateur demandant le fichier sera connecté au serveur.
Période d'expiration
Une attaque réussie sur un serveur avec filtrage IP/MAC est possible si le client subit de brèves périodes de déconnexion pendant le transfert de fichiers. Les serveurs FTP définissent généralement un certain délai d'attente afin que le transfert de fichiers ne se termine pas en cas d'interruptions de courte durée de la connexion. Lorsque le client rencontre un tel problème, le serveur ne se déconnecte pas de l'adresse IP et MAC du client et attend que la connexion soit rétablie jusqu'à l'expiration du délai.
En effectuant un masquage IP et MAC, l'attaquant se connecte à la session ouverte sur le serveur pendant cet intervalle de temps et continue à télécharger des fichiers là où le client d'origine s'est arrêté.
Comment fonctionne une attaque par rebond?
La caractéristique la plus importante de l'attaque par rebond est qu'il est difficile pour l'attaquant d'être trouvé. Lorsqu'il est utilisé en conjonction avec d'autres attaques, un cybercriminel peut attaquer sans laisser de traces. La logique de ce type d'attaque est d'utiliser un serveur FTP comme proxy. Les principaux types d'attaques pour lesquels la méthode de rebond existe sont l'analyse des ports et le passage des filtres de paquets de base.
Balayage des ports
Si un attaquant utilise cette méthode pour l'analyse des ports, lorsque vous examinez les détails des journaux du serveur, vous verrez un serveur FTP comme ordinateur d'analyse. Si le serveur cible à attaquer et le serveur FTP jouant le rôle de proxy sont sur le même sous-réseau, le serveur cible n'effectue aucun filtrage de paquets sur les données provenant du serveur FTP. Les paquets envoyés ne sont pas connectés au pare-feu. Comme aucune règle d'accès ne sera appliquée à ces paquets, les chances de succès de l'attaquant augmentent.
Passage des filtres de paquets de base
Par cette méthode, un attaquant peut accéder au serveur interne derrière un serveur FTP anonyme protégé par un pare-feu. L'attaquant se connectant au serveur FTP anonyme détecte le serveur interne connecté par la méthode de balayage de port et peut l'atteindre. Ainsi, un pirate peut attaquer le serveur que le pare-feu protège contre les connexions externes, à partir d'un point spécialement défini pour communiquer avec le serveur FTP.
Qu'est-ce qu'une attaque par déni de service?
Attaques DoS (Denial of Service) ne sont pas un nouveau type de vulnérabilité. Les attaques DoS sont effectuées pour empêcher le serveur de livrer des fichiers en gaspillant les ressources du serveur cible. Cela signifie que les visiteurs d'un serveur FTP piraté ne peuvent pas se connecter au serveur ou recevoir les fichiers qu'ils demandent lors de cette attaque. Dans ce cas, il est possible d'encourir d'énormes pertes financières pour une application Web à fort trafic et de rendre les visiteurs très frustrés !
Comprendre le fonctionnement des protocoles de partage de fichiers
Les attaquants peuvent facilement découvrir les protocoles que vous utilisez pour télécharger des fichiers. Chaque protocole a ses forces et ses faiblesses, vous devez donc maîtriser diverses méthodes de cryptage et masquer ces ports. Bien sûr, il vaut mieux voir les choses à travers les yeux d'un attaquant, afin de mieux trouver les mesures à prendre pour se protéger et protéger les visiteurs.
N'oubliez pas: les attaquants auront une longueur d'avance sur vous à bien des égards. Si vous pouvez trouver vos vulnérabilités, vous pouvez obtenir un grand avantage sur elles.