Sus datos podrían estar en riesgo simplemente al transferir archivos entre su propio dispositivo y un sitio web. Para salvaguardar su información personal, la configuración del firewall para los servidores internos y externos debe configurarse correctamente. Por eso es fundamental que esté familiarizado con el servidor FTP y que comprenda varias estrategias de ataque desde la perspectiva de un atacante.
Entonces, ¿qué son los servidores FTP? ¿Cómo pueden los ciberdelincuentes interceptar sus datos si no están configurados correctamente?
¿Qué son los servidores FTP?
FTP significa Protocolo de transferencia de archivos. Proporciona transferencia de archivos entre dos computadoras conectadas a Internet. En otras palabras, puede transferir los archivos que desee a los servidores de su sitio web a través de FTP. Puede acceder a FTP desde la línea de comandos o desde el cliente de interfaz gráfica de usuario (GUI).
La mayoría de los desarrolladores que usan FTP son personas que mantienen sitios web y transfieren archivos con regularidad. Este protocolo ayuda a que el mantenimiento de la aplicación web sea fácil y sin complicaciones. Aunque es un protocolo bastante antiguo, todavía se usa activamente. Puede usar FTP no solo para cargar datos sino también para descargar archivos. Un servidor FTP, por otro lado, funciona como una aplicación que utiliza el protocolo FTP.
Para que un atacante asalte efectivamente el servidor FTP, los derechos del usuario o la configuración general de seguridad deben estar mal configurados.
¿Cómo comprometen los hackers la comunicación RCP?
RCP significa Llamada a procedimiento remoto. Esto ayuda a las computadoras en una red a realizar algunas solicitudes entre sí sin conocer los detalles de la red. La comunicación con RCP no contiene ningún cifrado; la información que envía y recibe está en texto sin formato.
Si usa RCP durante la fase de autenticación del servidor FTP, el nombre de usuario y la contraseña irán al servidor en texto sin formato. En esta etapa, el atacante, que está escuchando la comunicación, ingresa al tráfico y llega a su información al capturar este paquete de texto.
Asimismo, dado que la transferencia de información entre el cliente y el servidor no está encriptada, el atacante puede robar el paquete que el cliente está recibiendo y acceder a la información sin necesidad de una contraseña o nombre de usuario. Con el uso de SSL (Secure Socket Layer), puede evitar este peligro, ya que esta capa de seguridad cifrará la contraseña, el nombre de usuario y toda la comunicación de datos.
Para usar esta estructura, debe tener un software compatible con SSL en el lado del cliente. Además, si desea utilizar SSL, necesitará un proveedor de certificados de terceros independiente, es decir, una autoridad de certificación (CA). Dado que la CA realiza el proceso de autenticación entre el servidor y el cliente, ambas partes deben confiar en esa institución.
¿Qué son las configuraciones de conexión activa y pasiva?
El sistema FTP funciona en dos puertos. Estos son los canales de control y de datos.
El canal de control opera en el puerto 21. Si ha realizado soluciones CTF usando software como nmap antes, probablemente hayas visto el puerto 21. Los clientes se conectan a este puerto del servidor e inician la comunicación de datos.
En el canal de datos tiene lugar el proceso de transferencia de archivos. Así que este es el propósito principal de la existencia de FTP. También hay dos tipos diferentes de conexión al transferir archivos: activa y pasiva.
Conexión activa
El cliente selecciona cómo se enviarán los datos durante una conexión activa. Luego solicitan que el servidor inicie la transmisión de datos desde un puerto determinado, y el servidor lo hace.
Una de las fallas más significativas en este sistema comienza cuando el servidor inicia la transferencia y el firewall del cliente aprueba esta conexión. Si el firewall abre un puerto para habilitar esto y acepta conexiones desde estos puertos, es extremadamente riesgoso. Como consecuencia, un atacante puede escanear el cliente en busca de puertos abiertos y piratear la máquina usando uno de los puertos FTP que se descubre que está abierto.
Conexión Pasiva
En una conexión pasiva, el servidor decide de qué manera transferir los datos. El cliente solicita un archivo del servidor. El servidor envía la información del cliente desde cualquier puerto que el servidor pueda recibir. Este sistema es más seguro que una conexión activa porque la parte que inicia es el cliente y el servidor se conecta al puerto correspondiente. De esa forma, el cliente no necesita abrir el puerto y permitir conexiones entrantes.
Pero una conexión pasiva aún puede ser vulnerable ya que el servidor abre un puerto en sí mismo y espera. El atacante escanea los puertos en el servidor, se conecta al puerto abierto antes de que el cliente solicite el archivo y recupera el archivo relevante sin necesidad de detalles como las credenciales de inicio de sesión.
En este caso, el cliente no puede realizar ninguna acción para proteger el archivo. Garantizar la seguridad del archivo descargado es un proceso completamente del lado del servidor. Entonces, ¿cómo puedes evitar que esto suceda? Para protegerse contra este tipo de ataque, el servidor FTP solo debe permitir la Dirección IP o MAC que solicitó que el archivo se vinculara al puerto que abre.
Enmascaramiento IP/MAC
Si el servidor tiene control de IP/MAC, el atacante debe detectar las direcciones IP y MAC del cliente real y enmascararse en consecuencia para robar el archivo. Por supuesto, en este caso, la probabilidad de éxito del ataque disminuirá porque es necesario conectarse al servidor antes de que la computadora solicite el archivo. Hasta que el atacante realice el enmascaramiento de IP y MAC, la computadora que solicita el archivo estará conectada al servidor.
Período de tiempo de espera
Un ataque exitoso en un servidor con filtrado IP/MAC es posible si el cliente experimenta breves períodos de desconexión durante la transferencia de archivos. Los servidores FTP generalmente definen un cierto período de tiempo de espera para que la transferencia de archivos no finalice en caso de interrupciones breves en la conexión. Cuando el cliente experimenta un problema de este tipo, el servidor no cierra la sesión de la dirección IP y MAC del cliente y espera a que se restablezca la conexión hasta que expire el tiempo de espera.
Realizando el enmascaramiento de IP y MAC, el atacante se conecta a la sesión abierta en el servidor durante este intervalo de tiempo y continúa descargando archivos desde donde los dejó el cliente original.
¿Cómo funciona un ataque de rebote?
La característica más importante del ataque de rebote es que dificulta que el atacante sea encontrado. Cuando se usa junto con otros ataques, un ciberdelincuente puede atacar sin dejar rastros. La lógica en este tipo de ataque es utilizar un servidor FTP como proxy. Los principales tipos de ataques para los que existe el método de rebote son el escaneo de puertos y el paso de filtros de paquetes básicos.
Escaneo de puertos
Si un atacante usa este método para escanear puertos, cuando observe los detalles de los registros del servidor, verá un servidor FTP como la computadora de escaneo. Si el servidor de destino que se va a atacar y el servidor FTP que actúa como proxy están en la misma subred, el servidor de destino no realiza ningún filtrado de paquetes en los datos que provienen del servidor FTP. Los paquetes enviados no se conectan al cortafuegos. Dado que no se aplicarán reglas de acceso a estos paquetes, las posibilidades de éxito del atacante aumentan.
Pasar filtros de paquetes básicos
Con este método, un atacante puede acceder al servidor interno detrás de un servidor FTP anónimo protegido por un firewall. El atacante que se conecta al servidor FTP anónimo detecta el servidor interno conectado mediante el método de escaneo de puertos y puede llegar a él. Y así, un hacker puede atacar el servidor que el cortafuegos protege contra conexiones externas, desde un punto especialmente definido para comunicarse con el servidor FTP.
¿Qué es un ataque de denegación de servicio?
Ataques DoS (Denegación de servicio) no son un nuevo tipo de vulnerabilidad. Los ataques DoS se realizan para evitar que el servidor entregue archivos al desperdiciar los recursos del servidor de destino. Esto significa que los visitantes de un servidor FTP pirateado no pueden conectarse al servidor ni recibir los archivos que solicitan durante este ataque. En este caso, es posible incurrir en enormes pérdidas financieras por una aplicación web de alto tráfico, ¡y hacer que los visitantes se sientan muy frustrados!
Comprender cómo funcionan los protocolos de uso compartido de archivos
Los atacantes pueden descubrir fácilmente los protocolos que utiliza para cargar archivos. Cada protocolo tiene sus puntos fuertes y débiles, por lo que debe dominar varios métodos de cifrado y ocultar estos puertos. Por supuesto, es mucho mejor ver las cosas a través de los ojos de un atacante, para encontrar mejor qué medidas debe tomar para protegerse a usted mismo y a los visitantes.
Recuerde: los atacantes estarán un paso por delante de usted en muchos sentidos. Si puede encontrar sus vulnerabilidades, puede obtener una gran ventaja sobre ellas.
