07 Апр, 2023

Протокол передачи файлов + SSL (FTPS)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

Безопасный протокол передачи файлов (FTPS) это протокол, используемый для безопасной передачи файлов через Интернет. Это комбинация традиционного протокола передачи файлов (FTP) и функций безопасности протоколов Secure Sockets Layer (SSL) и Transport Layer Security (TLS).

Общие порты FTPS

Port 21: Это порт по умолчанию для FTPS. Он используется для канала управления, который отвечает за отправку команд и ответов между клиентом и сервером.

Port 990: Этот порт также используется для FTPS, но он используется для канала управления, когда сервер настроен на использование явного шифрования SSL / TLS.

Port 989: Этот порт используется для FTPS, но он используется для канала управления, когда сервер настроен на использование неявного шифрования SSL / TLS.

Порты 1024-65535: Эти порты используются для канала передачи данных, который отвечает за передачу файлов между клиентом и сервером. Фактический номер порта, используемый для канала передачи данных, согласовывается между клиентом и сервером в процессе настройки соединения.

Стандартные команды от неавторизованных

Разведывательная или нестандартная команда

curl ftps://177.92.65.168 -v –insecure

Инструменты для использования протокола FTPS

Автоматизированные инструменты:

  • Nmap – Инструмент исследования сети и аудита безопасности, который можно использовать для сканирования открытых портов FTPS и сбора информации о серверах FTPS.

  • Metasploit – Мощная платформа эксплуатации, которая включает в себя модули для тестирования серверов FTPS.

  • Burp Suite – Инструмент тестирования безопасности веб-приложений, который включает в себя сканер для серверов FTPS.

  • OpenVAS – Сканер уязвимостей с открытым исходным кодом, который можно использовать для проверки безопасности серверов FTPS.

  • QualysGuard – Облачная платформа для управления уязвимостями и обеспечения соответствия требованиям, которая включает в себя сканер для серверов FTPS.

  • Nessus – Коммерческий сканер уязвимостей, который может быть использован для проверки безопасности серверов FTPS.

  • Acunetix – Инструмент тестирования безопасности веб-приложений, который включает в себя сканер для серверов FTPS.

  • Nikto – Сканер веб-сервера с открытым исходным кодом, который можно использовать для проверки серверов FTPS на наличие уязвимостей.

  • ZAP – Инструмент тестирования безопасности веб-приложений с открытым исходным кодом, который включает в себя сканер для серверов FTPS.

  • w3af – Платформа для атаки на веб-приложения и аудита, которая включает в себя сканер для серверов FTPS.

  • FuzzDB – Обширная база данных шаблонов и методов атак, которые могут быть использованы для тестирования безопасности серверов FTPS.

Ручные Инструменты:

  • FileZilla – Популярный FTP-клиент с открытым исходным кодом, который поддерживает FTPS и может использоваться для ручного тестирования безопасности FTPS-серверов.

  • WinSCP – Бесплатный SFTP и FTP-клиент с открытым исходным кодом для Windows, который поддерживает FTPS и может использоваться для ручного тестирования безопасности серверов FTPS.

  • Curl – Инструмент командной строки и библиотека для передачи данных с URL-адресами, которые поддерживают FTPS и могут использоваться для ручного тестирования безопасности серверов FTPS.

  • FTP Voyager – Коммерческий FTP-клиент, который поддерживает FTPS и может использоваться для ручного тестирования безопасности FTPS-серверов.

  • SmartFTP – Коммерческий FTP-клиент, который поддерживает FTPS и может использоваться для ручного тестирования безопасности FTPS-серверов.

  • Core FTP – Бесплатный и коммерческий FTP-клиент, который поддерживает FTPS и может использоваться для ручного тестирования безопасности FTPS-серверов.

  • FireFTP – Бесплатное дополнение FTP-клиента с открытым исходным кодом для Mozilla Firefox, которое поддерживает FTPS и может использоваться для ручного тестирования безопасности серверов FTPS.

  • CrossFTP – Бесплатный и коммерческий FTP-клиент, который поддерживает FTPS и может использоваться для ручного тестирования безопасности FTPS-серверов.

  • Cyberduck – Бесплатный FTP-клиент с открытым исходным кодом для Mac и Windows, который поддерживает FTPS и может использоваться для ручного тестирования безопасности серверов FTPS.

Последние пять известных CVE для FTPS

• CVE-2019-5537: Уязвимость раскрытия конфиденциальной информации, возникающая в результате отсутствия проверки сертификата во время операций резервного копирования и восстановления на основе файлов VMware vCenter Server Appliance (6.7 до 6.7u3a и 6.5 до 6.5u3d), может позволить злоумышленнику перехватывать конфиденциальные данные при передаче по FTPS и HTTPS. Злоумышленник, занимающий промежуточное положение между устройством vCenter Server и целью резервного копирования, может перехватывать конфиденциальные данные при передаче во время операций резервного копирования и восстановления на основе файлов. 

• CVE-2019-12753: Уязвимость раскрытия информации в Symantec Reporter web UI 10.3 до версии 10.3.2.5 позволяет злоумышленнику, прошедшему проверку подлинности администратора, получать пароли для внешних серверов SMTP, FTP, FTPS, LDAP и загрузки облачных журналов, доступ к которым в противном случае у них не был бы разрешен. Вредоносный пользователь-администратор также может получить пароли других пользователей веб-интерфейса Reporter. 

• CVE-2015-5361: Справочная информация Для обычного незашифрованного FTP-трафика FTP ALG может проверять незашифрованный канал управления и открывать связанные сеансы для канала передачи данных FTP. Эти связанные сеансы (шлюзы) специфичны для исходных и целевых IP-адресов и портов клиента и сервера. Целью разработки опции ftps-extensions (которая по умолчанию отключена) является предоставление аналогичной функциональности, когда SRX обеспечивает безопасность клиента FTP / FTPS. Поскольку канал управления зашифрован, FTP ALG не может проверить информацию о конкретном порту и откроет более широкий канал передачи данных TCP (gate) с IP-адреса клиента на IP-адрес сервера на всех портах назначения TCP. В клиентских средах FTP / FTPS для корпоративной сети или Интернета это желаемое поведение, поскольку оно позволяет записывать политику брандмауэра на серверы FTP / FTPS на хорошо известных портах управления без использования политики с IP-адресом назначения ANY и портом назначения ANY. Проблема Параметр ftps-extensions не предназначен или не рекомендуется для тех случаев, когда SRX обеспечивает безопасность сервера FTPS, поскольку сеанс широкого канала передачи данных (gate) позволит клиенту FTPS временно получить доступ ко всем TCP-портам на сервере FTPS. Сеанс передачи данных связан с каналом управления и будет закрыт, когда сеанс канала управления закроется. В зависимости от конфигурации сервера FTPS, поддерживающего балансировщик нагрузки и значения времени ожидания бездействия SRX, сервер/ балансировщик нагрузки и SRX могут поддерживать канал управления открытым в течение длительного периода времени, предоставляя клиенту FTPS доступ на равный срок.​ Обратите внимание, что опция ftps-extensions по умолчанию не включена. 

• CVE-2010-4221: Множественные переполнения буфера на основе стека в функции pr_netio_telnet_gets в netio.c в ProFTPD до версии 1.3.3c позволяют удаленным злоумышленникам выполнять произвольный код с помощью векторов, включающих escape-символ IAC TELNET, на (1) FTP или (2) FTPS-сервер.

• CVE-2009-3702: Множественные уязвимости с абсолютным обходом пути в PHP-Calendar 1.1 позволяют удаленным злоумышленникам включать и выполнять произвольные локальные файлы с помощью полного пути в параметре configfile к (1) update08.php или (2) update10.php . ПРИМЕЧАНИЕ: в некоторых средах это можно использовать для удаленного включения файлов, используя путь к общему ресурсу в формате UNC или URL-адрес ftp, ftps или ssh2.sftp. 

Полезная информация

– Два порта для связи: 21 для канала управления и 990 для канала передачи данных.

– Поддерживает два режима работы: неявный и явный. В неявном режиме согласование SSL / TLS происходит сразу после того, как клиент подключается к серверу по порту 990. В явном режиме клиент сначала устанавливает незашифрованный канал управления на порту 21, а затем выдает команду для переключения в зашифрованный режим.

– Обеспечивает аутентификацию и шифрование как для каналов управления, так и для каналов передачи данных.

– Уязвим для таких атак, как отказ FTP, когда злоумышленник может использовать сервер для сканирования других хостов или сетей.

– Протестировано с использованием различных инструментов, включая как ручные, так и автоматизированные.

– Клиенты и серверы могут быть настроены на использование различных наборов шифров SSL / TLS, что может повлиять на безопасность и производительность соединения.

– Некоторые распространенные наборы шифров SSL / TLS, используемые в FTPS, включают AES128-SHA, AES256-SHA и RC4-MD5.

– Часто используется в корпоративных средах для безопасной передачи файлов между серверами и клиентами.

– Также может использоваться в веб-разработке для передачи файлов между локальной машиной и веб-сервером.

– Поддерживается многими популярными FTP-клиентами и серверами, включая FileZilla, WinSCP и ProFTPD.

Известные баннеры

“220-“ – Этот баннер может появиться в ответе на рукопожатие FTPS, указывая, что сервер готов к приему команд.

“АУТЕНТИФИКАЦИЯ TLS” – Этот баннер может появиться в ответе на рукопожатие FTPS, указывая, что серверу требуется шифрование TLS / SSL для аутентификации.

“234 AUTH TLS прошел успешно” – Этот баннер может появиться в ответе на рукопожатие FTPS, указывая, что сервер успешно прошел аутентификацию с клиентом с использованием шифрования TLS / SSL.

“Сервер 220 FTPS Готов” – Этот баннер может появиться в ответе на рукопожатие FTPS, указывая, что сервер готов к приему команд FTPS.

Книги для изучения безопасного протокола передачи файлов (FTPS)

FTP, JCL и утилиты автор Дуг Лоу – Эта книга представляет собой введение в мэйнфреймовый FTP, включая FTPS.

FTP: Протокол передачи файлов Уильям Столлингс – В этой книге представлен всесторонний обзор FTP, включая защищенную версию FTPS.

Пуленепробиваемый SSL и TLS: понимание и развертывание SSL / TLS и PKI для защищенных серверов и веб-приложений Иван Ристич – Хотя эта книга не посвящена конкретно FTPS, она подробно описывает SSL / TLS, который является базовым протоколом безопасности, используемым в FTPS.

Windows Server 2012 R2 Карманный консультант: Хранение, безопасность и сеть Уильям Р. Станек – Эта книга включает раздел о настройке FTPS на сервере Windows.

Профессиональный FTPd Питер Бортас – Эта книга представляет собой исчерпывающее руководство по популярному программному обеспечению FTP-сервера ProFTPd, которое включает поддержку FTPS.

Безопасный FTP: Решения для управляемой передачи файлов автор: Марк Л. Трасти – В этой книге представлен обзор защищенных FTP-решений, включая FTPS.

Мастерство работы с FTP: Полное руководство по использованию FTP автор Sia Mohajer – Эта книга охватывает все аспекты FTP, включая FTPS.

The Accidental Administrator: Linux Server Step-by-Step Configuration Guide автор: Дон Р. Кроули – Эта книга включает раздел о настройке ProFTPd с поддержкой FTPS на сервере Linux.

Пуленепробиваемый веб-дизайн: повышение гибкости и защита от наихудших сценариев с помощью XHTML и CSS автор: Дэн Седерхолм – Хотя в этой книге не говорится конкретно о FTPS, она охватывает лучшие практики веб-дизайна и разработки, включая защиту передачи файлов с помощью FTPS.

Практический анализ пакетов, 3E: Использование Wireshark для решения реальных сетевых проблем автор: Крис Сандерс – Эта книга представляет собой введение в анализ пакетов, включая анализ трафика FTPS.

Список полезной нагрузки для протокола безопасной передачи файлов (FTPS)

  • STOR – Используется для хранения файла на сервере

  • RETR – используется для извлечения файла с сервера

  • APPE – Используется для добавления файла к существующему файлу на сервере

  • DELE – Используется для удаления файла с сервера

  • RNFR / RNTO – Используется для переименования файла на сервере

  • MKD – Используется для создания нового каталога на сервере

  • RMD – используется для удаления каталога с сервера

  • LIST – используется для перечисления файлов и каталогов на сервере.

  • NLST – Используется для перечисления только имен файлов и каталогов на сервере

  • SIZE – используется для получения размера файла на сервере.

  • MDTM – используется для получения даты и времени изменения файла на сервере

Смягчение последствий

  1. Внедрите строгий контроль доступа: ограничьте доступ к серверам FTPS только авторизованным пользователям и убедитесь, что пароли и другие учетные данные хранятся надежно.

  2. Используйте шифрование: убедитесь, что FTPS настроен на использование надежных методов шифрования, таких как AES (расширенный стандарт шифрования), для защиты передаваемых данных.

  3. Мониторинг и ведение журнала действий FTPS: Внедряйте решения для ведения журнала и мониторинга для отслеживания действий FTPS и обнаружения любого подозрительного поведения или несанкционированного доступа.

  4. Регулярно обновляйте и исправляйте серверы FTPS: обновляйте серверы FTPS последними исправлениями безопасности, чтобы предотвратить использование известных уязвимостей.

  5. Используйте брандмауэры и другие меры сетевой безопасности: Внедряйте брандмауэры и другие меры сетевой безопасности для предотвращения несанкционированного доступа к серверам FTPS.

  6. Используйте защищенные FTP-клиенты: убедитесь, что клиенты FTPS настроены на использование безопасных методов шифрования и что они регулярно обновляются последними исправлениями безопасности.

  7. Используйте многофакторную аутентификацию: Внедрите многофакторную аутентификацию (MFA) для серверов FTPS, чтобы обеспечить дополнительный уровень безопасности помимо паролей.

  8. Ограничить права доступа к файлам: ограничьте права доступа к файлам, чтобы предотвратить несанкционированный доступ к конфиденциальным данным, передаваемым через FTPS.

Заключение

FTPS (FTP через SSL / TLS) это защищенная версия протокола FTP, которая обеспечивает шифрование и аутентификацию при передаче данных. FTPS обычно используется в таких отраслях, как финансы, здравоохранение и государственное управление, где безопасность данных и соответствие требованиям имеют решающее значение. Однако, как и в случае с любым протоколом, существуют потенциальные риски безопасности, связанные с FTPS, которые необходимо минимизировать с помощью передовых методов, таких как строгий контроль доступа, шифрование, мониторинг и регулярные обновления и исправления. Следуя этим рекомендациям, организации могут гарантировать, что данные, передаваемые через FTPS, являются безопасными и защищены от несанкционированного доступа или перехвата.

Другие Услуги

Готовы к безопасности?

Связаться с нами