07 Кві, 2023

Протокол передачі файлів + SSL (FTPS)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

Безпечний протокол передачі файлів (FTPS) це протокол, який використовується для безпечної передачі файлів через Інтернет. Це комбінація традиційного протоколу передачі файлів (FTP) і функцій безпеки протоколів Secure Sockets Layer (SSL) і Transport Layer Security (TLS).

Загальні порти FTPS

Port 21: Це порт за замовчуванням для FTPS. Він використовується для каналу управління, який відповідає за відправку команд і відповідей між клієнтом і сервером.

Port 990: Цей порт також використовується для FTPS, але він використовується для каналу управління, коли сервер налаштований на використання явного шифрування SSL / TLS.

Port 989: Цей порт використовується для FTPS, але він використовується для каналу управління, коли сервер налаштований на використання неявного шифрування SSL / TLS.

Порти 1024-65535Ці порти використовуються для каналу передачі даних, який відповідає за передачу файлів між клієнтом і сервером. Фактичний номер порта, який використовується для каналу передачі даних, узгоджується між клієнтом і сервером у процесі налаштування з'єднання.

Стандартні команди від неавторизованих

Розвідувальна або нестандартна команда

curl ftps://177.92.65.168 -v –insecure

Інструменти для використання протоколу FTPS

Автоматизовані інструменти:

  • Nmap – Інструмент дослідження мережі та аудиту безпеки, який можна використовувати для сканування відкритих портів FTPS і збору інформації про серверах FTPS.

  • Metasploit – Потужна платформа експлуатації, яка включає в себе модулі для тестування серверів FTPS.

  • Burp Suite – Інструмент тестування безпеки веб-додатків, який включає в себе сканер для серверів FTPS.

  • OpenVAS – Сканер вразливостей з відкритим вихідним кодом, який можна використовувати для перевірки безпеки серверів FTPS.

  • QualysGuard – Хмарна платформа для управління уразливими і забезпечення відповідності вимогам, яка включає в себе сканер для серверів FTPS.

  • Nessus – Комерційний сканер вразливостей, який може бути використаний для перевірки безпеки серверів FTPS.

  • Acunetix – Інструмент тестування безпеки веб-додатків, який включає в себе сканер для серверів FTPS.

  • Nikto – Сканер веб-сервер з відкритим вихідним кодом, який можна використовувати для перевірки серверів FTPS на наявність вразливостей.

  • ZAP – Інструмент тестування безпеки веб-додатків з відкритим вихідним кодом, що включає в себе сканер для серверів FTPS.

  • w3af – Платформа для атаки на веб-додатки та аудиту, яка включає в себе сканер для серверів FTPS.

  • FuzzDB – Велика база даних шаблонів і методів атак, які можуть бути використані для тестування безпеки серверів FTPS.

Ручні Інструменти:

  • FileZilla – Популярний FTP-клієнт з відкритим вихідним кодом, який підтримує FTPS і може використовуватися для ручного тестування безпеки FTPS-серверів.

  • WinSCP – Безкоштовний SFTP і FTP-клієнт з відкритим вихідним кодом для Windows, який підтримує FTPS і може використовуватися для ручного тестування безпеки серверів FTPS.

  • Curl – Інструмент командного рядка та бібліотека для передачі даних з URL-адресами, які підтримують FTPS і можуть використовуватися для ручного тестування безпеки серверів FTPS.

  • FTP Voyager – Комерційний FTP-клієнт, який підтримує FTPS і може використовуватися для ручного тестування безпеки FTPS-серверів.

  • SmartFTP – Комерційний FTP-клієнт, який підтримує FTPS і може використовуватися для ручного тестування безпеки FTPS-серверів.

  • Core FTP – Безкоштовний і комерційний FTP-клієнт, який підтримує FTPS і може використовуватися для ручного тестування безпеки FTPS-серверів.

  • FireFTP – Безкоштовне доповнення FTP-клієнта з відкритим вихідним кодом для Mozilla Firefox, яке підтримує FTPS і може використовуватися для ручного тестування безпеки серверів FTPS.

  • CrossFTP – Безкоштовний і комерційний FTP-клієнт, який підтримує FTPS і може використовуватися для ручного тестування безпеки FTPS-серверів.

  • Cyberduck – Безкоштовний FTP-клієнт з відкритим вихідним кодом для Mac і Windows, який підтримує FTPS і може використовуватися для ручного тестування безпеки серверів FTPS.

Останні п'ять відомих CVE для FTPS

• CVE-2019-5537: Вразливість розкриття конфіденційної інформації, що виникає в результаті відсутності перевірки сертифіката під час операцій резервного копіювання і відновлення на основі файлів VMware vCenter Server Appliance (6.7 до 6.7u3a і 6.5 до 6.5u3d), може дозволити зловмиснику перехоплювати конфіденційні дані при передачі по FTPS і HTTPS. Зловмисник, який займає проміжне положення між пристроєм vCenter Server і метою резервного копіювання, може перехоплювати конфіденційні дані при передачі під час операцій резервного копіювання і відновлення на основі файлів. 

• CVE-2019-12753: Вразливість розкриття інформації в Symantec Reporter web UI 10.3 до версії 10.3.2.5 дозволяє зловмисникові, який пройшов перевірку автентичності адміністратора, отримувати паролі для зовнішніх серверів SMTP, FTP, FTPS, LDAP і завантаження хмарних журналів, доступ до яких в іншому випадку у них не було б вирішено. Шкідливий користувач-адміністратор також може отримати паролі інших користувачів веб-інтерфейсу Reporter. 

• CVE-2015-5361: Довідкова інформація Для звичайного незашифрованого FTP-трафіку FTP ALG може перевіряти незашифрований канал управління і відкривати пов'язані сеанси для каналу передачі даних FTP. Ці пов'язані сеанси (шлюзи) специфічні для вихідних і цільових IP-адрес і портів клієнта і сервера. Метою розробки опції ftps-extensions (яка за замовчуванням відключена) є надання аналогічної функціональності, коли SRX забезпечує безпеку клієнта FTP / FTPS. Оскільки канал управління зашифрований, FTP ALG не може перевірити інформацію про конкретному порту і відкриє більш широкий канал передачі даних TCP (gate) з IP-адреси клієнта на IP-адресу сервера, на всіх портах призначення TCP. В клієнтських середовищах FTP / FTPS для корпоративної мережі або Інтернету це бажане поведінка, оскільки вона дозволяє записувати політику брандмауера на сервери FTP / FTPS на добре відомих портах управління без використання політики з IP-адресою призначення ANY і портом призначення ANY. Проблема Параметр ftps-extensions не призначений або не рекомендується для тих випадків, коли SRX забезпечує безпеку сервера FTPS, оскільки сеанс широкого каналу передачі даних (gate) дозволить клієнту FTPS тимчасово отримати доступ до всіх TCP-портів на сервері FTPS. Сеанс передачі даних пов'язаний з каналом управління і буде закритий, коли сеанс каналу управління закриється. Залежно від конфігурації сервера FTPS, підтримує балансувальник навантаження і значення часу очікування бездіяльності SRX, сервер/ балансувальник навантаження і SRX можуть підтримувати канал управління відкритим протягом тривалого періоду часу, надаючи клієнту FTPS доступ на рівний термін. Зверніть увагу, що опція ftps-extensions за замовчуванням не включена. 

• CVE-2010-4221: Множинні переповнення буфера на основі стека в функції pr_netio_telnet_gets в netio.c ProFTPD до версії 1.3.3 c дозволяють віддаленим зловмисникам виконувати довільний код за допомогою векторів, що включають escape-символ IAC TELNET, на (1) FTP або (2) FTPS-сервер.

• CVE-2009-3702: Численні уразливості з абсолютним обходом шляху в PHP-Calendar 1.1 дозволяють віддаленим зловмисникам включати і виконувати довільні локальні файли з допомогою повного шляху в параметрі configfile до (1) update08.php або (2) update10.php . ПРИМІТКА: в деяких середовищах це можна використовувати для віддаленого включення файлів, використовуючи шлях до спільного ресурсу у форматі UNC або URL-адреса ftp, ftps або ssh2.sftp. 

Корисна інформація

– Два порти для зв'язку: 21 каналу управління і 990 для каналу передачі даних.

– Підтримує два режими роботи: неявний і явний. В неявному режимі узгодження SSL / TLS відбувається відразу після того, як клієнт підключається до сервера по порту 990. В явному режимі клієнт спочатку встановлює незашифрований канал управління на порту 21, а потім видає команду для перемикання в зашифрований режим.

– Забезпечує аутентифікацію і шифрування як для каналів управління, так і для каналів передачі даних.

– Вразливий для таких атак, як відмова FTP, коли зловмисник може використовувати сервер для сканування інших хостів або мереж.

– Протестовано з використанням різних інструментів, включаючи як ручні, так і автоматизовані.

– Клієнти і сервери можуть бути налаштовані на використання різних наборів шифри SSL / TLS, що може вплинути на безпеку і продуктивність з'єднання.

– Деякі поширені набори шифри SSL / TLS, використовувані в FTPS, включають AES128-SHA, AES256-SHA і RC4-MD5.

– Часто використовується в корпоративних середовищах для безпечної передачі файлів між серверами і клієнтами.

– Також може використовуватися в веб-розробки для передачі файлів між локальною машиною і веб-сервером.

– Підтримується багатьма популярними FTP-клієнтами і серверами, включаючи FileZilla, WinSCP і ProFTPD.

Відомі банери

“220-“ – Цей банер може з'явитися у відповіді на рукостискання FTPS, вказуючи, що сервер готовий до прийому команд.

"АУТЕНТИФІКАЦІЯ TLS" – Цей банер може з'явитися у відповіді на рукостискання FTPS, вказуючи, що сервера потрібно шифрування TLS / SSL для аутентифікації.

"234 AUTH TLS пройшов успішно" – Цей банер може з'явитися у відповіді на рукостискання FTPS, вказуючи, що сервер успішно пройшов аутентифікацію з клієнтом з використанням шифрування TLS / SSL.

"Сервер 220 FTPS Готовий" – Цей банер може з'явитися у відповіді на рукостискання FTPS, вказуючи, що сервер готовий до прийому команд FTPS.

Книги для вивчення безпечного протоколу передачі файлів (FTPS)

FTP, JCL і утиліти автор Дуг Лоу – Ця книга являє собою введення в мэйнфреймовый FTP, включаючи FTPS.

FTP: Протокол передачі файлів Вільям Столлингс – У цій книзі представлено всебічний огляд FTP, включаючи захищену версію FTPS.

Куленепробивний SSL і TLS: розуміння і розгортання SSL / TLS і PKI для захищених серверів і веб-додатків Іван Рістіч – Хоча ця книга присвячена конкретно FTPS, вона детально описує SSL / TLS, який є базовим протоколом безпеки, використовуваних у FTPS.

Windows Server 2012 R2 Кишеньковий консультант: Зберігання, безпека і мережу Вільям Р. Станек – Ця книга включає розділ про налаштування FTPS на сервері Windows.

Професійний FTPd Пітер Бортас – Ця книга являє собою вичерпне керівництво по популярного програмного забезпечення FTP-сервера ProFTPd, яке включає підтримку FTPS.

Безпечний FTP: Рішення для керованої передачі файлів автор: Марк Л. Трасті – У цій книзі представлений огляд захищених FTP-рішень, включаючи FTPS.

Майстерність роботи з FTP: Повне керівництво по використанню FTP автор Sia Mohajer – Ця книга охоплює всі аспекти FTP, включаючи FTPS.

The Accidental Administrator: Linux Server Step-by-Step Configuration Guide автор: Дон Р. Кроулі – Ця книга включає розділ про налаштування ProFTPd з підтримкою FTPS на сервері Linux.

Куленепробивний веб-дизайн: підвищення гнучкості і захист від найгірших сценаріїв XHTML і CSS автор: Ден Седерхолм – Хоча в цій книзі не йдеться конкретно про FTPS, вона охоплює кращі практики веб-дизайну і розробки, включаючи захист передачі файлів за допомогою FTPS.

Практичний аналіз пакетів, 3E: Використання Wireshark для вирішення реальних мережевих проблем автор: Кріс Сандерс – Ця книга являє собою введення в аналіз пакетів, включаючи аналіз трафіку FTPS.

Список корисного навантаження для протоколу безпечної передачі файлів (FTPS)

  • STOR – Використовується для зберігання файлу на сервері

  • RETR – використовується для вилучення файлу з серверу

  • APPE – Використовується для додавання файлу до існуючого файлу на сервері

  • DELE – Використовується для видалення файлу з серверу

  • RNFR / RNTO – Використовується для перейменування файлу на сервері

  • MKD – Використовується для створення нового каталогу на сервері

  • RMD – використовується для видалення каталогу з сервера

  • LIST – використовується для перерахування файлів і каталогів на сервері.

  • NLST – Використовується для перерахування тільки імен файлів і каталогів на сервері

  • SIZE – використовується для отримання розміру файлу на сервері.

  • MDTM – використовується для отримання дати і часу модифікації файлів на сервері

Пом'якшення наслідків

  1. Вбудуйте строгий контроль доступу: обмежте доступ до серверів FTPS тільки авторизованим користувачам і переконайтеся, що паролі та інші облікові дані зберігаються надійно.

  2. Використовуйте шифрування: переконайтеся, що FTPS налаштований на використання надійних методів шифрування, таких як AES (розширений стандарт шифрування), для захисту переданих даних.

  3. Моніторинг і ведення журналу дій FTPS: Впроваджуйте рішення для ведення журналу та моніторингу для відстеження дій FTPS і виявлення будь-якої підозрілої поведінки або несанкціонованого доступу.

  4. Регулярно оновлюйте і виправляйте сервери FTPS: оновлюйте сервери FTPS останніми виправленнями безпеки, щоб запобігти використання відомих вразливостей.

  5. Використовуйте брандмауери та інші заходи мережевої безпеки: Впроваджуйте брандмауери та інші заходи мережевої безпеки для запобігання несанкціонованого доступу до серверів FTPS.

  6. Використовуйте захищені FTP-клієнти: переконайтеся, що клієнти FTPS налаштовані на використання безпечних методів шифрування і що вони регулярно оновлюються останніми виправленнями безпеки.

  7. Використовувати багатофакторну аутентифікацію: Впровадьте багатофакторну аутентифікацію (MFA) для серверів FTPS, щоб забезпечити додатковий рівень безпеки крім паролів.

  8. Обмежити права доступу до файлів: обмежте права доступу до файлів, щоб запобігти несанкціонований доступ до конфіденційних даних, що передаються через FTPS.

Висновок

FTPS (FTP через SSL / TLS) це захищена версія протоколу FTP, яка забезпечує шифрування і аутентифікації при передачі даних. FTPS зазвичай використовується в таких галузях, як фінанси, охорона здоров'я, державне управління, де безпека даних і відповідність вимогам мають вирішальне значення. Однак, як і у випадку з будь-яким протоколом, існують потенційні ризики безпеки, пов'язані з FTPS, які необхідно мінімізувати за допомогою передових методів, таких як строгий контроль доступу, шифрування, моніторинг і регулярні оновлення і виправлення. Слідуючи цим рекомендаціям, організації можуть гарантувати, що дані, передані через FTPS, є безпечними і захищені від несанкціонованого доступу або перехоплення.

Інші Послуги

Готові до безпеки?

зв'язатися з нами