2 Mart 2012 Cuma

Bir FTP Sunucusuna Yapılabilecek Saldırı Türleri

Bir FTP sunucusuna yapilan saldirinin basarili olmasi için ilgili sunucunun kullaniciya sundugu yetkilerin ve genel güvenlik ayarlarinin yanlis yapilandirilmis olmasi gerekir. FTP sunucusuna yapilacak saldirilardan korunabilmek için sunucu ve güvenlik duvari ayarlarinin yalnizca dis baglantilar için degil, iç sunucularla aralarindaki özel iletisim noktalari için de iyi yapilandirilmasi gerekmektedir.

SSL yerine RCP Kullanilmasi
RCP ile saglanan iletisimde herhangi bir sifreleme yoktur ve bilgiler düz metin halinde yollanir ve alinir. FTP sunucusunda kimlik dogrulama asamasinda RCP kullanildigi takdirde kullanici adi ve sifre, sunucuya düz metin halinde gider ve iletisimi dinlemekte olan saldirgan bu paketi yakaladiginda bilgilere de kolaylikla ulasir. Ayni sekilde istemci ve sunucu arasindaki bilgi transferi de sifresiz oldugu için saldirgan, istemcinin almakta oldugu paketi çalarak, sifreye veya kullanici adina ihtiyaç duymadan içindeki bilgiye ulasir. SSL (Secure Socket Layer) kullanimi ile bu tehlikenin önüne geçilir; sifre, kullanici adi ve tüm veri iletisimi sifrelenir. Bu yapiyi kullanmak için istemci tarafinda SSL destekli bir yazilim olmasi gerekir; fakat SSL kullaniminda bagimsiz, üçüncü parti bir sertifika saglayici (Certification Authority - CA) gereklidir. CA, sunucu ile istemci arasindaki kimlik dogrulama islemini yaptigi için her iki tarafin da CA olan kuruma güvenmesi gerekmektedir.

Pasif ve Aktif Kullanici Yapilandirmasi
FTP sistemi temel olarak iki baglanti noktasi üzerinden çalisir. Bu kanallar "denetleme kanali" ve "veri kanali" olarak ikiye ayrilir.
Denetim kanali, 21 numarali port üzerinden çalisir. Istemciler, sunucunun bu portuna baglanirlar ve veri iletisimini baslatirlar. Dosya aktarimi veri kanali üzerinden yapilir. Dosya aktariminda iki çesit baglanti kullanilir.

1. Aktif Baglanti: Aktif baglantida veri aktariminin hangi yolla yapilacagina istemci karar verir. Istemci, sunucuya belirli bir baglanti noktasindan veri aktarimini baslatmasi için istek gönderir ve sunucu aktarimi baslatir. Bu sistemin en büyük açigi, aktarimi baslatan tarafin sunucu olmasi ve istemci üzerindeki güvenlik duvarinin bu baglantiya izin vermesi için baglanti noktasi açmasi ve bu baglanti noktalarindan gelen baglantilara izin vermesidir. Bu sayede bir saldirgan istemci üzerindeki açik baglanti noktalarini tarayarak ve açik bulunan FTP baglanti noktalarindan birini kullanarak bilgisayara izinsiz giris yapabilir.

2. Pasif Baglanti: Pasif baglantida veri aktariminin hangi yolla yapilacagina sunucu karar verir. Istemci, sunucudan bir dosya talep eder ve sunucu istemciye dosyayi sunucunun hangi baglanti noktasindan alabilecegi bilgisini gönderir. Bu sistemin aktif baglantidan daha güvenli olmasinin sebebi, baglantiyi baslatan tarafin istemci olmasi ve sunucunun ilgili baglanti noktasina baglanmasidir. Bu sekilde istemcinin kendi üzerinde baglanti noktasi açip gelen baglantilara izin vermesi gerekmez. Bu baglantinin açigi ise sunucunun kendi üzerinde baglanti noktasi açip beklemesidir. Bu sayede, saldirgan, sunucu üzerindeki baglanti noktalarini tarayarak, dosyayi talep eden istemciden önce açik baglanti noktasina baglanabilir ve kullanici adi, sifre gibi detaylara gerek duymadan ilgili dosyayi alabilir. Bu durumda istemcinin dosyayi korumak için alacagi hiçbir önlem yoktur. Indirilen dosyanin güvenligini saglamak, tamamiyla sunucu tarafli bir islemdir. Bu tip bir saldiridan korunmak için FTP sunucusu, açtigi baglanti noktasina, yalnizca dosyayi talep eden IP veya MAC adresinin baglanmasina izin verir.

o IP/MAC Maskelemesi: IP/MAC kontrolü yapan bir sunucudan dosyayi çalmak için saldirgan, asil istemcinin IP ve MAC adreslerini tespit edip, kendisini bu bilgilere göre maskelemesi gerekir. Bu da saldirinin basari sansini oldukça azaltmaktadir. Bahsi geçen saldirida dosyayi talep eden bilgisayardan önce sunucuya baglanmak gerekir. Saldirgan, IP ve MAC maskelemesini yapana kadar geçen sürede dosyayi talep eden bilgisayar sunucuya baglanmis olacaktir.

o Zaman Asimi Süresi: IP/MAC filtrelemesi yapan bir sunucuya yapilan saldirinin basarili olmasi, istemcinin dosya aktarimi sirasinda kisa süreli baglanti kopukluklari yasamasi ile mümkündür. FTP sunuculari genel olarak baglantida yasanan kisa süreli kopmalarda dosya aktariminin sona ermemesi için belli bir süre zaman asimi süresi tanirlar. Istemci böyle bir sorun yasadiginda, sunucu, istemcinin IP ve MAC adresi için açtigi oturumu kapatmaz ve zaman asimi süresi sonuna kadar baglantinin yeniden kurulmasini bekler. IP ve MAC maskelemesini gerçeklestiren saldirgan bu zaman araliginda sunucudaki açik oturuma baglanir ve asil istemcinin kaldigi yerden dosyalari indirmeye devam eder.
Bu açiklarin yani sira FTP sunucularina saldirida en sik kullanilan yöntem siçrama saldirisi olarak bilinen yöntemdir. Siçrama saldirisi ile çesitli açiklar kullanilarak çesitli saldirilar yapilir.

Bounce Saldirisi
"Bounce" saldirisinin en önemli özelligi, saldirganin bulunmasini zorlastirmasidir. Diger saldirilar ile birlikte kullanildiginda bir saldirgan hiçbir iz birakmadan saldirisini gerçeklestirebilir. Bu tip bir saldiridaki mantik bir FTP sunucusunun proxy olarak kullanilmasidir. "Bounce" yöntemi ile yapilabilecek temel saldiri tipleri sunlardir:

1. Baglanti Noktasi Tarama: Saldirgan herhangi bir sunucuda baglanti noktasi taramasi gerçeklestirmek için bu yöntemi kullanirsa sunucu günlüklerinden saldiri ayrintilarina bakildigi zaman baglanti noktasi taramasini yapan bilgisayar olarak FTP sunucusu görünür ve saldirgana ulasmak zorlasir. Saldiri yapilacak sunucu ile proxy olarak kullanilan FTP sunucusu ayni alt agda ise hedef sunucu, FTP sunucusundan gelen verilerde herhangi bir paket filtrelemesi yapmaz ve yollanan paketler güvenlik duvarina takilmaz. Bu paketler üzerinde hiçbir erisim kurali uygulanmayacagindan saldirganin basari sansi artar.

2. Temel Paket Süzgeçlerinden Geçmek: Bir saldirgan bu yöntemi kullanarak anonim bir FTP sunucusunun arkasina kurulan ve güvenlik duvari tarafindan korunan bir iç sunucuya ulasabilir. Anonim FTP sunucusuna baglanan saldirgan, baglanti noktasi tarama yöntemi ile bu sunucuya herhangi bir baglanti noktasindan bagli olan bir iç sunucuyu tespit eder ve tespit ettigi baglanti noktasindan arkadaki sunucuya ulasabilir. Böylece güvenlik duvarinin dis baglantilara karsi korudugu sunucuya, güvenli baglanti olarak nitelendirilmis ve FTP sunucusuyla iletisim kurulmak için özel olarak tanimlanmis noktadan, saldiri gerçeklesmis olur.

Hizmet Yadsimasi (Denial of Service) Saldirisi
DoS saldirilari tanim itibariyle yeni bir tür güvenlik açigi degildir. DoS saldirilari temel olarak, hedef sunucunun kaynaklarini harcayarak, sunucunun hizmet vermesini engellemek amaçli yapilir. Yani saldiriya ugramis bir FTP sunucusunun ziyaretçileri bu saldiri boyunca sunucuya baglanamayacak veya talep ettigi dosyayi alamayacaktir.

Hiç yorum yok:

Yorum Gönder