книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546

B. Правила фильтрации для канала данных в активном сеансе FTP: 1. Входящие пакеты SYN для канала данных:

2. Исходящие пакеты SYN-ACK для канала данных:

3. Входящие пакеты ACK для канала данных:

4. Исходящие пакеты ACK для канала данных:

7.7.2.4 Проблема безопасности с активным режимом FTP

Обычно в сеансе TCP клиент / сервер клиент запускает сеанс. Однако в активном сеансе FTP FTP-клиент инициирует сеанс Command, а FTPсервер инициирует сеанс Data. Это серьезная проблема безопасности, поскольку для брандмауэра внешним хостам разрешено инициировать сеансы TCP на внутренних хостах. Этот тип соединения обычно блокируется, поскольку он позволяет злонамеренным внешним хостам генерировать атаки на внутренние хосты. То есть в сеансе активного FTP злонамеренный хост может использовать правила фильтрации, соответствующие каналу данных, для установления TCP-соединений с внутренними хостами. Эта уязвимость позволит злонамеренному хосту легко атаковать внутренние хосты. DoS-атаки или атаки на основе программ с дистанционным управлением (например, троянские кони) являются примерами атак, которые злонамеренные хосты могут выполнять против внутренних хостов. Таким образом, активный FTP полезен для администратора сервера FTP, но вреден для администратора на стороне клиента.

7.7.3 Пассивный режим FTP

Чтобы решить проблему безопасности в режиме активного FTP, был разработан другой метод для FTP-соединений. Это называется пассивным режимом FTP. В этом режиме клиент FTP запускает каналы

команд и данных, что позволяет решить проблему безопасности в режиме активного FTP. FTP-клиент использует команду «PASV», чтобы сообщить серверу, что FTP-сессия будет в пассивном режиме.

На следующем рисунке показаны два TCP-канала пассивного FTPсоединения. При открытии FTP-соединения клиент открывает два случайных порта локально (X> 1023 и X + 1). Первый порт связывается с сервером через порт 21, затем клиент выдает команду «PASV» (шаг 1). Результатом этого является то, что сервер затем открывает порт Y (20 или случайный порт (Y> 1023)) и отправляет команду «PORT Y» обратно клиенту (Шаг 2). Затем клиент инициирует соединение от порта «X + 1» к порту Y на сервере для передачи данных (шаг 3). Наконец, на шаге 4 сервер отправляет обратно ACK на порт данных клиента.

7.7.3.1 Пассивная фильтрация трафика FTP

Чтобы разрешить пассивному FTP-трафику проходить через брандмауэр, должны быть реализованы правила фильтрации, чтобы разрешить трафик как командного канала, так и канала данных.

На следующем рисунке показаны различные TCP-пакеты, которыми обмениваются в сеансе пассивного FTP. Сеансы команд и данных инициируются клиентом FTP.

In addition, because FTP uses TCP-based channels, for each channel, four filtering rules are required to allow the cor-responding traffic to pass through the firewall. For example, if the FTP client is an internal host and the FTP server is an external host, then the following table provides all the filtering rules for the Command and Data channels, respectively.

Правила фильтрации для командного канала и канала данных в пассивном сеансе FTP

На следующем снимке экрана с использованием графического интерфейса Jetico Personal Firewall показана реализация четырех правил фильтрации из приведенной выше таблицы, необходимых для разрешения пассивного трафика FTP.

На следующих снимках экрана показано подробное содержание правил фильтрации, показанных на снимке экрана выше.

1. Исходящие пакеты SYN для каналов команд и данных:

3. Исходящие пакеты ACK для каналов команд и данных:

7.7.3.3 Проблема безопасности с пассивным режимом FTP

Несомненно, что пассивный режим FTP является более безопасным режимом по сравнению с активным режимом FTP. Однако основная проблема безопасности в режиме пассивного FTP заключается в том, что узлам FTP-клиента разрешено инициировать подключения к портам с большим номером на сервере FTP. Это может открыть целый ряд проблем на стороне FTP-сервера. Однако, поскольку администраторам FTPсерверов необходимо сделать свои серверы доступными для наибольшего числа клиентов, им почти наверняка потребуется поддержка Passive FTP. Проблему безопасности в режиме пассивного FTP можно минимизировать, используя FTP-серверы, которые позволяют администраторам определять ограниченный диапазон портов для использования FTP-серверами. Кроме того, межсетевые экраны будут блокировать любой порт, который не принадлежит этому диапазону. Таким образом, пассивный FTP выгоден для клиента, но вреден для администратора FTP-сервера.

С другой стороны, использование режима пассивного FTP в сети предполагает поддержку и устранение неполадок клиентов, которые поддерживают (или не поддерживают) режим пассивного FTP.

7.7.4Эксперимент: активный анализ трафика FTP

ианализ

Эксперимент связан с анализом и анализом активного и пассивного FTPтрафика. Эксперимент состоит из двух частей. Первый касается активного FTP-трафика, а второй - пассивного FTP-трафика.

7.7.5 Архитектура сети

Архитектура сети, использованная в эксперименте, показана на следующем рисунке. Два хоста (Host #1 и Host #2) подключены к коммутатору Cisco. На Host #1 запущен инструмент LeapFTP в качестве клиента FTP. На Host #2 запущено программное обеспечение LiteServe в качестве FTP-сервера.

7.7.6 Шаги эксперимента - часть 1: активный сеанс

FTP

В следующем эксперименте описывается, как анализировать и анализировать пакеты активного сеанса FTP. Эксперимент состоит из следующих этапов:

Шаг 1. Подключитесь к FTP-серверу, используя режим активного FTP, и прослушайте пакеты сеанса.

Шаг 2. Анализ активных пакетов сеанса FTP.