FTP Nedir?
FTP (File Transfer Protocol) adından da anlaşılacağı üzere dosya transferi için kullanılan bir internet protokolüdür. FTP’de bir bilgisayardan başka bir bilgisayara dosya aktarımı yapılırken, protokol ile sağlanan komutlar sayesinde dosya aktarımı gerçekleştirilir.
FTP aşağıda listenilen portlar üzerinde default olarak işlemlerini gerçekleştirir.
· port no 20= TCP,UDP FTP -veri protokolü
· port no 21= TCP,UDP FTP-kontrol |veri gönderme/veri alma
· port no 989= TCP,UDP FTP -TLS/SSL üzerinden veri protokolü
· port no 990= TCP,UDP FTP-TLS/SSL üzerinden kontrol|veri gönderme/veri alma
Elbette bu portlar üzerinde sağlanan veri akışları çeşitli tehlikelere maruz kalarak, bilgi güvenliği riskleri açığa çıkacaktır.
FTP Riskleri Nelerdir?
Şunu unutmamak gerekir ki; FTP’nin tek başına kullanımında, herhangi bir güvenlik katmanı bulunmamaktadır. Özellikle ilgili sunucunun kullanıcı yetkileri ve güvenlik ayarlarının yanlış yapılandırılması saldırılar için davetiye oluşturacak niteliktedir. Diğer riskleri aşağıdaki alt başlıklarda inceleyelim.Sıçrama (Bounce) Saldırısı:
Herhangi bir FTP sunucusunun proxy olarak kullanılması sonucu oluşan “Sıçrama Saldırıları” toplu olarak gerçekleştirildiğinde(yani diğer saldırılar ile birlikte kullanıldığında) iz bırakmaz.Bağlantı Noktası Tarama: Bilgisayara ağ üzerinden bağlanan saldırganın, açık TCP/UDP portlarının tespiti için kullandığı tehdittir. Proxy olarak kullanılacak sunucu ile saldırı yapılacak makine aynı alt ağdaysa ise hedef sunucu, FTP üzerinden gelen veri paketleri üzerinde filtreleme yapmaz, yollanan paketler güvenlik duvarına takılmadan geçer.
Temel Paket Süzgeçlerinden Geçmek: Saldırgan bu yöntemle, anonim bir FTP sunucusunun arkasındaki bir güvenlik duvarı ile korunan bir iç sunucuya ulaşabilir. İç sunucunun tespiti ile, bağlantı noktasının arkasındaki sunucunun erişimi sağlanabilir.
SSL Yerine RPC Kullanımı:
Bu riski açıklamadan önce SSL ve RPC tanımı yapmak daha sağlıklı olacaktır.Buradaki zafiyet nedeni ise; RPC’nin mantığı gereği, kullanıcı adı, şifre gibi kimlik bilgileri sunucuya düz metin şeklinde iletilir. Yani saldırı altında bu paket ele geçirildiğinde bahsettiğim kimlik bilgilerine kolaylıkla erişim sağlanmış olur. İstemci-sunucu arasındaki bilgi transferi de şifrelenmemiştir. SSL kullanımında ise bunun tam tersi olarak bu veriler şifrelenir.
Zaman Aşımı:
IP/MAC filtrelemesi yapan sunucu üzerindeki saldırı, dosya aktarımı sırasında yaşanılan kısa süreli bağlantı kopuklukları ile mümkün hale gelir.DoS (Denial of Service) Saldırısı:
Hizmet yadsıması adı verilen bu saldırı türünde FTP sunucusuna istemcilerin sunucuya bağlanamaması ve istemcinin, veri akışındaki dosyaları alamaması hedeflenir.Pasif/Aktif Kullanıcı Yapılandırılması:
FTP, “denetleme kanalı” ve “veri kanalı” olmak üzere iki kanaldan oluşmaktadır. Denetleme kanalı işlemlerini 21 numaralı port üzerinden gerçekleştirir. Veri kanalı için ise port numarası 20'dir.İstemciler, sunucunun 21 numaralı portuna bağlanarak veri iletişimi sağlarlar. Dosya aktarımı ise 20 numaralı portta gerçekleşir. Bu noktada dosya aktarımı için iki çeşit bağlantı vardır.
Aktif Bağlantı: Aktarımı sunucu başlatır. Fakat işlem gerçekleştirilebilmesi için güvenlik duvarının bağlantıya izin vermesi gerekmektedir. Bağlantıya izin verebilmek için ise bir bağlantı noktası açılır. Bu bağlantı noktasından gelen bağlantılara izin verilmiş olur. Tam da burada sunucu üzerindeki açık bağlantı noktalarının tespitini gerçekleştiren bir saldırgan, FTP kullanarak bu noktalardan herhangi biriyle makineye giriş sağlayabilir.
Pasif Bağlantı: Sunucu kendi üzerinde bağlantı noktası açıp bekler. Sunucu üzerindeki açık bağlantı noktalarının tespit edilip, dosyanın aktarılacağı istemciden önce makineye bağlanarak herhangi bir kimlik bilgisi girilmeden saldırı gerçekleştirilebilir.
FTP ile alakalı anlatacaklarım bu kadar. Bir dahaki konumda diğer servislerin zafiyetlerine değineceğim. iyi forumlar…
