web-dev-qa-db-ja.com

暗号化されていないデータを転送するための暗号化されていないFTP-IP制限されている場合は問題ありませんか?

公共のインターネットを介した暗号化されていないFTPが特定の状況で唯一のファイル転送オプションである場合、次のことを前提として、どのようなセキュリティ上の懸念が適用されますか。

  • 転送されるデータは、ファイルを作成している人/誰によっても強力に暗号化されています
  • ファイアウォールレベルでIP制限が設定されているため、指定された1つのIPのみがFTP経由で接続できます。
  • FTPサーバー上でファイルの削除から保護されています(上書きはされません)。
  • 資格情報は他のサービス(SSHアクセスなど)では無効です

誰かがユーザー名とパスワードを盗聴した場合、彼らはそれで何かをすることさえできますか? IPスプーフィングで何ができるのか本当にわかりませんが、資格情報を使用してFTPコマンドを発行できる唯一のケースは、ネットワークルートのどこかに特権的な位置があり、通常はIPをスプーフィングできた場合です。 FTP経由で接続します-攻撃の真ん中のタイプの男のように、彼らは自由にそれを開始できると思います。

もちろん、VPN/SSHポートフォワードなどがオプションである場合、それが望ましい場合もありますが、私はこの特定の状況について疑問に思っています。

2
sa289

「OK」の定義を言うのは難しいですが、一般的に言って、いいえ、現在の設定では大丈夫ではありません。ポイントは個別にカバーします。

  • 転送されるデータは強力に暗号化されています。これで十分です。つまり、ダウンロードリンクを含むファイルを公開Webサイトに配置できます。暗号化を信頼すれば、データはかなり安全です。ただし、データに多大な価値があり、復号化に時間とお金を費やす価値がある場合、人々はそれを試みます。最高の暗号化方法を使用しても、多くの人がそれを解読しようとすることは理想的ではありません。しかし、FTPの代替としてこれを言及する理由はすぐに明らかになります。
  • ファイアウォールレベルでIP制限が設定されています。これで十分です。つまり、データを解読する価値があるとしても、MITM攻撃を阻止するか、なんらかの方法でネットワークに侵入しない限り、データを解読することはできません。これにより保護が追加されます。
  • FTPサーバーでは、ファイルの削除に対する保護が行われています(ただし、上書きはされません)これが問題の原因です。プレーンテキストFTPは、なんらかの編集を許可して、ファイルを上書きできるようになるまでは問題ありません。これで、そもそもFTPを使用しなかった場合よりも状況が悪化しています。一般公開のダウンロードリンクを利用することをお勧めします。少なくとも、誰もデータを吹き飛ばすことはできません。
  • 資格情報は他のサービスでは有効ではありません。プレーンテキストのftpを資格情報が公開知識であるかのように扱う必要があるため、これは良いことです。

tldr; ftpユーザーの編集権限を削除してください。そうすれば、セットアップがおかしいのに、大丈夫だと思います。 (そして奇妙なことですが、なぜすべての保護があり、プレーンテキストのftpを使用するのですか?)

他の特定の質問に答えるために-誰かがユーザー名とパスワードを盗聴した場合、および彼らがネットワークに乗ることができた場合(ただし、盗聴している場合はすでにそうです!)、暗号化されたファイルを別のファイルに置き換えることができます。重要なデータが「F Society」とだけ書かれたテキストファイルに置き換えられた1日だったら、それは悪い日になるはずです。

1
TTT

私は同様の設定、ホワイトリストのlinux ftpサーバーを使用しており、暗号化されたファイルを平文で受け取り、同様の質問をしました。

1つは、ログインの要点を明確に示しているので、匿名として設定しています。次に、ホワイトリストに登録されているため、理論的な脆弱性はIPスプーフィングのみです。

私は特にftpに関してIPスプーフィングについて読みましたが、理論的には(IPスプーフィング自体は自明ではないという事実を除いて)ftpはスプーフィングされたIPをだますのが難しいようです。サーバーは最初にポート21で接続されますが、次にクライアントの任意のハイポートに応答します。したがって、攻撃者が応答(DNSキャッシュポイズニングを介して提案されたもの)を偽装されていない送信元アドレスにリダイレクトできない限り、攻撃者はFTPサーバーにログオンできません。

中間者の心配は、目的のサーバーに到達する前にファイルをキャプチャすることだと思います。そして、彼らは余暇に暗号化に打ち勝つことができました。

なりすましによってセッションを取得できない場合、上書きすることはできません。

しかし、スプーフィングによってセッションを実行できる場合、データを保護する唯一の方法は、ftpでアクセス可能なファイルツリーの外にデータをコピー(または移動)することです。主に、再書き込みアクセスを許可せずに書き込みアクセスを許可する方法がわからないためです。

1
6716

シナリオでは、サーバーの認証は行われません。これは、真ん中の男がサーバーであると主張し、クライアントにあらゆる種類のデータを送信できることを意味します。これが問題であるかどうかは、ユースケースによって異なります。ダウンロードが暗号化され、署名されている場合、クライアントはデータの発信元と、それらが変更されているかどうかを確認できます。ディレクトリリスト自体は保護されていないため、クライアントは、途中の男がいくつかのファイルをディレクトリリストから隠しているかどうかを検出できません。

また、すでにお気づきのとおり、ファイルの上書きに対する保護はありません。これが問題である場合は、ユースケースによって異なります。上記を参照してください。

また、サーバーへのアクセスに使用される資格情報は公開されています。これらの資格情報がサーバーへのアクセスのみを目的として生成されない限り、それらは他の場所で再利用され、攻撃者はこれらの資格情報を使用して他のサービスにアクセスできる可能性があります。パスワードの再利用は大きな問題です。

中間シナリオの男性が可能かどうかは、セットアップによって異なります。攻撃者がルーターにアクセスしたり、他の方法でルーティング情報を操作したり、クライアントとサーバーの間のミドルボックスにアクセスしたりすると、可能性があります。

0
Steffen Ullrich