Kendi cihazınız ile bir web sitesi arasında dosya aktarımı yaparak verileriniz risk altında olabilir. Kişisel bilgilerinizi korumak için, hem harici hem de dahili sunucular için güvenlik duvarı ayarlarının doğru şekilde yapılması gerekir. Bu nedenle, FTP sunucusuna aşina olmanız ve çeşitli saldırı stratejilerini bir saldırganın bakış açısından anlamanız çok önemlidir.
Peki FTP sunucuları nelerdir? Doğru yapılandırılmamışlarsa, siber suçlular verilerinizi nasıl ele geçirebilir?
İçindekiler
FTP Sunucuları Nedir?
FTP, Dosya Aktarım Protokolü anlamına gelir. İnternete bağlı iki bilgisayar arasında dosya aktarımı sağlar. Yani FTP üzerinden istediğiniz dosyaları site sunucularınıza aktarabilirsiniz. FTP’ye komut satırından veya Grafik Kullanıcı Arayüzü (GUI) istemcisinden erişebilirsiniz.
FTP kullanan geliştiricilerin çoğu, düzenli olarak web sitelerinin bakımını yapan ve dosya aktaran kişilerdir. Bu protokol, web uygulamasının bakımını kolay ve sorunsuz hale getirmeye yardımcı olur. Oldukça eski bir protokol olmasına rağmen halen aktif olarak kullanılmaktadır. FTP’yi yalnızca veri yüklemek için değil, dosya indirmek için de kullanabilirsiniz. Bir FTP sunucusu ise FTP protokolünü kullanan bir uygulama gibi çalışır.
Bir saldırganın FTP sunucusuna etkili bir şekilde saldırması için kullanıcı hakları veya genel güvenlik ayarlarının yanlış yapılmış olması gerekir.
Bilgisayar Korsanları RCP İletişimini Nasıl Ele Geçirir?
RCP, Uzaktan Yordam Çağrısı anlamına gelir. Bu, bir ağdaki bilgisayarların ağ ayrıntılarını bilmeden kendi aralarında bazı istekler yapmasına yardımcı olur. RCP ile iletişim herhangi bir şifreleme içermez; gönderdiğiniz ve aldığınız bilgiler düz metindir.
FTP sunucusunun kimlik doğrulama aşamasında RCP kullanırsanız, kullanıcı adı ve parola sunucuya düz metin olarak gider. Bu aşamada iletişimi dinleyen saldırgan trafiğe girerek bu metin paketini ele geçirerek bilgilerinize ulaşır.
Aynı şekilde client ile server arasındaki bilgi aktarımı şifresiz olduğu için saldırgan client’ın aldığı paketi çalabilir ve şifre ya da kullanıcı adına ihtiyaç duymadan bilgiye erişebilir. SSL (Secure Socket Layer) kullanımı ile bu tehlikenin önüne geçebilirsiniz çünkü bu güvenlik katmanı şifreyi, kullanıcı adını ve tüm veri iletişimini şifreleyecektir.
Bu yapıyı kullanabilmeniz için client tarafında SSL destekli bir yazılıma sahip olmanız gerekmektedir. Ayrıca, SSL kullanmak istiyorsanız, bağımsız, üçüncü taraf bir sertifika sağlayıcıya, yani Sertifika Yetkilisine (CA) ihtiyacınız olacaktır. Sunucu ve istemci arasındaki kimlik doğrulama işlemini CA yaptığı için, her iki tarafın da o kuruma güvenmesi gerekir.
Aktif ve Pasif Bağlantı Konfigürasyonları Nelerdir?
FTP sistemi iki port üzerinden çalışır. Bunlar kontrol ve veri kanallarıdır.
Kontrol kanalı 21 numaralı bağlantı noktasında çalışır. Daha önce nmap gibi yazılımlar kullanarak CTF çözümleri yaptıysanız , muhtemelen 21 numaralı bağlantı noktasını görmüşsünüzdür. İstemciler sunucunun bu bağlantı noktasına bağlanır ve veri iletişimini başlatır.
Veri kanalında dosya aktarım işlemi gerçekleşir. Yani bu, FTP’nin varlığının ana amacıdır. Dosyaları aktarırken iki farklı bağlantı türü de vardır: aktif ve pasif.
Aktif Bağlantı
İstemci, etkin bir bağlantı sırasında verilerin nasıl gönderileceğini seçer. Daha sonra sunucunun veri iletimini belirli bir bağlantı noktasından başlatmasını isterler ve sunucu bunu yapar.
Bu sistemdeki en önemli açıklardan biri, sunucunun aktarımı başlatması ve istemcinin güvenlik duvarının bu bağlantıyı onaylaması ile başlamaktadır. Güvenlik duvarı bunu etkinleştirmek için bir port açarsa ve bu portlardan bağlantıları kabul ederse, bu son derece risklidir. Sonuç olarak, bir saldırgan istemciyi açık bağlantı noktaları için tarayabilir ve açık olduğu keşfedilen FTP bağlantı noktalarından birini kullanarak makineyi hackleyebilir.
Pasif Bağlantı
Pasif bir bağlantıda, verilerin hangi yolla aktarılacağına sunucu karar verir. İstemci, sunucudan bir dosya ister. Sunucu, istemci bilgilerini sunucunun alabildiği bağlantı noktasından gönderir. Başlatan taraf istemci olduğu ve sunucu ilgili porta bağlandığı için bu sistem aktif bir bağlantıdan daha güvenlidir. Bu şekilde, istemcinin bağlantı noktasını açması ve gelen bağlantılara izin vermesi gerekmez.
Ancak sunucu kendi üzerinde bir bağlantı noktası açıp beklediği için pasif bir bağlantı yine de savunmasız olabilir. Saldırgan, sunucudaki portları tarar, istemci dosyayı talep etmeden önce açık porta bağlanır ve oturum açma kimlik bilgileri gibi ayrıntılara ihtiyaç duymadan ilgili dosyayı alır.
Bu durumda, istemci dosyayı korumak için herhangi bir işlem yapamaz. İndirilen dosyanın güvenliğinin sağlanması tamamen sunucu taraflı bir işlemdir. Peki bunun olmasını nasıl durdurabilirsin? Bu tür saldırılara karşı korunmak için, FTP sunucusunun yalnızca dosyanın açtığı bağlantı noktasına bağlanmasını isteyen IP veya MAC adresine izin vermesi gerekir.
IP/MAC Maskeleme
Sunucunun IP/MAC kontrolü varsa, saldırganın dosyayı çalmak için gerçek istemcinin IP ve MAC adreslerini algılaması ve buna göre kendini maskelemesi gerekir. Elbette bu durumda saldırının başarı şansı azalacaktır çünkü bilgisayar dosyayı istemeden önce sunucuya bağlanmak gerekir. Saldırgan IP ve MAC maskelemesi yapana kadar dosyayı talep eden bilgisayar sunucuya bağlı olacaktır.
Zaman Aşımı Süresi
İstemci dosya aktarımı sırasında kısa süreli bağlantı kesintileri yaşarsa, IP/MAC filtrelemeli bir sunucuya başarılı bir saldırı mümkündür. FTP sunucuları, bağlantıda kısa süreli kopukluklarda dosya aktarımının bitmemesi için genellikle belirli bir zaman aşımı süresi tanımlar. İstemci böyle bir sorunla karşılaştığında sunucu, istemcinin IP ve MAC adresinden oturumu kapatmaz ve zaman aşımı süresi dolana kadar bağlantının yeniden kurulmasını bekler.
Saldırgan, IP ve MAC maskeleme gerçekleştirerek bu zaman aralığında sunucudaki açık oturuma bağlanır ve orijinal istemcinin kaldığı yerden dosya indirmeye devam eder.
Sıçrama Saldırısı Nasıl Çalışır?
Sıçrama saldırısının en önemli özelliği saldırganın bulunmasını zorlaştırmasıdır. Diğer saldırılarla birlikte kullanıldığında, bir siber suçlu hiçbir iz bırakmadan saldırabilir. Bu tür saldırılardaki mantık proxy olarak bir FTP sunucusu kullanmaktır. Sıçrama yönteminin mevcut olduğu ana saldırı türleri, bağlantı noktası tarama ve temel paket filtrelerini geçirmedir.
Bağlantı Noktası Taraması
Bir saldırgan port taraması için bu yöntemi kullanıyorsa, sunucu günlüklerinin detaylarına baktığınızda tarama bilgisayarı olarak bir FTP sunucusu göreceksiniz. Saldırıya uğrayacak olan hedef sunucu ile proxy görevi gören FTP sunucusu aynı alt ağ üzerindeyse, hedef sunucu FTP sunucusundan gelen veriler üzerinde herhangi bir paket filtrelemesi yapmaz. Gönderilen paketler güvenlik duvarına takılı değildir. Bu paketlere herhangi bir erişim kuralı uygulanmayacağı için saldırganın başarı şansı artar.
Temel Paket Filtrelerini Geçme
Bu yöntemi kullanan bir saldırgan, güvenlik duvarı tarafından korunan anonim bir FTP sunucusunun arkasındaki dahili sunucuya erişebilir. Anonim FTP sunucusuna bağlanan saldırgan, port tarama yöntemi ile bağlı olduğu dahili sunucuyu tespit eder ve ona ulaşabilir. Ve böylece bir bilgisayar korsanı, güvenlik duvarının harici bağlantılara karşı koruduğu sunucuya, FTP sunucusuyla iletişim kurmak için özel olarak tanımlanmış bir noktadan saldırabilir.
Hizmet Reddi Saldırısı Nedir?
DoS (Hizmet Reddi) saldırıları yeni bir güvenlik açığı türü değildir. DoS saldırıları, hedef sunucunun kaynaklarını israf ederek sunucunun dosyaları teslim etmesini engellemek için yapılır. Bu, saldırıya uğramış bir FTP sunucusuna gelen ziyaretçilerin bu saldırı sırasında sunucuya bağlanamayacağı veya talep ettikleri dosyaları alamayacakları anlamına gelir. Bu durumda, yüksek trafikli bir web uygulaması için büyük mali kayıplara uğramak ve ziyaretçileri çok hüsrana uğratmak mümkündür!
Dosya Paylaşım Protokollerinin Nasıl Çalıştığını Anlayın
Saldırganlar, dosya yüklemek için kullandığınız protokolleri kolayca keşfedebilir. Her protokolün güçlü ve zayıf yönleri vardır, bu nedenle çeşitli şifreleme yöntemlerinde uzmanlaşmalı ve bu bağlantı noktalarını gizlemelisiniz. Elbette, kendinizi ve ziyaretçileri korumak için hangi önlemleri almanız gerektiğini daha iyi bulmak için olayları bir saldırganın gözünden görmek çok daha iyidir.
Unutmayın: Saldırganlar birçok yönden sizden bir adım önde olacaktır. Açıklarınızı bulabilirseniz, onlara karşı büyük bir avantaj elde edebilirsiniz.
