RFC: 2577
Оригинал: FTP Security Considerations
Категория: Информационный
Дата публикации:
Авторы: ,
Перевод: Николай Малых

RFC 2577, Страница 3 из 7

3. Защита от Bounce-атак

Спецификация протокола FTP [RFC959] предполагает, что соединения для передачи данных организуются на основе протокола TCP [RFC793]. Порты TCP с номерами от 0 до 1023 зарегистрированы для распространенных (well known) служб типа электронной почты, новостей и управляющих соединений FTP [RFC1700]. Спецификация протокола FTP не ограничивает диапазон номеров портов, используемых для передачи данных. Следовательно, используя proxy FTP, клиент может с помощью сервера FTP организовать атаку на известные службы любой машины.

Для предотвращения подобных атак предлагается, чтобы серверы не открывали для передачи данных соединений с портами TCP, номера которых меньше 1024. если сервер получает команду PORT, содержащую порт TCP с номером меньше 1024, предлагается возвращать отклик с кодом 504 (определен как "Command not implemented for that parameter" — «Команда для данного параметра не реализована» в спецификации [RFC959]). Отметим, что такое решение не спасает от атак службы, связанные с портами, номера которых превышают 1023.

Имеются предложения (например, [RFC2428] и [RFC1639]) по обеспечению механизма, который бы позволил организовать передачу данных с использованием транспортного протокола, отличного от TCP. В этом случае также потребуются предосторожности для защиты распространенных служб, использующих соответствующий транспортный протокол.

Отметим также, что для организации bounce-атаки злоумышленнику требуется возможность записи файлов на сервер FTP (upload) и последующая возможность загрузки (download) этих файлов на атакуемый хост. Использование надлежащей защиты для файлов на сервере не позволяет организовать полнофункциональную атаку. Однако злоумышленники все равно смогут атаковать службы, передавая с удаленного сервера FTP произвольные данные, которые могут осложнить работу некоторых служб.

Запрет команды PORT также помогает предотвратить bounce-атаки. Большинство операций по копированию файлов можно выполнить, используя лишь команду PASV [RFC1579]. Отрицательной стороной запрета на использование команды PORT является утрата возможности использования proxy FTP, но эта функция во многих случаях просто не требуется.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.