RFC: 2577
Оригинал: FTP Security Considerations
Категория: Информационный
Дата публикации:
Авторы: ,
Перевод: Николай Малых

RFC 2577, Страница 5 из 7

5. Защита паролей

Для минимизации риска тупого подбора паролей с использованием сервера FTP предлагается ограничивать на серверах число попыток, которые могут использоваться для ввода корректного пароля. После небольшого (3 — 5) количества неудачных попыток серверу следует закрыть управляющее соединение для данного клиента. Перед закрытием управляющего соединения сервер должен передать клиенту отклик с кодом 421 ("Service not available, closing control connection." — «Сервис недоступен, управляющее соединение закрывается» [RFC959]). В дополнение к этому предлагается вводить на сервере 5-секундную задержку отклика на некорректные команды "PASS" для снижения эффективности атак с подбором пароля (brute force attack). По возможности для реализации этих предложений следует использовать механизмы операционной системы.

Злоумышленник может обойти описанные выше механизмы путем организации множества параллельных управляющих соединений с сервером. Для предотвращения таких ситуаций сервер может ограничивать общее число управляющих соединений или попытаться обнаружить подозрительные действия и блокировать организацию новых соединений с атакующего хоста. Однако обе эти механизма открывают дверь для DoS-атаки, когда атакующий просто создает множество соединений, блокируя доступ легитимных пользователей.

В соответствии со стандартом FTP [RFC959] пароли передаются в открытом виде с использованием команды "PASS". Предлагается использовать на клиентах и серверах FTP дополнительный механизм аутентификации, который не был бы открыт для подслушивания (такие механизмы разработаны группой IETF Common Authentication Technology [RFC2228]).

2007 - 2017 © Русские переводы RFC, IETF, ISOC.