RFC: 2577
Оригинал: FTP Security Considerations
Категория: Информационный
Дата публикации:
Авторы: ,
Перевод: Николай Малых

RFC 2577, Страница 6 из 7

6. Конфиденциальность

В соответствии со стандартом FTP [RFC959] все данные и управляющая информация (включая пароли) передаются через сеть в незашифрованном виде. Для обеспечения конфиденциальности передаваемой через сеть информации следует использовать (по возможности) схемы шифрования. Один из таких механизмов описан в документе [RFC2228].

7. Защита имен пользователей

Стандарт FTP [RFC959] задает передачу отклика с кодом 530 в ответ на команду USER, если имя пользователя отвергнуто сервером. Если имя пользователя корректно и требуется пароль, серверу следует возвращать код 331. Для предотвращения сбора информации о корректных именах пользователей сервера предлагается в ответ на команду USER всегда возвращать код 331 и отвергать комбинацию имени и пароля при вводе некорректного имени пользователя.

8. Захват портов (Port Stealing)

Многие операционные системы при динамическом выделении портов просто последовательно увеличивают номера портов. Организовав корректную операцию копирования файла, злоумышленник может определить текущий номер выделенного порта и предсказать номер, который будет использован при следующем выделении порта. После этого атакующий может организовать соединение с этим портом, не позволяя легитимному пользователю осуществить копирование файлов. Кроме того, таким путем атакующий может даже захватить файл, предназначенный легитимному пользователю. Возможна также передача подложного файла в поток данных от легитимного клиента. Остроту этой проблемы можно снизить путем использования в клиентах и серверах FTP случайных значений для номера локального порта (случайный порт запрашивается у ОС или для его определения используется предоставляемый ОС механизм.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.