Una de las principales características del protocolo FTP estándar definido en el RFC 959 es que está diseñado para la transferencia de archivos ofreciendo la máxima velocidad de transmisión posible durante la conexión, pero en cambio no dispone de una gran seguridad puesto que todo lo que se transmite, se transmite en texto en claro, es decir, sin aplicarle ningún tipo de cifrado.
Por un lado, debido a que los argumentos de los comandos de control de acceso USER y PASS se transmiten en texto en claro cualquier atacante que monitorice la red, por ejemplo, con la utilización de un sniffer, puede hacerse con un nombre de usuario y contraseña. Una vez adquiridos estos el atacante tiene acceso al servidor, en principio sin ningún tipo de restricción.
Además, como no solo el control de acceso, sino que también los archivos se transmiten sin cifrar, el atacante puede apropiarse también de estos.
Contramedidas
-Encriptar los datos
Este es uno de los principales problemas de FTP, por lo tanto, para solucionarlo se han desarrollado una serie de aplicaciones que transfieren todo el tráfico de forma cifrada. Ejemplos de estas aplicaciones son scp o sftp.
- Configurar adecuadamente la red
Es importante siempre diseñar la topología de la red de forma que se limite el tráfico entre aquellos sistemas que ofrecen distintos servicios, mediante la utilización de zonas militarizadas, firewall, etc
-Cuentas de invitado
Resulta importante también la correcta asignación de cuentas a los usuarios. Mediante la utilización de las cuentas de invitados se establecen restricciones a los usuarios para que no puedan acceder a archivos que no necesitan, de esta forma, si roban una cuenta se reduce el acceso que puede tener al atacante mediante su utilización.
-Extensiones de seguridad
Implementar el servicio FTP con las especificaciones definidas en el RFC 2228. Estas extensiones introducen mejoras en la seguridad FTP mediante nuevos comandos, respuestas y codificación en la transferencia de datos, los cuales son compatibles con la RFC 959.
Referencias
-SCP: Información general obtenida en la Wikipedia sobre SCP.
-SFTP: Información general obtenida en la Wikipedia sobre SFTP.
-RFC 959. File Transfer Protocol (FTP) 1985.
-RFC 114.File Transfer Protocol (FTP) 1976.
-RFC 2228. FTP security extensions.1997.
-Securiy issues in FTP. Página web donde se habla del problema de la captura de usuarios y contraseñas por la transmisión de texto en claro.
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario