Un problema común en la configuración es que el directorio root FTP anónimo (~ftp) y sus subdirectorios se encuentren en el mismo lugar que la cuenta del usuario FTP y estos no se encuentren protegidos frente a escritura. En este caso, un atacante podría añadir mediante escritura nuevos archivos, como por ejemplo “.rhosts”, o modificar los ya existentes e incluso llegar a destruirlos.
Además si archivos con información privada, como por ejemplo los archivos “/etc/passwd” y "/etc/group” del sistema, se colocan como archivos de password y de grupo en el directorio “~ftp/etc”, permitirá que los atacantes puedan obtener copias de estos archivos.
Algunos servidores FTP se configuran como anónimos para así poder permitir áreas de escritura, por ejemplo, mediante la utilización de directorios “drop off” o de entrada para almacenar los archivos enviados al servidor. Si estos archivos se pueden leer por los usuarios de la cuenta FTP anónimo, podrían producirse abusos por parte de los clientes. Por ejemplo, podrían utilizarse los directorios “drop off” para la distribución de versiones falsificadas de software o para distribuir información comprometida sobre cuentas y archivos de password.
Otro problema debido a una mala configuración es que cuando al configurar el servidor no se establece un límite en el área de escritura, el sistema de archivos pueden ser abarrotado de archivos basura que acaparen todo el espacio, para conseguir la interrupción del servicio, la caída del sistema no simplemente el consumo del espacio de disco.
Contramedidas
Una configuración adecuada del servidor se conseguiría realizando adecuadamente las siguientes acciones:
-Configuración de los directorios del FTP anónimo:
Consiste en hacer que el directorio root ftp y sus subdirectorios pertenezcan únicamente al directorio root y protegerlo para que solo el directorio root tenga permiso de escritura.
Ademas, los archivos y librerias utilizados en “~ftp/bin” y “ftp/etc” no deben estar ubicados en la cuenta ftp o pertenecer al mismo grupo que esta y todos ellos deben estar apropiadamente protegidos frente a escritura.
-Utilización de archivos propios para los archivos de password y de grupo
Consiste en hacer que el directorio “~ftp/etc tenga un archivo de password y de grupo independientes de los archivos del sistema asegurando que “~ftp/etc/passwd” no contiene los mismos nombres de las cuentas que se encuentran en “/etc/passwd”. En este ultimo campo solo se tiene que indicar aquellas entradas que son importantes para la jerarquía FTP o para mostrar los nombres del propietario y del grupo. Además se puede conseguir clarear el campo de password por ejemplo mediante la utilización de un asterisco (*).
-Modificación del dominio FTP
Para permitir el almacenamiento de archivos a los usuarios en el servidor FTP anónimo, es importante modificar la configuración del dominio, que controla el acceso al directorio “drop off”. Esta es la mejor forma de evitar que se utilicen áreas de escritura no deseadas.
Algunas de las modificaciones que se deberían tener en cuenta son las siguientes:
a) Establecer una política en el servidor donde los archivos bajados no puedan ser accedidos por el resto de los usuarios hasta que el administrador del sistema examine los ficheros y los mueva a un directorio de acceso público.
b) Limitar la cantidad de datos transferidos a una sección.
c) Limitar la cantidad de datos que se pueden transferir en función de la disponibilidad que se tenga de almacenamiento en el disco.
d) Crear registros para poder detectar los abusos que se realicen.
-Utilización de directorios protegidos
Otra solución es utilizar directorios protegidos si se planea dar un servicio “drop off” y no es posible modificar el dominio ftpd.
Esto se consigue si se protege el nivel más elevado del directorio “~ftp/incoming” , dando solo permiso de ejecución a los usuarios anónimos, lo cual permite que los usuarios cambien de directorio mediante la instrucción “cd”, pero les impide ver el contenido de los directorios.
Referencias
La principal referencia a partir de la cual se ha obtenido la siguiente información es la siguiente página Web:
http://penta2.ufrgs.br/gereseg/unlp/tut1998/s14barbera.html#Contenidos
Contiene información general de cómo proteger servidor FTP.
No hay comentarios:
Publicar un comentario