[정보보안기사] 인터넷 응용보안 -FTP

FTP : File Transfer protocol

FTP는 인터넷 상에서 컴퓨터간에 파일을 서로 주고 받는데 사용되는 표준 프로토콜입니다 .

웹브라우저에서도 프로그램 다운이 가능하며 RFC959는 FTP 공식 명세서이다 .

원하는 파일을 간단한 명령어를 통해 FTP를 사용할 수 있다 .

FTP 는 TCP 20,21번 포트를 사용한다 .

FTP는 응용계층에 속하며 파일을 빠르게 원하는 곳으로 송수신이 가능한 것이 특징이다.

FTP의 단점은 ID, 패스워드 인증을 하기 때문에 불법적인 접근이 가능하다 .

 암호화 되지않고 패스워드는 텍스트로 전달하여 스니핑으로 획득 가능한 점 ... 

FTP 접속 모드 : (Default 는 Active 모드 이다 .)

Active mode 

TCP 20,21번 포트를 사용한다 

.

제어연결 (클라이언트 ->서버)

클라이언트에서 서버로 21번 포트로 접속을 시도한다 .

      클라이언트가 사용할 두번째 포트를 서버에게 알려준다 .

클라이언트가 사용할 두번째 포트를 서버에게 알려준다 .

데이터 연결(서버 -> 클라이언트)

서버는 TCP 20번 포트로 클라이언트가 지정한 두번째 포트로 접속 (1024번 포트 이후에)

Active mode의 문제점 

일반적인 TCP/IP 특징인 클라이언트 -서버에 접속 시도 방식이 아닌 서버가 클라이언트에 접속을 시도 

외부에서의 접속을 허용하지 않으면 FTP에 접속이 제대로 되지않을 수 있다. ( ex. 공유기 등)

방화벽, NAT 설치 시 정상적인 서비스가 이루어지지 않음 

PORT 명령에 의해 브루트포스 및 포트 스캐닝 공격이 가능함 

Passive mode

TCP 21번/1024번 이후의 포트를 사용한다 .

데이터 전송을 위해서 1024번 이후의 포트를 사용한다.

서버에서 클라이언트로 접속하는 것을 보완하기 위해 고안된 방식

연결절차

제어연결 (클라이언트가 서버의 TCP 21번 포트로 접속후 포트 질의 )

서버는 클라이언트에게 데이터 연결을 위한 두번째 포트 ( TCP 1024 번 포트 이후 )를 알려준다

클라이언트는 서버가 알려준 두번째 포트로 접속

Passive mode의 문제점

Data 포트를 TCP 20번이 아닌 1024번 포트 이후 임의의 포트를 사용한다.

-PASV명령을 이용해 Data Hijacking에 이용될 수 있다 .

Anonymous FTP (익명 FTP ) 

아무나 서버에 로그인을 하여 FTP 파일을 받을 수 있으며 방대한 자료룰 무료로 이용할 수 있다 .

FTP 서비스 운영

윈도우 OS 환경에서는 컴퓨터 관리 창에서 인터넷 정보서비스(IIS)를 선택후 FTP 서비스가 설치되어 있으면 기본 FTP 사이트를 확인할 수 있다.

FTP 서비스의 기본 통제는 서비스 컨트로레 주목적이나 등록정보에서는 부가기능 설정을 할 수 있다 .

리눅스 환경에서 FTP 서비스를 운영하기 위해선 

우선 FTP 설치 확인을 위해 rpm-qa |grep vsftp 를 작성해준후 Vsftp 환경설정 파일 을 수정 해준다 .

그리고 /etc/vsftp/vsftp.conf 파일의 #부분을 수정해준다 .

                    anonymous_enable=NO 는 익명 사용자를 막는 기능

   chroot_local_user=YES  는 로컬 사용자 외에 다른 사용자가 홈디렉터리 상에서 이동 못하도록 

   /var/log/xferlog 는 언제 어디에 무슨 파일을 올리고 내렸는지 기록이 남는다 .

(일반적 설정 사항에서 접속 거부할 사용자 ID리스트는 들어가지 않는다 )

(FTP 계정 별로 사용할 수 없도록 설정하는 파일은 /etc/ftpusers 이다)

FTP 공격 기법 

FTP BOUNCE Attack

FTP 프로토콜 구조의 허점을 이용한 공격 방법으로 데이터 전송시 목적지가 어디인지 검사하지 않는 설계상 문제점을 이용한 공격이다.

방화벽 내부에 Anonymous 접속 FTP가 있을 경우 취약하며 20번 포트를 이용해 FTP 명령이 아닌 다른 명령을 내려 FTP 서버를 통해 서비스를 공격한다.

FTP BOUNCE ATTAACK 보안 방법 

최근 FTP 서버는 BOUNCE Attack 이 불가능 하도록 20번 포트를 통한 명령을 제한하고 있다 .

incomming 폴더에 익명사용을 금지한다. 

Fack mail 공격 

거짓 메일 공격이라 불리며 FTP 바운스 공격을 이용해 전자메일을 보내는 공격 기법이다.

Anonymous FTP Attack: 

익명의 FTP Home 디렉토리에 bin 디렉토리가 권한이 잘못 설정 되어있는경우에 외부에서 bin 디렉토리의 트정 프로그램을 변경하거나 업로드 하여 시스템에 침입하는 공격 기법으로 특정 코드를 심어서 원격지 사이트를 공격할 수 있다.

Anonymous FTP Attack 보안방법

익명 사용자의 접속 경는 쓰기와 실행 권한으로만 제한하고 /bin 파일 관리를 철저히하고 명령제한  등등 이있다 .  

TFTP 공격 (TFTP: Trival file transfer protocol: FTP 보다 간단하고 기능이 조금 부족: UDP 69번포트 이용)

TFTP는 TCP 포트가 아닌 UDP 포트를 이용하며 사용자 인증이 불필요하다 .

TFTP 공격 보안 방법 

TFTP가 불필요한 경우 제거 , secure 모드로 운영한다 .

스니핑에 의한 계정 정보 및 메시지 유출 위협 

ID/PW 입력 후 접속 시도시 암호화가 이루어지지않음 ..

네트워크 스니핑 공격에 취약하다.

Brute force : 무작위 대입 공격