Hallo zusammen,
wir haben kürzlich unsere mit dem G6 in einer älteren Version (3.9) betriebenen FTP-Seiten einem externen Test unterziehen lassen.
Dabei wurde, zumindest bei einigen Sites, die Gefahr einer FTP Bounce Attack erkannt, die wie u.s. beschrieben wurde.
Ich habe den Gene6 danach erstmal auf die aktuelle Version geupdatet, sprich auf die 3.10.
Allerdings wollte ich zu diesem Thema gerne noch eure Meinungen und Hinweise einholen - was kann ich ggf. noch seitens der Konfiguration tun?
Viele Grüße
Nicolai
Beschreibung des Risikos:
Eine FTP Verbindung wird normalerweise vom Client auf den FTP Control Port 21 TCP initiiert. Nachdem die Control Session besteht, werden alle Dateiübertragungen über einen seperaten Kanal geführt. Dieser wird, mit Ausnahme von PASSIVE Verbindungen, vom Server aufgebaut. Der Client übergibt mit dem PORT Befehl die IP-Adresse sowie den Port für diese Verbindung. Der hier eingesetzte FTP Server bewertet jedoch nicht die vom Client übermittelte IP-Adresse und lässt somit zu, das eine andere IP-Adresse als die des Clients angegeben wird. Er versucht daraufhin einen FTP-Datenkanal zu der übermittelten IP-Adresse aufzubauen, was von einem IDS (Intrusion Detektion System) oder anderen Schutzmechanismen fälschlicherweise als Angriff gedeutet werden kann. Dies lenkt die Aufmerksamkeit vom eigentlichen Angreifer ab. Ferner kann dies zu einer Kompromittirung anderer Systeme führen.
Beispiel:
In einer DMZ befinden sich ein SMTP Server und ein FTP Server. Der Mail-Server hat zudem den Telnet-Port geöffnet. Die Konfiguration der Firewall erlaubt lediglich SMTP, und FTP-Zugriffe von außen. Durch die Übermittlung der IP-Adresse des Mail-Server mit dem PORT Befehl, sowie dem Telnet Port des Mail-Servers an den FTP-Server ist es möglich eine Telnet Verbindung auf den Mail-Server durch den FTP-Server zu initiieren.
wir haben kürzlich unsere mit dem G6 in einer älteren Version (3.9) betriebenen FTP-Seiten einem externen Test unterziehen lassen.
Dabei wurde, zumindest bei einigen Sites, die Gefahr einer FTP Bounce Attack erkannt, die wie u.s. beschrieben wurde.
Ich habe den Gene6 danach erstmal auf die aktuelle Version geupdatet, sprich auf die 3.10.
Allerdings wollte ich zu diesem Thema gerne noch eure Meinungen und Hinweise einholen - was kann ich ggf. noch seitens der Konfiguration tun?
Viele Grüße
Nicolai
Beschreibung des Risikos:
Eine FTP Verbindung wird normalerweise vom Client auf den FTP Control Port 21 TCP initiiert. Nachdem die Control Session besteht, werden alle Dateiübertragungen über einen seperaten Kanal geführt. Dieser wird, mit Ausnahme von PASSIVE Verbindungen, vom Server aufgebaut. Der Client übergibt mit dem PORT Befehl die IP-Adresse sowie den Port für diese Verbindung. Der hier eingesetzte FTP Server bewertet jedoch nicht die vom Client übermittelte IP-Adresse und lässt somit zu, das eine andere IP-Adresse als die des Clients angegeben wird. Er versucht daraufhin einen FTP-Datenkanal zu der übermittelten IP-Adresse aufzubauen, was von einem IDS (Intrusion Detektion System) oder anderen Schutzmechanismen fälschlicherweise als Angriff gedeutet werden kann. Dies lenkt die Aufmerksamkeit vom eigentlichen Angreifer ab. Ferner kann dies zu einer Kompromittirung anderer Systeme führen.
Beispiel:
In einer DMZ befinden sich ein SMTP Server und ein FTP Server. Der Mail-Server hat zudem den Telnet-Port geöffnet. Die Konfiguration der Firewall erlaubt lediglich SMTP, und FTP-Zugriffe von außen. Durch die Übermittlung der IP-Adresse des Mail-Server mit dem PORT Befehl, sowie dem Telnet Port des Mail-Servers an den FTP-Server ist es möglich eine Telnet Verbindung auf den Mail-Server durch den FTP-Server zu initiieren.
