¿Qué es el ataque de suplantación de identidad FTP?

FTP significa protocolo de transferencia de archivos y es un protocolo de capa de aplicación para transferir archivos entre un cliente y un servidor. Podemos descargar, eliminar, mover, renombrar y copiar archivos a un servidor usando un cliente FTP. Si transfiere un archivo mediante FTP, en su mayoría cargará o descargará datos del servidor FTP. Cuando se cargan los archivos, se transfieren de la computadora personal al servidor, y cuando se descargan los archivos, se transfieren del servidor a la computadora personal.

suplantación de identidad:

La suplantación de identidad es un tipo de ataque cibernético en el que un intruso se hace pasar por otro dispositivo o usuario legítimo para iniciar un ataque a la red. Dicho de otro modo, un atacante envía una comunicación desde un dispositivo que parece ser real.

Ataque de suplantación de identidad FTP:

Por lo general, en los servidores FTP, los usuarios externos o las direcciones IP de otras organizaciones se bloquearán para evitar el inicio de sesión o el acceso/transferencia de archivos por parte de un adversario. Aunque existen más medidas de seguridad, los atacantes podrían usar una computadora externa para asumir la dirección de host de una computadora en la red de la empresa y descargar archivos durante la transferencia de datos.  

Laboral:

1. Los atacantes obtendrán el nombre de usuario y la contraseña del servidor a través de un ataque de fuerza bruta para ingresar al servidor y obtener los archivos o transferir la carga útil.
2. Aunque los atacantes tienen contraseñas en sus manos, la mayoría de las organizaciones descartarán/rechazarán las conexiones de direcciones IP externas.
3. Por lo tanto, los atacantes ocultarán su identidad original cambiando la IP local por la dirección IP de la organización. Es posible falsificar direcciones IP privadas con algunas limitaciones significativas.
4. Es posible establecer una conexión que se pueda usar para transferir una carga útil al destino mediante la suplantación de IP, pero no será posible establecer una verdadera conexión TCP bidireccional .
5. Por ejemplo, el atacante puede hacer que la máquina de destino responda, pero las respuestas de la máquina del atacante no se enrutarán a ellos, por lo tanto, no las recibirán.
6. Como resultado, las conexiones UDP se utilizan más para la suplantación de IP que las conexiones TCP. El atacante, por otro lado, puede imitar la recepción de los paquetes enviando paquetes de reconocimiento falsos y luego proceder a transmitir una carga útil o establecer una conexión en el sistema interno.
7. Es extremadamente difícil de piratear porque puede no ser viable en todos los sistemas debido a las variaciones en la forma en que las diferentes plataformas manejan las conexiones TCP, lo que dificulta que el atacante replique los paquetes de reconocimiento.

Método de detección:

1. La suplantación de direcciones IP se detecta escaneando los encabezados de los paquetes de datos en busca de discrepancias. La dirección IP puede ser validada por su dirección MAC ( Media Access Control ) o por un sistema de seguridad como IOS NetFlow de Cisco, que asigna una identificación y una marca de tiempo a cada computadora que accede a la red. Entonces, en la primera etapa, fallará si la dirección MAC no pertenece al dominio de la organización.
2. Cada BotNet contiene potencialmente miles de computadoras capaces de llegar a múltiples direcciones IP. Por lo tanto, el ataque automático es difícil de rastrear.

Medidas preventivas:

1. Use un buen firewall para analizar cada paquete para evitar la conexión desde una IP externa.
2. Utilice contraseñas seguras para evitar la etapa inicial de un ataque FTP.
3. Limite el acceso al servidor FTP solo a los profesionales administrativos necesarios y obligue al personal con credenciales a utilizar la autenticación multifactor para reducir esta amenaza. Los códigos de acceso que deben conservarse deben conservarse en un dominio AD o en un servidor LDAP.
4. Cuando se usan de forma independiente, las técnicas de FTPS son inseguras. Los clientes no necesitan solicitar el cifrado para conectarse a la red. Sólo cuando el cliente exige expresamente una conexión segura es posible. En la red, esta característica nunca debe estar habilitada. En su lugar, utilice el cifrado implícito, que fuerza el cifrado de todas las conexiones. Los protocolos SSL y TLS 1.0 ya no son compatibles, por lo que el servidor de archivos debe ejecutar la versión 1.2 de TLS.
5. El protocolo FTP estándar ha quedado obsoleto. Servidores de protocolo de transferencia de archivos seguros, funcionan a través de una conexión segura para mantener a su empresa y clientes seguros.
6. Hoy en día, los algoritmos hash se vuelven más vulnerables a los ataques de fuerza bruta. Blowfish y ciphers son obsoletos y fáciles de descifrar. El estándar de cifrado avanzado (AES) debe usarse en la red. Para proteger la integridad de las transmisiones de datos, utilice algoritmos de la familia SHA-2.
7. Los ataques que provocan una denegación de servicio (DoS) todavía están muy extendidos. Programar el servidor FTP o SFTP para restringir las direcciones IP maliciosas requiere mucho tiempo, pero sigue siendo una de las defensas más efectivas contra estos ataques. También podemos usar listas de permitidos para aceptar explícitamente clientes en su red, pero esto solo funciona para las pocas fuentes de tráfico que aún emplean direcciones IP estáticas.
8. Al hacer un mal uso del acceso a los permisos de archivos, los piratas informáticos pueden aprovechar nuestro sistema. Los clientes nunca deben tener acceso exclusivo a un directorio completo, incluso si necesitan permiso para cargar o descargar datos. Todos los archivos que no se utilicen en un servidor DMZ deben cifrarse. Los archivos en un servidor FTP solo deben conservarse durante el tiempo que sean necesarios.

Conclusión:

El FTP se usa ampliamente en las organizaciones para compartir archivos, por lo que es como un caramelo en la boca para los atacantes. Las organizaciones deben tomar las acciones y medidas de seguridad necesarias para prevenir ataques FTP.