Qual é o risco de segurança real no VSFTPD de pasv_promiscuous = yes?

3

No VSFTPD, o padrão para pasv_promiscuous é "NO" e a página man indica:

Only enable if you know what you are doing! The only legitimate use for this is in some form of secure tunnelling scheme, or perhaps to facilitate FXP support.

Embora nunca tenhamos tido um problema com isso, agora temos um cliente que aparentemente precisa ter esse configurado como "YES" para que eles possam se conectar por meio de seu proxy. Vejo várias recomendações na Web para configurá-lo para SIM para corrigir o problema que estamos tendo, mas não consigo encontrar nenhum detalhe sobre qual é o risco real dessa configuração.

Eu tenho tentado descobrir o que isso está protegendo, e o melhor que posso fazer é proteger contra alguém que tente roubar a conexão após o signon e antes de abrir a conexão de dados. Parece (apesar de não ter certeza) que um invasor teria que conhecer as portas usadas para a conexão passiva e tentar repetidamente acessar essas portas na esperança de encontrar uma aberta no momento certo, mas talvez seja mais fácil do que isso? Supondo que tal ataque seja bem sucedido, o que isso dá ao atacante? Eu presumo simplesmente o acesso que a sessão de usuário seqüestrada tinha.

Alguém tem uma boa explicação sobre qual é o risco real de segurança de pasv_promiscuous = YES?

    
por randomScott 09.05.2016 / 15:18

1 resposta

3

Quando uma transferência de FTP inicia em um modo passivo (o modo mais comum atualmente), o FTP começa a escutar em uma porta aleatória. O cliente se conecta a essa porta e começa a enviar / receber o arquivo transferido.

Se o pasv_promiscuous estiver desativado (o padrão), o servidor vsftpd verifica se o cliente (endereço IP), que está se conectando à porta de transferência, é o mesmo que o cliente conectado à conexão de controle FTP (que solicitou a transferência).

Quando o pasv_promiscuous está ativado, nenhuma verificação é feita. Portanto, se um invasor em potencial adivinhar o número da porta aleatória (que pode não ser aleatório, mas incremental, portanto fácil de adivinhar), ele pode se conectar à porta de transferência antes que um cliente legítimo roube os dados (em caso de download ) ou inserir seus próprios dados (no caso de um upload).

    
por 09.05.2016 / 15:49