Por que a reutilização de sessão é útil em FTPS?

1

Percebi que nem todos os clientes FTPS suportam reutilização de sessão e estou me perguntando se é uma opção de segurança crítica que deve ser deixada habilitada no servidor.

Meu palpite é que é possível que um invasor seqüestre a conexão de dados, mesmo se o SSL / TLS for usado para controle e conexão de dados, se a opção de reutilização de sessão não estiver ativada. Alguém poderia ajudar a confirmar / desmentir isso e dar explicações mais detalhadas?

Eu também encontrei isto: VU # 2558 O File Transfer Protocol permite o seqüestro de conexão de dados via condição de corrida do modo PASV , sem saber se é relevante, já que não menciona SSL / TLS.

    
por Cyker 20.10.2015 / 06:30

2 respostas

3

Sua suposição está correta. Reutilizar a sessão TLS protege você de uma possibilidade teórica de um invasor seqüestrar uma conexão de dados FTP.

Quando você inicia uma transferência de dados, o servidor abre uma porta de conexão de dados no servidor (em modo passivo). Um possível invasor pode adivinhar a porta e se conectar antes do seu cliente FTP, roubando seus dados.

Se o servidor exigir que a mesma sessão TLS seja usada para a conexão de dados, o invasor não poderá iniciar sua própria sessão TLS, impedindo que ele decodifique os dados.

Outro benefício de reutilizar a sessão TLS é um desempenho, pois você não precisa fazer um novo handshake TLS para cada conexão de dados / transferência de arquivos. O que é particularmente importante se você transferir muitos arquivos pequenos.

A vulnerabilidade a que você se refere é, na verdade, um superconjunto do problema que a reutilização da sessão TLS tenta evitar .

    
por 20.10.2015 / 08:07
2

Alguns servidores esperam que os clientes usem a mesma sessão SSL para controle e conexões de dados. Além dessa sessão, a reutilização acelera as conexões, pois reduz o número de viagens de ida e volta necessárias para estabelecer uma conexão SSL. Pode ser que o cliente que não usa um comutador explícito para habilitar a reutilização de sessão simplesmente o use implicitamente, como os navegadores fazem.

    
por 20.10.2015 / 06:43