Apa risiko keamanan nyata dalam VSFTPD dari pasv_promiscuous = ya?

3

Dalam VSFTPD, default untuk pasv_promiscuous adalah "NO", dan halaman manual menunjukkan:

Hanya aktifkan jika Anda tahu apa yang Anda lakukan! Satu-satunya penggunaan yang sah untuk ini adalah dalam beberapa bentuk skema tunneling aman, atau mungkin untuk memfasilitasi dukungan FXP.

Meskipun kami tidak pernah memiliki masalah dengan ini, kami sekarang memiliki pelanggan yang tampaknya perlu mengatur ini ke "YA" sehingga mereka dapat terhubung melalui proxy mereka. Saya melihat banyak rekomendasi di web untuk mengaturnya ke YA untuk memperbaiki masalah yang kami alami, tetapi saya tidak dapat menemukan detail tentang apa risiko sebenarnya dari pengaturan ini.

Saya sudah mencoba untuk mencari tahu apa ini menjaga, dan yang terbaik yang bisa saya dapatkan adalah bahwa itu melindungi terhadap seseorang yang mencoba untuk membajak koneksi setelah signon dan sebelum membuka koneksi data. Tampaknya (walaupun saya tidak yakin) bahwa seorang penyerang harus mengetahui port yang digunakan untuk koneksi pasif dan berulang kali mencoba mengakses port tersebut dengan harapan menangkap satu yang terbuka pada saat yang tepat, tetapi mungkin lebih mudah dari itu? Dengan asumsi serangan seperti itu berhasil, apa yang memberi penyerang? Saya kira hanya akses apa pun yang dimiliki sesi pengguna yang dibajak.

Adakah yang punya penjelasan yang bagus tentang apa risiko keamanan realistis dari pasv_promiscuous = YA?

randomScott
sumber

Jawaban:

3

Ketika transfer FTP dimulai dalam mode pasif (mode paling umum saat ini), FTP mulai mendengarkan pada porta acak. Klien terhubung ke port itu dan mulai mengirim / menerima file yang ditransfer.

Jika pasv_promiscuoustidak aktif (default), server vsftpd memeriksa apakah klien (alamat IP), yang menghubungkan ke port transfer sama, seperti klien yang terhubung ke koneksi kontrol FTP (yang meminta transfer).

Saat pasv_promiscuousaktif, tidak ada pemeriksaan yang dilakukan. Jadi jika penyerang potensial menebak nomor port acak (yang mungkin tidak acak, tetapi tambahan, maka mudah ditebak), ia dapat terhubung ke port transfer sebelum klien yang sah melakukannya dan mencuri data (dalam kasus pengunduhan ) atau menyelinap di datanya sendiri (jika diunggah).

Martin Prikryl
sumber