RFC2577FTP 安全考慮

1、組織：中國(guó)互動(dòng)出版網(wǎng)（http:/www.china-RFC文檔中文翻譯計(jì)劃（http:/www.china-E-mail：ouyangchina-譯者：yeeman（yeeman yi.man）譯文發(fā)布時(shí)間：2001-6-15版權(quán)：本中文翻譯文檔版權(quán)歸中國(guó)互動(dòng)出版網(wǎng)所有?？梢杂糜诜巧虡I(yè)用途自由轉(zhuǎn)載，但必須保留本文檔的翻譯及版權(quán)信息。Network Working Group M. AllmanRequest for Comments: 2577 NASA Glenn/Sterling SoftwareCategory: Informational S. Ostermann Ohio Univ

2、ersity May 1999FTP安全考慮（RFC2577 FTP Security Considerations）本備忘錄的狀態(tài) 本備忘錄給Internet社會(huì)提供了一些信息，但不指定任何一種Internet標(biāo)準(zhǔn)。發(fā)布本備忘錄不受限制。版權(quán)聲明Copyright (C) The Internet Society (1999). All Rights Reserved.摘要 本文是對(duì)文件傳輸協(xié)議（FTP）的說(shuō)明，它包含了一些用來(lái)緩解網(wǎng)絡(luò)安全問(wèn)題的機(jī)制。本FTP規(guī)范允許客戶(hù)端命令一臺(tái)服務(wù)器傳輸文件到第三方機(jī)器。這種“三方”機(jī)制，我們稱(chēng)它為“代理FTP”，帶來(lái)了一個(gè)著名的安全問(wèn)題。本FTP規(guī)范還

3、允許無(wú)數(shù)次的嘗試輸入用戶(hù)密碼，這帶來(lái)了強(qiáng)力“密碼猜測(cè)”攻擊。本文檔給系統(tǒng)管理員和那些實(shí)現(xiàn)FTP服務(wù)器的人提供了一些建議來(lái)減少跟FTP有關(guān)的安全問(wèn)題。1簡(jiǎn)介12跳轉(zhuǎn)攻擊（Bounce Attack）23避免跳轉(zhuǎn)攻擊24受限制的訪(fǎng)問(wèn)35保護(hù)密碼36私密性37保護(hù)用戶(hù)名38端口盜用49基于軟件的安全問(wèn)題410結(jié)論411安全考慮41簡(jiǎn)介文件傳輸協(xié)議規(guī)范（FTP）PR85提供了一種允許客戶(hù)端建立FTP控制連接并在兩臺(tái)FTP服務(wù)器間傳輸文件的機(jī)制。這種“代理FTP”機(jī)制可以用來(lái)減少網(wǎng)絡(luò)的流量，客戶(hù)端命令一臺(tái)服務(wù)器傳輸文件給另一臺(tái)服務(wù)器，而不是從第一臺(tái)服務(wù)器傳輸文件給客戶(hù)端，然后從客戶(hù)端再傳輸給第二臺(tái)服務(wù)器

4、。當(dāng)客戶(hù)端連接到網(wǎng)絡(luò)的速度特別慢時(shí)，這是非常有用的。但同時(shí)，代理FTP還帶來(lái)了一個(gè)安全問(wèn)題“跳轉(zhuǎn)攻擊（bounce attack）”CERT97:27。除了“跳轉(zhuǎn)攻擊”，F(xiàn)TP服務(wù)器還可以被攻擊者通過(guò)強(qiáng)力來(lái)猜測(cè)密碼。本文檔并不考慮當(dāng)FTP和一些強(qiáng)壯的安全協(xié)議（比如IP安全）聯(lián)合使用的情況。雖然這些安全關(guān)注并不在本文檔的考慮范圍內(nèi)，但是它們也應(yīng)該被寫(xiě)成文檔。本文給FTP服務(wù)器的實(shí)現(xiàn)者和系統(tǒng)管理員提供了一些信息，如下所示。第二章描述了FTP“跳轉(zhuǎn)攻擊”。第三章提供了減少“跳轉(zhuǎn)攻擊”的建議。第四章給基于網(wǎng)絡(luò)地址限制訪(fǎng)問(wèn)的服務(wù)器提供了建議。第五章提供了限制客戶(hù)端強(qiáng)力“猜測(cè)密碼”的建議。接著，第六章簡(jiǎn)單

5、的討論了改善保密性的機(jī)制。第七章給出了阻止猜測(cè)用戶(hù)身份的機(jī)制。第八章討論了端口盜用。最后，第九章討論了其它跟軟件漏洞有關(guān)而跟協(xié)議本身無(wú)關(guān)的FTP安全問(wèn)題。2跳轉(zhuǎn)攻擊（Bounce Attack）RFC959PR85中規(guī)定的FTP規(guī)范提供了一種攻擊知名網(wǎng)絡(luò)服務(wù)器的一種方法，并且使攻擊者很難被跟蹤。攻擊者發(fā)送一個(gè)FTP"PORT”命令給目標(biāo)FTP服務(wù)器，其中包含該主機(jī)的網(wǎng)絡(luò)地址和被攻擊的服務(wù)的端口號(hào)。這樣，客戶(hù)端就能命令FTP服務(wù)器發(fā)一個(gè)文件給被攻擊的服務(wù)。這個(gè)文件可能包括根被攻擊的服務(wù)有關(guān)的命令（如SMTP,NNTP等）。由于是命令第三方去連接到一種服務(wù)，而不是直接連接，就使得跟蹤攻擊

6、者變得困難，并且還避開(kāi)了基于網(wǎng)絡(luò)地址的訪(fǎng)問(wèn)限制。例如，客戶(hù)端上載包含SMTP命令的報(bào)文到FTP服務(wù)器。然后，使用正確的PORT命令，客戶(hù)端命令服務(wù)器打開(kāi)一個(gè)連接給第三方機(jī)器的SMTP端口。最后，客戶(hù)端命令服務(wù)器傳輸剛才上載的包含SMTP命令的報(bào)文給第三方機(jī)器。這就使得客戶(hù)端不建立任何直接的連接而在第三方機(jī)器上偽造郵件，并且很難跟蹤到這個(gè)攻擊者。3避免跳轉(zhuǎn)攻擊原來(lái)的FTP規(guī)范PR85假定使用TCP進(jìn)行數(shù)據(jù)鏈接，TCP端口號(hào)從0到1023時(shí)報(bào)留給一些眾所周知的服務(wù)的，比如郵件，網(wǎng)絡(luò)新聞和FTP控制鏈接。FTP規(guī)范對(duì)數(shù)據(jù)鏈接沒(méi)有限制TCP端口號(hào)。因此，使用代理FTP，客戶(hù)端就可以命令服務(wù)器去攻擊任何

7、機(jī)器上眾所周知的服務(wù)。為了避免跳轉(zhuǎn)攻擊，服務(wù)器最好不要打開(kāi)數(shù)據(jù)鏈接到小于1024的TCP端口號(hào)。如果服務(wù)器收到一個(gè)TCP端口號(hào)小于1024的PORT命令，那么可以返回消息504（對(duì)這種參數(shù)命令不能實(shí)現(xiàn)）。但要注意這樣遺留下那些不知名服務(wù)（端口號(hào)大于1023）易受攻擊。一些建議（例如AOM98和Pis94）提供了允許使用除了TCP以外的其他傳輸協(xié)議來(lái)建立數(shù)據(jù)連接的機(jī)制。當(dāng)使用這些協(xié)議時(shí)，同樣要注意采用類(lèi)似的防范措施來(lái)保護(hù)眾所周知的服務(wù)。另外，我們注意到跳轉(zhuǎn)攻擊一般需要攻擊者首先上載一個(gè)報(bào)文到FTP服務(wù)器然后再下載到準(zhǔn)備攻擊的服務(wù)端口上。使用適當(dāng)?shù)奈募Ｗo(hù)措施就可以阻止這種情況發(fā)生。然而攻擊者也可

8、能通過(guò)從遠(yuǎn)程FTP服務(wù)器發(fā)送一些能破壞某些服務(wù)的數(shù)據(jù)來(lái)攻擊它。禁止使用PORT命令也是避免跳轉(zhuǎn)攻擊的一種方法。大多數(shù)文件傳輸可以?xún)H通過(guò)PASV命令來(lái)實(shí)現(xiàn)。但這樣做的缺點(diǎn)就是喪失了使用代理FTP的能力，當(dāng)然代理FTP并不是在所有場(chǎng)合都需要的。4受限制的訪(fǎng)問(wèn)一些FTP服務(wù)器希望有基于網(wǎng)絡(luò)地址的訪(fǎng)問(wèn)控制。例如，服務(wù)器可能希望限制來(lái)自某些地點(diǎn)的對(duì)某些文件的訪(fǎng)問(wèn)（例如為了某些文件不被傳送到組織以外）。在這種情況下，服務(wù)器在發(fā)送受限制的文件之前應(yīng)該首先確保遠(yuǎn)程主機(jī)的網(wǎng)絡(luò)地址在本組織的范圍內(nèi)，不管是控制連接還是數(shù)據(jù)連接。通過(guò)檢查這兩個(gè)連接，服務(wù)器就被保護(hù)避免了這種情況：控制連接用一臺(tái)可信任的主機(jī)連接而數(shù)據(jù)連

9、接不是。同樣的，客戶(hù)也應(yīng)該在接受監(jiān)聽(tīng)模式下的開(kāi)放端口連接后檢察遠(yuǎn)程主機(jī)的IP地址，以確保連接是由所期望的服務(wù)器建立的。 注意，基于網(wǎng)絡(luò)地址的受限訪(fǎng)問(wèn)留下了FTP服務(wù)器易受“地址盜用(spoof)”攻擊。在spoof攻擊中，攻擊機(jī)器可以冒用在組織內(nèi)的機(jī)器的網(wǎng)絡(luò)地址，從而將文件下載到在組織之外的未授權(quán)的機(jī)器上。只要可能，就應(yīng)該使用安全鑒別機(jī)制，比如在HL97中列出的安全鑒別機(jī)制。5保護(hù)密碼為了減少通過(guò)FTP服務(wù)器進(jìn)行強(qiáng)力密碼猜測(cè)攻擊的風(fēng)險(xiǎn)，建議服務(wù)器限制嘗試發(fā)送正確的密碼的次數(shù)。在幾次嘗試（35次）后，服務(wù)器應(yīng)該結(jié)束和該客戶(hù)的控制連接。在結(jié)束控制連接以前，服務(wù)器必須給客戶(hù)端發(fā)送一個(gè)返回碼421（“

10、服務(wù)不可用，關(guān)閉控制連接”P(pán)R85）。另外，服務(wù)器在相應(yīng)無(wú)效的“PASS”命令之前應(yīng)暫停幾秒來(lái)消減強(qiáng)力攻擊的有效性。若可能的話(huà)，目標(biāo)操作系統(tǒng)提供的機(jī)制可以用來(lái)完成上述建議。攻擊者可能通過(guò)與服務(wù)器建立多個(gè)、并行的控制連接破壞上述的機(jī)制。為了搏擊多個(gè)并行控制連接的使用，服務(wù)器可以限制控制連接的最大數(shù)目，或探查會(huì)話(huà)中的可疑行為并在以后拒絕該站點(diǎn)的連接請(qǐng)求。然而上述兩種措施又引入了“服務(wù)否決”攻擊，攻擊者可以故意的禁止有效用戶(hù)的訪(fǎng)問(wèn)。標(biāo)準(zhǔn)FTPPR85在明文文本中使用“PASS”命令發(fā)送密碼。建議FTP客戶(hù)端和服務(wù)器端使用備用的鑒別機(jī)制，這種鑒別機(jī)制不會(huì)遭受竊聽(tīng)。比如，IETF公共鑒別技術(shù)工作組開(kāi)發(fā)的

11、機(jī)制HL97。6私密性在FTP標(biāo)準(zhǔn)中PR85中，所有在網(wǎng)絡(luò)上被傳送的數(shù)據(jù)和控制信息（包括密碼）都未被加密。為了保障FTP傳輸數(shù)據(jù)的私密性，應(yīng)盡可能使用強(qiáng)壯的加密系統(tǒng)。在HL97中定義了一個(gè)這樣的機(jī)制。7保護(hù)用戶(hù)名當(dāng)“USER”命令中的用戶(hù)名被拒絕時(shí)，在FTP標(biāo)準(zhǔn)中PR85中定義了相應(yīng)的返回碼530。而當(dāng)用戶(hù)名是有效的但卻需要密碼，F(xiàn)TP將使用返回碼331。為了避免惡意的客戶(hù)利用USER操作返回的碼確定一個(gè)用戶(hù)名是否有效，建議服務(wù)器對(duì)USER命令始終返回331，然后拒絕對(duì)無(wú)效用戶(hù)名合并用戶(hù)名和密碼。8端口盜用許多操作系統(tǒng)以遞增的順序動(dòng)態(tài)的分配端口號(hào)。通過(guò)合法的傳輸，攻擊者能夠觀(guān)察當(dāng)前由服務(wù)器端分

12、配的端口號(hào)，并“猜”出下一個(gè)即將使用的端口號(hào)。攻擊者可以與這個(gè)端口建立連接，然后就剝奪了下一個(gè)合法用戶(hù)進(jìn)行傳輸?shù)哪芰??；蛘?，攻擊者可以盜取給合法用戶(hù)的文件。另外，攻擊者還可能在從授權(quán)用戶(hù)發(fā)出的數(shù)據(jù)流中插入偽造的文件。通過(guò)使FTP客戶(hù)和服務(wù)器隨機(jī)的給數(shù)據(jù)連接分配端口號(hào)，或者要求操作系統(tǒng)隨機(jī)分配端口號(hào)，或者使用與系統(tǒng)無(wú)關(guān)的機(jī)制都可以減少端口盜用的發(fā)生。9基于軟件的安全問(wèn)題本文檔的重點(diǎn)是和協(xié)議相關(guān)的安全問(wèn)題。另外還有一些成文的FTP安全問(wèn)題是由于不完善的FTP實(shí)現(xiàn)造成的。雖然這種類(lèi)型的問(wèn)題的細(xì)節(jié)超出本文檔的范圍，還是有必要指出以下那些過(guò)去曾被誤用，今后的實(shí)現(xiàn)應(yīng)該慎重考慮的FTP特性。l 匿名FTP匿

13、名FTP服務(wù)使客戶(hù)端用最少的證明連接到FTP服務(wù)器分享公共文件。如果這樣的用戶(hù)能夠讀系統(tǒng)上所有的文件或者能建立文件，那么問(wèn)題就產(chǎn)生了。CERT92:09 CERT93:06l 執(zhí)行遠(yuǎn)程命令FTP擴(kuò)展命令”SITE EXEC”允許客戶(hù)端執(zhí)行服務(wù)器上任意的命令。這種特性顯然需要非常小心的實(shí)現(xiàn)。已經(jīng)有幾個(gè)成文的例子說(shuō)明攻擊者利用FTP“SITE EXEC”命令可以破壞服務(wù)器的安全性。CERT94:08 CERT95:16l 調(diào)試代碼前面的一些跟FTP有關(guān)危及安全的問(wèn)題是由于置入了調(diào)試特性的軟件造成的。CERT88:01本文建議有這些功能的FTP服務(wù)器的實(shí)現(xiàn)者在發(fā)布軟件之前參閱所有的CERT有關(guān)這些問(wèn)

14、題的攻擊以及類(lèi)似機(jī)制的忠告。10結(jié)論使用以上建議可以減少和FTP服務(wù)器有關(guān)的安全問(wèn)題的發(fā)生，而不用刪除其功能。11安全考慮本備忘錄通篇討論了安全問(wèn)題。致謝We would like to thank Alex Belits, Jim Bound, William Curtin, Robert Elz, Paul Hethmon, Alun Jones and Stephen Tihor for their helpful comments on this paper. Also, we thank the FTPEXT WG members who gave many useful sugge

15、stions at the Memphis IETF meeting.參考書(shū)目 AOM98 Allman, M., Ostermann, S. and C. Metz, "FTP Extensions for IPv6 and NATs", RFC 2428, September 1998. Bel94 Bellovin. S., "Firewall-Friendly FTP", RFC 1579, February 1994. CERT88:01 CERT Advisory CA-88:01. ftpd Vulnerability. December,

16、 1988 /pub/cert_advisories/ CERT92:09 CERT Advisory CA-92:09. AIX Anonymous FTP Vulnerability. April 27, 1992. /pub/cert_advisories/ CERT93:06 CERT Advisory CA-93:06. Wuarchive ftpd Vulnerability. September 19,1997 /pub/cert_advisories/ CERT94:08

17、 CERT Advisory CA-94:08. ftpd Vulnerabilities. September 23, 1997. /pub/cert_advisories/ CERT95:16 CERT Advisory CA-95:16. wu-ftpd Misconfiguration Vulnerability. September 23, 1997 /pub/cert_advisories/ CERT97:27 CERT Advisory CA-97.27. FTP Bounce. January 8, 199

18、8. /pub/cert_advisories/ HL97 Horowitz, M. and S. Lunt, "FTP Security Extensions", RFC 2228, October 1997. Pis94 Piscitello, D., "FTP Operation Over Big Address Records (FOOBAR), RFC 1639, June 1994. Pos81 Postel, J., "Transmission Control Protocol", STD 7,

19、 RFC 793, September 1981. PR85 Postel, J. and J. Reynolds, "File Transfer Protocol (FTP)", STD 9, RFC 959, October 1985. RP94 Reynolds, J. and J. Postel, "Assigned Numbers", STD 2, RFC 1700, October 1994. See also: /numbers.html作者的地址 Mark Allman NASA Glenn Resea

20、rch Center/Sterling Software 21000 Brookpark Rd. MS 54-2 Cleveland, OH 44135 EMail: Shawn Ostermann School of Electrical Engineering and Computer Science Ohio University 416 Morton Hall Athens, OH 45701 EMail: 完整的版權(quán)聲明 Copyright (C) The Internet Society (1999)

21、. All Rights Reserved. This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, pr

22、ovided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copy