파일전송 프로토콜인 FTP는 많은 해커들의 타게팅이 될 수 있습니다. 해킹에 성공하기만 한다면 어떤 파일이든 가져가기가 수월하기 때문입니다. FTP 공격의 종류에는 크게 3가지로 알려져 있습니다. 물론 설명드릴 3가지 이외에도 많은 공격 기법들이 있지만, 주요한 공격 기법 3가지를 설명해 드리겠습니다.
1. FTP Bounce 공격
FTP 서버가 데이터를 데이터 포트(20/udp)로 전송할 때 목적지가 어딘지 검사하지 않는 프로토콜 구조적 문제점을 이용하는 것으로 버그는 아닌 프로토콜 설계 상 문제입니다.
익명 FTP 서버를 이용해 공격자가 자신을 숨기고 PORT 명령을 조작하여 공격대상의 네트워크 및 포트스캔, Fake Mail 전송, 데이터 전송이 가능
또한 방화벽 내부에 FTP 서버가 있으면 방화벽 패킷 필터링을 무시하고 여러 공격이 가능하다.
보통 바운스 공격은 포트스캐닝 형태로 공격이 많이 들어옵니다.
대응방법
1. FTP Bounce 공격에 취약하지 않은 최신버전으로 FTP 서버 업데이트
2. FTP 서버가 자료를 전송할 때 1024보다 낮은 포트로 접속하지 않도록 설정
3. FTP 외 다른 서버들이 20번 포트로의 접속을 받아들이지 않도록 설정
2. 익명(Anonymous) FTP 공격
FTP를 설치하게 되면 기본으로 anonymous FTP가 실행됩니다.
익명 사용자가 서버에 쓰기(Upload) 권한이 있으면 악성코드 업로드 가능
대응방법
1. 익명 FTP 서비스가 불필요한 경우 비활성화 vsftpd.conf 파일에서 익명 접속을 허용하지 않도록 설정)
2. Anonymous ftp 서비스만 제공하는 호스트를 구축하는 등 주요 디렉토리의 소유자 권한을 관리한다.
3. TFTP 공격
TFTP는 읽기 전용 메모리나 디스크가 없는 워크스테이션에 설치될 수 있을 정도로 단순한 파일 송수신 프로토콜입니다. 주로 부팅 이미지 전달 목적으로 사용됩니다.
TFTP는 69/udp 포트를 사용하고 인증절차가 없기 때문에 접근제어가 제대로 안되어 있으면 임의로 디렉터리 및 파일에 접근 가능
대응방법
1. TFTP 서비스가 불필요한 경우 비활성화
2. secure mode 로 운영
*secure mode는 chroot 기능을 이용한 것으로, 지정한 디렉터리를 최상위 디렉터리로 지정하여 상위 디렉터리로 접근 못하도록 제한하는 방식