Атаки из сети → Безопасная настройка TFTP-сервера

Визуально и по названию протокол TFTP (Trivial File Transfer Protocol — упрощенный протокол передачи файлов) похож на FTP, но по сути это два абсолютно разных протокола. TFTP предоставляет наиболее простой метод обмена и сохранения файлов. Он часто используется для предоставления загрузочных образов бездисковым рабочим станциям или для чтения/записи конфигура­ционной информации для различных сетевых устройств, например маршрутизаторов. Рас­смотрим пример использования этого протокола.

Пример использования протокола:

$ tftp tftpserver

tftp> get etc/passwd

Received 703 bytes in 0.0 seconds [inf bits/sec]

tftp> put somerandomfile

Error code 2: Access violation

tftp> quit

$ cat passwd

root:x:0:0:root:/root:/bin/ksh

bin:x:l:l:bin:/bin:/bin/bash

…

Здесь основой причиной для беспокойства должно послужить то, что сервер не требует ни­какой аутентификационной информации.

Защита TFTP-демона

Есть некоторые факторы, которые снижают опасность проблемы неконтроли­руемого доступа. Во-первых, можно получить только файлы, права на чтение которых предос­тавлены всем пользователям, и при условии ввода полного имени файла. Протоколом TFTP не поддерживаются команды cd или ls, поэтому хакеру не удастся провести разведку и найти ин­тересующие файлы — он должен знать (или угадать) полное имя доступного файла.

Во-вторых, не может быть выполнена подкачка файла с удаленного компьютера, если:

• этот файл уже существует;
• предоставлены неограниченные права на запись этого файла.

Таким образом гарантируется невозможность перезаписи важных файлов.

В большинство TFTP-серверов встроена возможность ограничения доступа для указанного подкаталога. Благодаря этому в каком-либо каталоге можно ограничить права загрузки и под­качки файлов, например файлов каталога /var/tftp, в котором должны храниться только абсолютно необходимые файлы. Метод указания защищенного каталога отличается для различ­ных версий TFTP-демона (для некоторых по умолчанию указан каталог /tftpboot). TFTP-сервер обычно запускается с помощью демона inetd или xinetd, поэтому необходимо внести соответствующие изменения в конфигурационные файлы. Например, в конфигурационном файле /etc/inetd.conf для inetd можно изменить строку для TFTP следующим образом.

Кроме того, можно запустить TFTP-сервер под зашитой TCP Wrappers (более подробно рассмотренного в главе 13, «Управаение доступом и брандмауэры»), что позволит ограничить число компьютеров, которые смогут подключаться к TFTP-серверу. Для этой цели приведен­ную выше строку следует изменить так, как показано ниже.

Затем в файл /etc/hosts.allow нужно добавить строку, подобную следующей.

Проверьте, что в файле /etc/hosts.deny содержится строка ALL:ALL.

Совет!

И наконец, можно совсем не запускать TFTP-сервер и отключить его, закоментировав соответствующую строку в файле /etc/inetd.conf или отключив службу с помощью xinetd. Если протокол TFTP используется только для загрузки или сохранения конфигурационной информации для сетевых устройств, то включайте TFTP-сервер только в случае необходимости и отключайте его по завершению выполнения задачи.

(18 votes, average: 4,72 out of 5)

 Loading ...

Если Вам понравилась эта статья,
!

Кое-что интересное

• Хакер не дремлет!
• Читать всем! Уязвимость в WordPress стала крахом для 100-ен блогеров
• Будни украинского рынка программирования
• Способы исследования сети или «ловля на живца»
• Впервые в мире — саммит по ИТ безопасности

Comments

Заказываем vip подарок своему любимому мужчине. radost.ua

  Хак новости

• 31.01.2012 → Эксплойт Phoenix атакует Wordpress
• 17.01.2012 → Исходные коды Security Enhanced Android доступны для скачивания
• 3.01.2012 → Chaos ComCon: атаки на среды программирования
• 16.12.2011 → Правда о файрволах и DDoS-атаках
• 15.12.2011 → Предпосылки взлома PlayBook от Blackberry
• 13.12.2011 → Кто безопаснее iOS или Android?
• 8.12.2011 → 2012: где будет IT-центр Восточной Европы?



•   Меню

  • C миру по нитке
    • Hack новости
    • Новости Unix систем
    • Новости ИТ безопасности
    • Обзоры ПО
  • Безопасность Linux
    • Iptables
    • Антивирус ClamAV
    • Атаки из сети
    • Атаки на службу DNS
    • Восстановление системы после взлома
    • Дополнительная безопасность
    • Зондирование сети
    • Модули аутентификации PAM
    • Определение типа ОС
    • Права доступа и файловые системы
    • Прокси-брандмауэры
    • Разграничение прав доступа
    • Социальная инженерия
    • Трассировка сети
    • Управление Internet-службами
    • Учетные записи пользователей
  • Лайфхак
  • Настройка файла .htaccess
  • Обзоры блогов по безопасности
  • Секреты компьютерной безопасности
    • Безопасность скриптов
    • Детекторы атак
    • Криптографические средства защиты информации
    • Методы аутентификации
    • Обеспечение безопасности ИТ
    • Сетевые анализаторы
    • Сетевые сканеры
    • Системы контроля и обнаружения вторжений
    • Средства аудита программ
    • Управление открытыми ключами
    • Швейцарский нож для хакера
  • Системное администрирование для чайников
    • MySQL-сервер баз данных
    • Web-сервер Apache
    • Программный пакет Samba
    • Сервер удаленного доступа SSH
    • Файловый сервер ProFTPD
  • Хакинг сетей
    • Взлом средств проверки вводимы данных
    • Изучение WEB-сервера
    • Использование SQL-инъекций
    • Хакинг с помощью WEB-клиентов



  Метки

linux IT безопасность атака хакер защита доступ sql сертификат DNS Back Orifice 2000 netcat ключ Диффи-Хэллман контрольная сумма Microsoft IP конфиденциальность целосность RSA ARP сниффер пароль htaccess Injection аутентификация htaccess пароль X.509 репозитория PGP центр сертификации DDoS 3D ОС мошенничество компьютерная система утечка данных КС угроза whois FreeBSD nslookup windows аутентичность доступность