Статьи:Безопасность распространенных прикладных сетевых протоколов: взгляд со стороны клиента

[RU] switch to
English Version

��-�� #9 2005 3APA3A

�� : ��

�� , � �� - ��, �� , �� . �� , � �� (� �� ) �� , �� . �� , �� 7 ��. � � �� 21�� . ��, �� , �� FTP � �� 0days �� , �� , �� , ��, �� , ��.

�� - �� RFC.

�� , �� - � ��, �� .
�� FTP
�� . �� , �� FTP (File Transfer Protocol, �� ). �� FTP, RFC 959, �� 1985 ��. �� 3 �� - �� . �� , �� , �� . �� FTP �� , �� . �� , �� , �� , � �� , �� . �� FTP �� - �� -�� . ��, FTP �� , � �� . �� FTP �� telnet, �.�. �� FTP �� shell �� FTP ��. FTP-��, �� . �� . �� FTP �� 2 �� - �� (�� ) � �� . � �� FTP �� , �� 21� (��-��) �� FTP ��. �� , �� , �� , �� . �� .

��.1 �� FTP
� �� , �� IP �� PORT, �� , �� (� �� 20).

��.2 �� FTP
� �� PASV, �� TCP ��, �� , �� . �� (DATA connection) �� , �� -�� , �� . ��, �� , �� , �� .

��.3 �� FTP
�� A, �� PASV, �� B � �� PORT � �� A � �� PASV. �� DATA connection �� A � B, �� .
�� FTP
�� , �� . �� FTP �� NAI �� (David Sacerdote) �� 1996. � �� ? ��, �� , �� PASV, � �� -�� ? �� , �� , �� , �� , � �� . �� (DATA connection hijack).
�� , �� , �� PASV � �� ? �� PASV. � �� , �� , �� .
�� FTP �� PORT.

��.4 �� FTP Bounce
�� FTP �� ? �� , �� . � �� ? �� , �� FTP ��, �� . �� , �� FTP �� , �� . ��, �� FTP �� , �� . �� FTP bounce attack (�� , �� , �� "�� FTP").
�� FTP �� , ��, �� , �� FTP ��. ��, ��, �� FTP ��, � �� , �� NAT? �� FTP �� , � �� ? �� ? �� , �� - �� , �� . ��, �� PASV � �� . ��, �� IP ��, �� , "��" FTP �� . ��, �� , �� . �� , � �� , �� IP ��. �� , �� , � �� .
�� FTP ��. �� PASV �� . ��, �� , �� , �� "��" ��.
�� ? �� FTP �� , � ��, �� , �� . �� PORT. �� PASV �� , �� -�� . �� stateful inspection, �� "��" �� , � �� , �� :
�� FTP ��?
�� FTP �� . �� , �� . � ��, �� , �� Aleph One � �� : �� FTP. � ��, �� 5 � �� "��" �� . �� -�� , �� , ftpspy, �� connection flood �� 50% �� FTP ��:. � �� FTP ��, �� , � �� .

��.4 �� FTP-�� 
�� FTP �� , �� FTP ��, �� "��" ��. �� , �� , �� "��" �� . �� Stealth-�� . �� , �� . �� ftpspy (�� , �.�. �� FTP ��, �� SYN-��) �� [http://www.security.nnov.ru/articles/].
�� FTP. �� FTP ��, �� "��" �� PORT, � �� , �� NAT � �� , �� TCP �� (�� 139). IP ��, �� , ��, �� .
��, �� FTP � �� - �� , �� . �� FTP ��, �� .
�� "��" ��
�� . ��-�� "��", �� , � �� . � �� IMAPv4 � POPv3. POPv3 �� . IMAPv4 - �� , �� "��" �� - � �� , �� , �� , �� .�. �� . � �� ? � ��, �� pine, �� IMAPv4 � �� . �� , �� , �� IMAP, �� POP (�� , �� POP3 �� , �� , �� - �� ). � �� , IMAPv4 �� , ��, � �� , �� , � �� . �� [http://www.security.nnov.ru/files/imaptools.tgz] �� , �� imap-uw.
�� - ��

�� , �� , �� - �� .
�� - �� , � �� , �� . � �� Internet �� . �� ? �� SMTP (�� RFC 821, �� RFC 2821 �� , �� , �� ) �� . �� , �� , �� SMTP �� , �� . �� (�.�. �� ) �� IP ��. �� , �� "��" �� , �.�. �� -��, �� , �� . �� SMTP, RFC 2554, �� , �� -��. �� AUTH LOGIN, �� . �� EHLO:
```
<<220 mailserver.domain.example Microsoft ESMTP MAIL Service 6.0.3790.1
>>EHLO ME
<<250- mailserver.domain.example Hello [172.22.22.227]
<<250-TURN
<<250-SIZE
<<250-ETRN
<<250-PIPELINING
<<250-DSN
<<250-ENHANCEDSTATUSCODES
<<250-8bitmime
<<250-BINARYMIME
<<250-CHUNKING
<<250-VRFY
<<250-X-EXPS GSSAPI NTLM LOGIN
<<250-X-EXPS=LOGIN
<<250-AUTH GSSAPI NTLM LOGIN
<<250-AUTH=LOGIN
<<250-XEXCH50
<<250 OK
```
�� LOGIN (�� ), NTLM � GSSAPI.
�� HTTP (�� RFC 2616) �� , �� -�� . RFC 2617 �� , �� HTTP Basic �� /�� (challenge/response) �� HTTP �� Digest. �� -��. �� WWW-Authenticate, �� :
```
Content-Length: 1037
Content-Type: text/html
Server: Microsoft-IIS/6.0
WWW-Authenticate: Basic www.domain.example
WWW-Authenticate: Negotiate
WWW-Authenticate: NTLM
X-Powered-By: ASP.NET
Date: Wed, 13 Jul 2005 20:33:28 GMT
```
��, �� Basic, Negotiate � NTLM.
�� FTP �� , �� , �� AUTH � SMTP �� -��.
�� POP3 (RFC 1939) �� 2 �� - �� APOP �� -��. �� , �� AUTH � SMTP. �� APOP �� :
```
+OK Microsoft Exchange Server 2003 POP3 server version 6.5.7226.0
```
�� APOP.
```
+OK 3APA3A/POP3-2.0-RC5.1 <3707.1121287575@pop3-2.domain.example>
```
�� APOP, �� . �� APOP � �� (challenge).
�� AUTH. �� CAPA �� AUTH �� .
�� ?
�� (plain text, �� USER/PASS � FTP � POP3, �� AUTH LOGIN � SMTP � IMAP, �� Basic � HTTP)
�� : �� "�� " � �� , � �� , � �� ARP poisoning, DNS poisoning, �� , �� . � �� SMTP � HTTP �� base64.
�� Challenge-Response (��-��) � �� -��
� �� APOP, AUTH CRAM-MD5 � Digest � HTTP, �� CRAM-��, �� CRAM-MD4, CRAM-SHA1. �� . �� SHA-1 �� challenge �� . ��, �� , �� Challenge-Response �� (bruteforce), � �� .
�� Windows
�� AUTH NTLM � �� NTLM � Negotiate � HTTP. � Outlook Express �� NTLM �� SPA (Secure Password Authentication). �� -�� - �� , ��-��, �� Windows, �� . � ��, �� NTLM. �� NTLM �� "NTLM � �� " [http://www.security.nnov.ru/articles/ntlm]. �� Windows (� � �� SPA) � �� .
�� Kerberos
�� AUTH GSSAPI � HTTP �� Negotiate. Kerberos �� , �� IP �� . �� (��, �� Kerberos) �� , �� . � ��, �� , � Internet Kerberos �� , � �� , �.�. �� NAT �� .
�� "��" �� , �� , ��, �� HTTP (��). �� , �� Mozilla Firefox [http://www.security.nnov.ru/Fnews19.html].
�� , �� , �� - ��, �� (�� Man-in-the-Middle, �� ) �� "��" �� , �� .
��, �� Kerberos ��, ��, � �� , �� Challenge-Response.
�� , �� TLS (Transport Layer Security, �� SSL) ��. �� , �� , TLS �� , � �� . �� - TLS �� .
��

�� , �� . �� [http://www.security.nnov.ru/] 577 �� (�� 10%). �� :
�� , �� , �� 
�� . �� .
�� 
�� , ��, �� . �� , �� , �� .
�� 
��, ��, �� (�� ) �� . �� -�� .
�� 
��, �� , �� , � �� .
�� 
�� , �� .

�� : �� - �� , �� , �� . �� , �� "��" �� "��", � �� .

�� Gameland

test server

Статьи:Безопасность распространенных прикладных сетевых протоколов: взгляд со стороны клиента

������������ ���������������� ���������� ������� ����������: ������ �� ������� �������

������ ������ ��������� - ����� � RFC.

����� �������� ��������� ���������� - �������������� ������������

������ ���������� ������� ���������� � ���������� �����������

�� : ��

�� - �� RFC.

�� - ��

��