- 0
- 0
- 3
質問
-
ftpサーバの脆弱性について
質問
まず、FTP サーバそのものの脆弱性 (の可能性) と、FTP というプロトコルの問題については区別して考えましょう。
FTP サーバの脆弱性については、Microsoft 製品をはじめ商用版ソフト、フリーソフトウェアを問わずこれまで何度もクリティカルな問題が発見されては修正されてきたという歴史があり、サーバを運用するからには絶えず脆弱性情報等には注意し、適切な対処が必要となるでしょう。
今から10年近く前の話ではありますが、Linux の勉強でスクールに通っていた時、「脆弱性を抱えたままパッチの当てられていない FTP サーバをリモートから攻撃する」という実習をしたことがあり、いともあっさりと root (管理者) 権限を乗っ取れてしまったことにビックリしたものです。
ただ、それは FTP サーバに限った話ではなく、どんなサーバであれ「適切に管理していなければやられる可能性はある」と言えるでしょう。つまり「FTP サーバが危ない」のではなく、「ちゃんと管理/設定されていないサーバが危ない」のです。
そして、FTP というプロトコルの危うさは、おっしゃる通り通信内容がすべて平文で流れてしまうということです。Wireshark などのパケットキャプチャーツールでパケットを拾って見ていただければ一目瞭然ですが、ユーザ名もパスワードも丸見えの通信となります。
なお
telnetはフリーウエアなので、安全保証はできないはず。
というのは誤解/混乱されているかと。
Telnet というのはプロトコルであり、通信内容は平文で流れますから FTP と同じ危うさを持っているという点についてはその通りだと思いますが、ソフトウェアそのものではありませんね。telnet というコマンドで Telnet サーバと通信することができますが、それは「Telnet クライアントソフト」を使ってサーバとやりとりしているということです。なので
「telnetはフリーウエア」というのは正確ではありませんし
「フリーウエアなので、安全保証はできない」というのも、危なさがあるとしたらそれはフリーウェアかどうかの問題ではなく、通信が平文で流れることにあるので、たとえ有償プログラムを使っていても Telnet で通信している限り盗聴される可能性に変わりはありませんね。
また、いかなる有償ソフトウェアであっても「安全」を「保証」してくれるものはないのではないかと思います (保証してくれるとしたら、脆弱性が見つかった場合の修正アップデートの提供ということでしょう)。
お疲れ様です。
脆弱性というのは、
1・プロトコル自身の欠陥
2・プロトコルを扱うソフトの欠陥
3・配置・設定の不適合
の大きく分けて3つの種類があると思います。
たとえば、FTPの通信は暗号化されていない。
ですので、大事な個人情報をインターネット経由でやりとりをしていたとなれば、これは脆弱性かもしれませんが、これは暗号化した回線かで行えば、別に脆弱性ではありません。これは、3にあたると思います。
私個人では、FTPのプロトコル自体には脆弱性はないと思いますが、そのサーバーソフト自身が脆弱性がないかや先ほどの例のように、設定上やネットワーク設計・運用上のセキュリティホールが存在しないかを考える必要があると思います。
telnetは、ちなみにFTPとは関係ないと思います。
(telnetはプロトコルで有り、フリーとか有償とかというくくりではないと思います)
まずは、2にあたるところとしてFTPサーバーソフトの製品名やバージョンから脆弱性情報を調査し、あとは、3の環境的な部分から攻撃されないかの側面を考えることで、よいのではないかと思います。
ご参考まで...。
ある友人(独立行政法人)
半分お役所と言ってもいい独立行政法人が”友人にセキュリティ上の問題を聞く”ということがそもそも問題のような気がします。(その友人がシス蔵に質問をするレベルだったらなおさら...こりゃ失礼)金融庁からのセキュリティ監査を受ける組織
それほどの組織ならベンダーやメーカに言ってしっかり対策しておくべきでしょう。個人経営の会社とはワケが違うと思います。
サーバの対策についてですが、 そもそもそのサーバは外部に開かれたものなのか、内部からしかアクセス出来ないものなのかでかなり重要度は違ってくると思います。 「ftpサーバを自社内に持っている」ということから自社内向けとも思われますが、もし社外向け(インターネットからアクセスできる)ならばそういう構造そのものを変えないといけないかもしれません。 ftpがどうのというより外部からの攻撃にLANが耐えられるかとか、そういう事の方が重要に思えます。いっそのことそのサーバは外部に置くとかDMZに置くとかのほうが良くありませんか?
またキツイ言い方になりましたが あの文面を見た限りでは 対策すべきことが違うように思いました。
お役に立ちましたか?他にもたくさんの ノウハウが共有されています。
質問
とある友人(独立行政法人)より、
「ftpサーバを自社内に持っているのだけれど、セキュリティ上問題ないか」と聞かれました。
ftpはファイル転送のプロトコルで転送ファイルは暗号化していないはず。また、telnetはフリーウエアなので、安全保証はできないはず。
友人の団体は、金融庁からのセキュリティ監査を受ける組織ということです。
ftpサーバがセキュリティ上問題という事例がありましたらアドバイスください。