FTP es un protocolo útil y versátil, pero a su vez, es potencialmente peligroso. El tráfico FTP no está cifrado, y esto lo convierte en una probable fuente de problemas. Adicionalmente, FTP implica poder conectarse a un espacio de usuario en una máquina, lo que posibilita que podamos operar en dicho espacio más allá que para realizar transferencias de ficheros.
Un punto de control esencial en cualquier análisis UNIX es determinar qué usuarios pueden hacer FTP, y estudiar después si es factible el acceso por vías alternativas más seguras.
Ejemplo práctico
Para ver qué usuarios pueden hacer FTP, tenemos que consultar (en la mayoría de UNIX) /etc/ftpusers. Pero ojo, al contrario de lo que podría parecer, este fichero contiene los usuarios que NO pueden hacer FTP contra la máquina, aún estando el servicio activo. Es una lista negra, en la que deben estar consignados los usuarios que bajo ninguna circunstancia debería acceder por FTP al sistema.
shernando:~# cat /etc/ftpusers
operator
root
shutdown
sync
bin
daemon
adm
lp
postmaster
news
uucp
guest
postgres
nobody
La política a seguir ante los contenidos de etc/ftpusers es siempre la misma. En este fichero debe estar, inexcusablemente, el root de la máquina, ya que el usuario root es un administrador, y por tanto, debería administrar mediante otros protocolos, como SSH.
Otros usuarios que no deberían estar autorizados a FTP son aquellos que no tienen por qué emplear FTP para su normal desempeño en el sistema.
El examen debe incluír una revisión de /etc/passwd, para determinar qué usuarios están declarados en la máquina, como primera medida de corte a usuarios FTP. Un usuario declarado en etc/passwd (etc/security/passwd, otros, según sistema), y no restringido por /etc/ftpusers, tiene a priori vía libre para hacer FTP contra la máquina.
Resumen
El servicio FTP sólo debe usarse cuando sea imprescindible e imperativo. En otras circunstancias, es un servicio sustituíble por tecnologías seguras, como SSH (SFTP, SCP).
La auditoría debe recoger qué usuarios pueden hacer FTP, qué usuarios están denegados para FTP y debe recoger igualmente justificación para el uso de este servicio.
Como caso excepcional, los servidores no expuestos a tráfico externo pueden emplear FTP de manera segura, con el único fin de abastecer intercambios de ficheros de aplicativos. En estos casos es posible que el tráfico FTP no suponga un problema, y que se delegue la seguridad del servicio en los filtrados perimetrales previos.
No obstante la recomendación será siempre huír de medios de transferencia no cifrados, salvo que por motivos técnicos sólo sea factible transferir datos de manera óptima con FTP.
Como comentario curioso…
En la mayoría de los sistemas GNU/Linux existe una implementación del servicio FTP Kerberizado. Cuando se utiliza el servicio FTP Kerberizado y un cliente son soporte de Kerberos (paqeuete krb5-workstation y similares) se utiliza autentificación fuerte (Kerberos) y toda la transferencia de datos se realiza de forma cifrada mediante claves de sesión.
Desafortunadamente, no hay muchos clientes de FTP que soporten Kerberos y, dado que existen alternativas más potentes, flexibles y eficientes para la transferencia de archivos, como SCP, SSH y SFTP, el uso de FTP Kerberizado es, cuando menos, minoritario.
Felipe,
Desconocía la existencia de esta modalidad de FTP vía Kerberos.
Voy a ver si después indago un poco sobre la misma, me ha resultado curiosa, ya que para mí, Kerberos siempre ha sido un SSO :)
Gracias, y un saludo ;)