veilige FTP server

Vorige week publiceerde Networking4all een whitepaper (PDF) over onbeveiligde FTP servers, waarin onze security experts aangaven dat een groot aantal FTP servers in Nederland gewoon bereikbaar zijn van buitenaf. Hoewel er redenen kunnen zijn om een FTP server open te zetten voor de buitenwereld, was het voor veel van de mensen die benaderd zijn door ons security team een onaangename verrassing om te horen dat hun foto’s, bestanden, en privégegevens niet zo veilig opgeslagen waren als zij dachten.

Tijdens deze gesprekken kwam veel naar voren dat mensen dachten hun beveiliging op orde te hebben, maar enkele settings nooit hadden aangepast. Anderen dachten dat het product dat ze gebruikten niet verbonden was met het internet terwijl dit wel het geval bleek te zijn, of dat er een ingebouwde beveiliging inzat die inbraak voorkwam. De security experts van Networking4all hebben slechts een aantal eigenaren kunnen bereiken, maar een herhaling van hun onderzoek wijst wel uit dat het aantal open FTP servers binnen een week met ruim 10 procent is afgenomen. Bij veel servers is de configuratie aangepast, de server niet meer bereikbaar zonder in te loggen, of zelfs helemaal offline gehaald.

Wat kunt u doen?
Wanneer u gebruik maakt van een NAS of FTP server, is het natuurlijk niet noodzakelijk om deze per direct offline te halen. U kunt ook uw redenen hebben om uw server bewust open te stellen. Maar u kunt wel controleren of u misschien meer prijsgeeft dan u zou willen. Allereerst kunt u zelf controleren of uw FTP poort openstaat, door uw IP adres in te voeren in een scan tool. Bij deze tool is het aan te raden om de opties ‘Detect service version’ en ‘Don’t ping host’ op ‘On’ te zetten. Daarnaast kan het geen kwaad om enkele goede gewoontes aan te nemen.

Geen standaardwachtwoorden
Wees tijdens het installeren van uw NAS of FTP server bewust van welke waarden er standaard voor u worden ingesteld, en controleer deze altijd vóór u verder gaat met het installatieproces. Een voorbeeld dat onze security experts tijdens het onderzoek erg vaak tegen kwamen, is het standaard wachtwoord uit de fabrieksinstellingen. Uw apparaat lijkt dan over een extra laag beveiliging te beschikken, maar wanneer een dief probeert in te breken zullen ze als eerste de standaard wachtwoorden uitproberen. Verander ook default gebruikersnamen zoals ‘admin’ of ‘owner’, want ook deze zullen als eerste worden getest door hackers. Sommige configuraties hebben zelfs standaard de authenticatie helemaal uitstaan, dus het is aan te raden altijd de inlogmethode te controleren.

Ook is het vaak mogelijk om rechten toe te wijzen aan gebruikersprofielen, waardoor u bijvoorbeeld een gebruiker alleen leesrechten kunt geven. Afhankelijk van de werkzaamheden waarvoor het account gebruikt wordt, kunt u uw medewerkers of familieleden dan beperkter toegang geven tot de NAS of FTP server. Deze toegang kunt u nog extra limiteren door bijvoorbeeld een beperking te zetten op het aantal inlogpogingen in een uur, of door de accounts te deactiveren na een bepaald aantal dagen inactiviteit. Tot slot is het natuurlijk ook nog aan te raden om wachtwoorden regelmatig te updaten.

Beveiliging
Daarnaast ondersteunen de meeste NAS systemen FTP met TLS, waardoor het verkeer over een versleutelde verbinding loopt. Deze manier van verbinding maken is vaak met een paar klikken geregeld: de meeste operating systems bieden de optie om verbinding te maken met FTPS in hetzelfde venster als het inloggen met standaard FTP. Wanneer u uw verbinding voortaan versleuteld wilt opzetten, moet u ook niet vergeten om hierbij te kiezen voor de juiste ciphers en hashing.

VIP-toegang
Wanneer u uw NAS of FTP server bereikbaar wilt maken via het internet, zou u kunnen overwegen om een IP-whitelist te maken. In deze whitelist staan dan alle IP-adressen die mogen inloggen op uw server. Wanneer iemand inlogt vanaf een ander IP-adres, wordt dit geblokkeerd. Het nadeel van een whitelist is alleen wel, dat u er altijd voor moet zorgen dat deze up to date blijft. Ook is het daarnaast alleen van toepassing wanneer u gebruik maakt van statische IP-adressen.

Altijd bij de tijd
Het is misschien wel een open deur intrappen, maar zorg er ook voor dat u uw software up to date houdt. Dit voorkomt dat u het slachtoffer wordt van vulnerabilities die soms wel jaren nadat de software is uitgegeven pas aan het licht komen. Ook maken softwarefabrikanten nog regelmatig wijzigingen en updates die u wellicht van pas kunnen komen of passen ze hun software zo aan dat u wellicht een verse blik moet werpen op uw configuratie om er zeker van te zijn dat die nog naar uw wensen is ingericht.

Weet wat u deelt
Wanneer u gebruik maakt van een NAS of FTP server als back-up of externe opslag, moet u goed opletten welke gegevens en bestanden u opslaat. Zet geen gevoelige data online wanneer u zich niet kunt verzekeren van de veiligheid ervan, en deel alleen data met mensen die u vertrouwt. Wanneer een NAS alleen voor intern gebruik is, kunt u overwegen om deze überhaupt niet aan het internet te koppelen. Waar u dan wel voor moet waken, is het zelf bijhouden van eventuele software-updates.

Wees u bewust van de beveiligingsmaatregelingen in de software die u gebruikt, en zorg er altijd voor dat u zelf de hand houdt in het instellen hiervan. Geef gebruikers geen rechten die ze niet nodig hebben, zorg er voor dat ze altijd inloggen met hun eigen gegevens, en vernieuw deze regelmatig. Zorg ervoor dat uw software up to date is, en sluit apparaten niet op het internet aan wanneer ze dit niet nodig hebben.

Lees relevante artikelen

Categorie  Research SSL & Security | Tags  ftp Security whitepaper