Ich weiß also, wie man das alles einrichtet, und es gibt zahlreiche andere Beiträge mit Anleitungen. Ich habe jedoch eine spezifischere Frage:
Gibt es einen STANDARD-Portbereich, der zum Abhören passiver FTP-Server verwendet werden kann? Ich möchte beispielsweise offensichtlich nicht 22-1000 oder so verwenden. Wie kann ich, abgesehen von meinem Wissen darüber, was sonst noch auf meinem Rechner läuft, bestimmen, welche Ports ich verwenden soll? Ich habe hier beispielsweise einen empfohlenen Bereich von 5000-5010 gesehen.
Auch eine Bonusfrage. Gibt es eine empfohlene ANZAHL der zu öffnenden Ports? Filezilla bietet einfach den gesamten Bereich von 0 - 65535 an, ohne Anleitung (oder zumindest keine, die ich gefunden habe), die vorschlägt, welcher Bereich oder wie viele Ports zu verwenden sind.
Antwort1
FTP-Protokollstandards
In Bezug auf den nicht authentifizierten Zugriff, der eine Verbindung zu Ihrem FTP-Server über einen offenen Datenkanal-Port auf dem abhörenden FTP-Server gemäß denRFC 959:
-
Server-PI
Der Server-Protokollinterpreter „lauscht“ auf Port L auf eine Verbindung von einem Benutzer-PI und stellt eine Steuerkommunikationsverbindung her. Er empfängt Standard-FTP-Befehle vom Benutzer-PI, sendet Antworten und steuert das Server-DTP.
Dies bedeutet, dass vom abhörenden FTP-Server erwartet wird, dass er dem Standard-FTP-Serverprotokoll folgt. Wenn Ihr FTP-Servererfordert AuthentifizierungDann lässt es nur eine Verbindung über einen geöffneten passiven Port zu, den es für die Datenkanalverbindung ausgewählt hat, nachdem die Benutzer-PI-Authentifizierung eingerichtet wurde.
-
Steueranschluss
Der Kommunikationspfad zwischen USER-PI und SERVER-PI für den Austausch von Befehlen und Antworten. Diese Verbindung folgt dem Telnet-Protokoll.
PI
Der Protokollinterpreter. Die Benutzer- und Serverseiten des Protokolls haben unterschiedliche Rollen, die in einer Benutzer-PI und einer Server-PI implementiert sind.
FTP-Sicherheit
Die Verwendung von einfachem FTP für die Kommunikation und den Datenaustausch ist unsicher, da jeder, der die Pakete lesen kann, Ihre Daten sehen kann. Erwägen Sie daher die Verwendung vonSSH-FTPoderFTP-SSLum Verschlüsselung auf dieser Ebene hinzuzufügen.
Darüber hinaus gemäßRFC 959:
-
Das Protokoll erfordert, dass die Steuerverbindungen geöffnet sind, während die Daten
Übertragung ist im Gange. Es liegt in der Verantwortung des Benutzers, das Schließen der Steuerverbindungen anzufordern, wenn er den FTP-Dienst nicht mehr nutzt, während der Server diese Aktion durchführt. Der Server kann die Datenübertragung abbrechen, wenn die Steuerverbindungen ohne Befehl geschlossen werden.
Stellen Sie daher sicher, dass der FTP-Server mit einer kurzen Zeitüberschreitungsperiode konfiguriert ist. Dadurch sollten getrennte Benutzersitzungen und Datenkanal-Ports schneller geschlossen werden.
Hafensicherheit
Erwägen Sie die Verwendung eines großen Portbereichs wie beispielsweise 40000-45000und konfigurieren Sie die Regeln Ihrer Firewall-Netzwerkanwendung so, dass nur dieser Datenverkehr zum FTP-Server durchgelassen wird und alle Pakete zur Eindringlingserkennung usw. durch einen Paketscanner geleitet werden, um häufige Angriffsmuster und dergleichen zu verhindern.
Verwenden Sie möglichst keine gemeinsamen Ports und überprüfen Sie dieListe der TCP- und UDP-Portnummern.
Stellen Sie mit Firewall-Regeln auf Betriebssystemebene sicher, dass der FTP-Server für die Ports, die vom Internet aus zugänglich sind, noch weiter gesperrt ist, deaktivieren Sie nicht benötigte Dienste und stellen Sie sicher, dass Sie keine Ports im passiven Bereich verwenden, die Sie für andere Dienste nutzen, die auf diesem Server lauschen.
FileZilla FTP-Server-Sicherheit
Lies dasFileZilla FTP-Server härtenPosten Sie und nutzen Sie diese Sicherheitsfunktionen.