Sé cómo configurar todo esto y hay muchas otras publicaciones con instrucciones. Sin embargo tengo una pregunta más específica:
¿Existe un rango de puertos ESTÁNDAR que se pueda utilizar para escuchar el servidor FTP pasivo? Por ejemplo, obviamente no quiero hacer 22-1000 o algo así. Además de saber qué más se está ejecutando en mi máquina, ¿cómo puedo determinar qué puertos usar? He visto aquí un rango sugerido de 5000-5010, por ejemplo.
También pregunta extra. ¿Existe un NÚMERO recomendado de puertos para abrir? Filezilla simplemente ofrece todo el rango de 0 a 65535 sin orientación (o ninguna que haya encontrado) que sugiera qué rango o cuántos puertos usar.
Respuesta1
Estándares del protocolo FTP
En términos de acceso no autenticado, se le permite conectarse a su servidor FTP a través de un puerto de canal de datos abierto en el servidor FTP de escucha según lo establecido enRFC 959:
-
servidor-PI
El intérprete de protocolo del servidor "escucha" en el puerto L una conexión desde un usuario-PI y establece una conexión de comunicación de control. Recibe comandos FTP estándar del usuario-PI, envía respuestas y gobierna el servidor-DTP.
Esto significa que se espera que el servidor FTP de escucha siga el protocolo de servidor FTP estándar, por lo que si su servidor FTPrequiere autenticaciónentonces solo permitirá una conexión en un puerto pasivo abierto que eligió usar para la conexión del canal de datos después de que se establezca la autenticación PI del usuario.
-
conexión de control
La ruta de comunicación entre USER-PI y SERVER-PI para el intercambio de comandos y respuestas. Esta conexión sigue el protocolo Telnet.
Pi
El intérprete de protocolo. Los lados usuario y servidor del protocolo tienen roles distintos implementados en un PI de usuario y un PI de servidor.
Seguridad FTP
Usar FTP simple para la comunicación y el intercambio de datos es inseguro ya que cualquier cosa que pueda leer los paquetes puede ver sus datos, así que considere usarFTP SSHoFTP-SSLpara agregar cifrado a este nivel.
Además segúnRFC 959:
-
El protocolo requiere que las conexiones de control estén abiertas mientras se transmiten datos.
la transferencia está en curso. Es responsabilidad del usuario solicitar el cierre de las conexiones de control al finalizar el uso del servicio FTP, siendo el servidor quien realiza la acción. El servidor puede cancelar la transferencia de datos si las conexiones de control se cierran sin comando.
Por lo tanto, asegúrese de que el servidor FTP esté configurado con un período de tiempo de espera breve, lo que debería ayudar a desconectar las sesiones de usuario y cerrar los puertos del canal de datos más rápidamente.
Seguridad Portuaria
Considere usar un rango de puertos alto, como 40000-45000configurar las reglas de su dispositivo de red de firewall para permitir que solo el tráfico vaya al servidor FTP y pasar todos los paquetes a través de un escáner de paquetes para detección de intrusiones, etc., para frustrar patrones de ataque comunes y similares. .
No utilice puertos comunes si es posible y revise elLista de números de puertos TCP y UDP.
Asegúrese de que el servidor FTP esté bloqueado aún más para los puertos a los que permite que se pueda acceder desde Internet con reglas de firewall a nivel del sistema operativo, deshabilite los servicios innecesarios y asegúrese de no utilizar puertos en el rango pasivo que utiliza para otros servicios que son escuchando en este servidor.
Seguridad del servidor FTP FileZilla
Leer elReforzar el servidor FTP FileZillapublique y aproveche estas características de seguridad.