Então eu sei como configurar tudo isso e há vários outros posts com instruções. Porém tenho uma dúvida mais específica:
Existe um intervalo de portas STANDARD a ser usado para escutar servidores FTP passivos? Por exemplo, obviamente não quero fazer 22-1000 ou algo assim. Além de apenas saber o que mais está sendo executado em minha máquina, como determino quais portas usar? Eu vi aqui um intervalo sugerido de 5000-5010, por exemplo.
Também pergunta bônus. Existe um NÚMERO recomendado de portas para abrir? O Filezilla simplesmente oferece todo o intervalo de 0 a 65535 sem nenhuma orientação (ou nenhuma que eu encontrei) sugerindo qual intervalo ou quantas portas usar.
Responder1
Padrões de protocolo FTP
Em termos de acesso não autenticado permitido para conexão ao seu servidor FTP através de uma porta de canal de dados aberta no servidor FTP de escuta, conforme oRFC 959:
-
servidor-PI
O interpretador de protocolo do servidor "escuta" na Porta L uma conexão de um PI do usuário e estabelece uma conexão de comunicação de controle. Ele recebe comandos FTP padrão do usuário PI, envia respostas e governa o servidor DTP.
Isso significa que espera-se que o servidor FTP de escuta siga o protocolo padrão do servidor FTP, portanto, se o seu servidor FTPrequer autenticaçãoentão, ele só permitirá uma conexão em uma porta passiva aberta que escolheu usar para a conexão do canal de dados após a autenticação PI do usuário ser estabelecida.
-
conexão de controle
O caminho de comunicação entre USER-PI e SERVER-PI para troca de comandos e respostas. Esta conexão segue o protocolo Telnet.
PI
O intérprete de protocolo. Os lados do usuário e do servidor do protocolo têm funções distintas implementadas em um PI de usuário e um PI de servidor.
Segurança FTP
Usar FTP simples para comunicação e troca de dados é inseguro, pois qualquer coisa que possa ler os pacotes pode ver seus dados, então considere usarFTP SSHouSSL FTPpara adicionar criptografia neste nível.
Além disso conformeRFC 959:
-
O protocolo exige que as conexões de controle estejam abertas enquanto os dados
a transferência está em andamento. É de responsabilidade do usuário solicitar o fechamento das conexões de controle ao finalizar a utilização do serviço FTP, cabendo ao servidor a ação. O servidor poderá abortar a transferência de dados se as conexões de controle forem fechadas sem comando.
Portanto, certifique-se de que o servidor FTP esteja configurado com um curto período de tempo limite e isso deve ajudar a desconectar sessões de usuário e fechar portas de canais de dados mais rapidamente.
Segurança Portuária
Considere usar um intervalo de portas alto, como 40000-45000e tenha as regras do seu dispositivo de rede de firewall configuradas para permitir apenas que o tráfego vá para o servidor FTP e colocar todos os pacotes através de um scanner de pacotes para detecção de intrusão, etc. .
Não use portas comuns, se possível, e examine oLista de números de porta TCP e UDP.
Certifique-se de que o servidor FTP esteja bloqueado ainda mais para as portas que você permite que sejam acessíveis pela Internet com regras de firewall no nível do sistema operacional, desative serviços desnecessários e certifique-se de não usar portas na faixa passiva que você usa para outros serviços que são ouvindo neste servidor.
Segurança do servidor FTP FileZilla
Leia oEndurecer o servidor FTP FileZillaposte e aproveite esses recursos de segurança.