it-swarm.com.de

Ist es sicherer, einen anderen Port als 21 für FTP zu verwenden?

Normalerweise verwendet FTP (soweit ich weiß) Port 21.

Ist es sicherer, einen anderen Port zu verwenden, da dieser Port so oft für FTP verwendet wird? Ich vermute, wenn jemand mit böswilligen Absichten versucht, FTP-Konten zu brechen, wird er Port 21 versuchen.

28
Kevin

Es ist nicht sicher, FTP über einen Port zu verwenden. Diejenigen, die eine böswillige Absicht haben, in Ihr Netzwerk oder System zu gelangen, scannen Ihr System nicht nach Port 21, sondern nach allen Ports und ermitteln den anderen Port praktisch in kürzester Zeit.

Sie sind besser mit SFTP als Dateiübertragungstool.

Auf der anderen Seite haben Sie die Möglichkeit, Ihren FTP-Übertragungen und -Ports etwas Sicherheit hinzuzufügen, wenn Sie sie stattdessen über einen VPN-Tunnel ausführen.

63
yetdot

Der Grund, warum FTP im Allgemeinen als unsicher angesehen wird, liegt darin, dass es nicht verschlüsselt ist. Wenn also jemand irgendwo im Netzwerkpfad Datenverkehr abhört, kann alles, was ihn durchquert, gelesen werden. Dies beinhaltet den Benutzernamen, das Passwort, alle übertragenen Daten, nd welchen Port verwendet wird.

Die Verwendung eines nicht standardmäßigen Ports erhöht nicht die Sicherheit, kann jedoch die Anzahl der Bots verringern, die versuchen, eine Verbindung zu diesem Port herzustellen, wodurch Ihre Netzwerkprotokolle ärgerlich gefüllt werden.

36
TTT
  1. Wenn Ihr FTP-Server immer auf dem neuesten Stand ist, bedeutet dies normalerweise, dass keine Exploits für diese Anwendung bekannt sind. Wenn der Server jedoch veraltet ist, riskieren Sie Roboter, die nach bekannten Schwachstellen suchen, die sonst behoben worden wären.

  2. Wenn der FTP-Server schlecht konfiguriert ist, z. B. mit einem Standardbenutzernamen/-kennwort oder einem schwachen Kennwort für ein vernachlässigtes (oder privilegiertes) Konto, kann ein Brute-Force-Angriff möglicherweise problemlos durchgeführt werden.

Jetzt kennen Sie die beiden häufigsten Angriffe. Um Ihre Frage spezifisch zu beantworten: Ja, eine nicht standardmäßige Portnummer verringert die Wahrscheinlichkeit eines solchen Angriffs, insbesondere bei Robotern, die das Internet nach Schwachstellen durchsuchen.

Dies wird oft als Sicherheit durch Dunkelheit angesehen und ist aufgrund seiner begrenzten Wirkung verpönt. Sie können jedoch nicht leugnen, dass es Ihre Sicherheit in gewissem Maße verbessert, insbesondere gegenüber Scannern für Roboter-Schwachstellen. Wahrscheinlich nicht so sehr gegen einen gezielten Angriff.

Vorschläge:

  • Das Ändern des Standardports ist eine einfache Sache, die Sie tun können, wenn Sie sich nicht sicher sind, wie die Sicherheit ist.
  • Mit einem FTP-Dienst können Sie am besten die IP-Adressen einschränken, auf die zugegriffen werden kann. Dies verhindert das Scannen von Sicherheitslücken. Beispielsweise gibt es wahrscheinlich nur bestimmte Gebäude auf der Welt, mit denen Sie auf den FTP-Server zugreifen würden. Sie müssen keinen Zugriff von einer anderen IP-Adresse zulassen.

  • Es wird sehr empfohlen, dass Sie FTP nicht mehr verwenden und zu SFTP (SSH) wechseln, um Ihre Anmeldeinformationen vor dem Aussteigen zu schützen. FTP ist unverschlüsselt, und obwohl dies für Ihre Frage nicht zutreffend ist, ist es sehr riskant, eine unverschlüsselte Verbindung für alles andere als den LAN-Zugriff vor Ort zu verwenden.

  • Verwenden Sie auch ein VPN, mit dem Sie einen sicheren LAN-Fernzugriff erhalten.

12
Bryan Field

Ja, wenn auch nur in sehr geringem Umfang.

Bei jeder Risikobewertung gibt es den Faktor Kosten im Vergleich zur bereitgestellten Sicherheit.

Wenn Sie FTP an einen nicht standardmäßigen Port verschieben, reduzieren Sie die eingehenden Versuche mit niedrig hängenden Früchten. Mit anderen Worten, die Script Kiddies , die eine Wörterbuchliste nur auf Port 21 versuchen, werden nicht mehr als Angreifer betrachtet. Auf diese Weise ist es sicherer.

Die Kosten sind jedoch, dass möglicherweise alle Firewalls (einschließlich einiger außerhalb Ihrer Kontrolle) angepasst werden müssen. Für Kunden müssen die Einstellungen geändert werden, und Benutzer müssen ein nicht standardmäßiges Verfahren befolgen. Dies sind kleine Dinge, aber Ihr Gewinn ist gering.

Allein aufgrund dieser Verdienste, ohne alle anderen, ist es ein enger Anruf (bei der Frage lohnt es sich).

Es gibt jedoch viel bessere Möglichkeiten, um eine bessere Sicherheit zu erreichen. Eine weiße Liste mit IP-Adressen ist billig und einfach. Es bietet mehr Sicherheit als Portwechsel. Der VPN-Zugriff für FTP ist ein weiterer "einfacher" Pfad, wenn Sie bereits VPNs eingerichtet haben.

Die Verwendung dieser oder anderer Methoden zum Sichern von FTP ist im Allgemeinen "billiger" und sicherer als nur das Wechseln von Ports.

GROSSER SUPER WICHTIGER HINWEIS

Während FTP seine Verwendung hat, sollte es nicht als sicher angesehen werden. Verwenden Sie stattdessen SFTP .

4
coteyr

Wenn Sie die Frage beiseite lassen, ob das automatische Scannen reduziert wird (ja) und ob Sie in beiden Fällen Sicherheit von FTP erwarten können (nein), kann das Einrichten von FTP an einem nicht standardmäßigen Port sogar die Sicherheit Ihres gesamten Setups beeinträchtigen .

Wenn Sie einen FTP-Server an einem nicht standardmäßigen Port auf demselben Host wie ein HTTP-Server ausführen, können Sie den FTP-Server verwenden, um in einigen Browsern XSS auf dem HTTP-Server auszuführen. Archivlink

IIRC funktioniert dies, indem die HTML + JS-Daten über HTTP an den FTP-Server gesendet werden, was der Browser zulässt, da sich der FTP-Server an einem nicht standardmäßigen Port befindet. Daher weiß der Browser nicht, dass es sich um FTP handelt, und sieht keinen Grund, dies nicht zuzulassen . Der FTP-Server antwortet dann mit Fehlermeldungen, die die ungültigen Daten enthalten, die veröffentlicht wurden. Die Antwort enthält keine HTTP-Header, dies führt jedoch nur dazu, dass der Browser davon ausgeht, dass es sich um eine HTTP/0.9-Antwort handelt. Der Server hat Ihnen also nur eine Antwort gegeben, die die von Ihnen gesendeten Nutzdaten enthält. Zumindest ältere Versionen von IE haben den Port für die Same-Origin-Policy ignoriert, sodass Sie XSS zur Hand haben, ohne auf der HTTP-Seite etwas falsch zu machen.

Ich bin mir nicht sicher, wie viel davon in modernen Browsern gemildert wurde (HTTP/0.9-Unterstützung fallen lassen, alle HTTP/0.9-Antworten als Text/Plain interpretieren, das Port-Ding im IE reparieren usw. usw.), aber es zeigt es definitiv dass es an anderer Stelle unbeabsichtigte Konsequenzen haben kann. (Und hat immer noch, zumindest wenn ein Benutzer einen älteren IE verwendet)

Was das kleinere Übel ist, automatische Scans oder XSS für [zumindest] einige ältere Browser: Alter, lass einfach die ganze FTP-Sache schon fallen :)

2
Aleksi Torhamo

Kurzgeschichte: Das Ändern des Ports ist nicht der richtige Weg, um einen Dateiübertragungsdienst zu sichern.

Nun zu einer ausführlicheren Erklärung. Wenn Sie keinen Grund haben, einen FTP-Server auf einem Computer zu haben, ist es am sichersten, keinen unabhängig vom Port zu haben. Ein FTP-Server ist bis auf einen öffentlichen Dateidienst selten erforderlich. Es gehört zu den ältesten Protokollen in der TCP/IP-Welt und zielt nur auf den Austausch von Dateien ab. Wenn Sie beide Enden der Verbindung steuern, anders gesagt, wenn alle Benutzer, die sie verwenden, dem System mit einem Benutzernamen und einem Kennwort bekannt sind, sollten Sie sftp verwenden, was ein spezieller Anwendungsfall von ssh ist. Da es auf ssh aufbaut, sind alle Austausche vollständig verschlüsselt und bieten sofort ein hochsicheres Authentifizierungssystem mit öffentlichem Schlüssel. Natürlich können einige Browser nicht mehr verwendet werden (Filezilla wird es dank @ dave_thompson_085 tun, um es zu bemerken), aber die Verwendung eines echten Passworts mit einem normalen FTP-Server über eine Internetverbindung ist hem ... schlecht Sicherheitspraxis, da sie unverschlüsselt übergeben wird. Kurz gesagt mach das nicht ! Auf jeden Fall können Sie SFTP-GUI-Clients finden.

FTP wird immer noch häufig für öffentliche Dateiserver verwendet. Sie können solide Implementierungen finden, die stark getestet wurden (was bedeutet, dass Implementierungsfehler unwahrscheinlich sind) und über nette Funktionen wie die Möglichkeit verfügen, eine unterbrochene Übertragung neu zu starten, ohne das zu verlieren, was bereits heruntergeladen wurde. Aus diesem Grund sind alle wichtigen Linux- und BSD-Distributionen auf FTP-Servern zu finden. Aber ich habe seit Jahrzehnten keinen FTP-Server mehr auf meinen eigenen Computern ...

Und nur für die mögliche Erhöhung der Sicherheit durch die Verwendung eines nicht standardmäßigen Ports sollten Sie Ihre Illusionen vergessen: Ein Port-Scan könnte dies bald aufdecken, ohne von einem einfachen promiskuitiven Paketscanner irgendwo im Netzwerk zu sprechen. Was noch schlimmer ist, Anfänger-Administratoren könnten versucht sein, einen schnell konfigurierten FTP-Server auf einem nicht standardmäßigen Port für den eigenen Gebrauch zu installieren und zu sagen, dass niemand wird ihn dort finden, damit ich keine Zeit damit verbringe, ihn zu sichern. Das tatsächliche Ergebnis ist:

  • ein einfacher Port-Scan kann dies aufdecken
  • da der Datenverkehr unverschlüsselt ist, sieht jeder Computer auf dem Weg mit dem Promicuous-Mode-Scanner den Benutzer und das Kennwort ohne Warnung => Stellen Sie sich vor, was passieren kann, wenn die Anmeldeinformationen Administratorrechte gewähren ...

Wenn Sie einen bekannt Port ändern, können Benutzer hinter einem Unternehmens-Proxy wahrscheinlich nicht auf Ihren Server zugreifen.

WICHTIGE NOTIZ

Dieser Teil bezieht sich nicht direkt auf die Frage selbst, sondern auf die allgemeine Bestätigung: FTP ist unsicher, verwenden Sie es nicht, was nicht korrekt ist.

FTP wurde als sicheres Protokoll mit sicherer Authentifizierung vor ssh verwendet. Es ist wahr, dass dies jetzt selten auf diese Weise verwendet wird, aber Einmalkennwort ist eine Möglichkeit, das Risiko gestohlener Anmeldeinformationen zu verringern. Natürlich kann jeder in einem Netzwerk das Passwort sehen, aber sobald es verwendet wurde, wird es sofort widerrufen. Ich habe das in den 80ern intensiv genutzt und wäre immer noch zuversichtlich in OPIE oder OTPW für eine sichere Verbindung über ungesicherte Leitungen. Auch wenn ich zustimmen muss, dass ich jetzt sftp und ssh anstelle von telnet + ftp + OPIE verwende :-)

Was ich sagen möchte ist, dass FTP an sich nicht unsicher ist und sicher verwendet werden kann. Die einfache Verwendung von FTP ist im Allgemeinen unsicher.

2
Serge Ballesta

Dies hängt vom Bedrohungsmodell ab

Im Falle von Verkehrsschnüffeln macht das Ändern des Ports keinen Unterschied. Es hilft kaum gegen einen menschlichen Hacker, der versucht, die Schwachstellen des Systems zu analysieren.

Es hilft gegen automatische Mechanismen (Botnets, Würmer), da diese tendenziell Standardports annehmen.

2
enkryptor

Ihre Frage ist wirklich zwei Fragen. Zum einen geht es um die Sicherheit bei der Verwendung von FTP und zum anderen um die Vorteile des Änderns des Standardports für ein Netzwerkprotokoll.

Einige Leute werden argumentieren, dass das Ändern des Standardports ein Beispiel für Sicherheit durch Dunkelheit ist. Dies gilt jedoch nur, wenn dies die einzige Sicherheitskontrolle ist, die Sie eingerichtet haben. Das Ändern des Standardports kann eine legitime Sicherheitskontrolle sein, jedoch nur, wenn es auch mit anderen Sicherheitskontrollen kombiniert wird. Es ist wahr, dass es keine besonders starke Kontrolle ist und jeder mit einem moderaten Kenntnisstand wahrscheinlich den neuen Port finden wird, den Ihr Protokoll abhört. Es handelt sich jedoch um eine zusätzliche Schutzschicht, auch wenn nur eine dünne variiert, und bei der Sicherheit dreht sich alles um Schutzschichten. Es kann eine erfahrene Person nicht davon abhalten, in Ihr System einzudringen, aber es kann viele automatisierte oder einfache skriptbasierte Angriffe stoppen.

Der Nachteil solcher Ansätze ist, dass sie sich auf die Benutzerfreundlichkeit auswirken. Jeder legitime Benutzer des Dienstes muss nun den neuen Port kennen und wahrscheinlich zusätzliche Befehlszeilen- oder Konfigurationseinstellungen verwenden, um Ihren Dienst zu nutzen. In einigen Situationen mag dies in Ordnung sein, in anderen ist es nur unpraktisch oder verwirrend. Es hängt wirklich von Ihrer Situation ab und wovor Sie sich schützen möchten.

Beispielsweise werde ich meinen SSH-Dienst häufig von Port 22 auf einen anderen Port verschieben. Dies hat zwar nur minimale Auswirkungen auf die Sicherheit, hat jedoch den Vorteil, dass die große Anzahl automatisierter Skripts vermieden wird, die sehr vereinfachte Versuche versuchen, auf mein System zuzugreifen, das Rauschen in meinen Protokollen verringert und möglicherweise nur minimale Auswirkungen auf die Dienste hat ( An einem Ort, an dem ich arbeitete, gab es durchschnittlich 30.000 Versuche, mich an Port 22 pro Tag anzumelden. Da ich der einzige Benutzer war, der berechtigte Gründe hatte, SSH für die Verbindung mit diesem System zu verwenden, war das Ändern des Standardports mit minimalen Unannehmlichkeiten verbunden. Sobald ich auf den anderen Port gewechselt war, wurden nur einige Versuche pro Woche angezeigt. Dies war jedoch bei SSH der Fall, das standardmäßig sicher ausgelegt ist. FTP ist eine andere Geschichte.

Wenn Sie im Fall von FTP nichts anderes tun, als den Standardport zu verschieben, ist dies Sicherheit durch Unklarheit und hat nur geringe Auswirkungen auf die Gesamtsicherheit. Dies verringert die Benutzerfreundlichkeit und behebt die grundlegenden Schwachstellen von FTP nicht. Die grundlegende Sicherheit Ihres Systems wird nicht wesentlich verbessert, da es trivial ist, einen Port-Scan durchzuführen und den neuen Port zu identifizieren, den der FTP-Dienst überwacht.

Wie in einigen anderen Beiträgen und Kommentaren erwähnt, besteht das eigentliche Problem darin, dass FTP einfach ein unsicheres Protokoll ist. Es gibt eine Reihe von funktional äquivalenten Alternativen. Wenn Sie sich also Sorgen um die Sicherheit machen, ist es am besten, kein FTP zu verwenden. Es gibt Versionen von FTP und Möglichkeiten zum Konfigurieren von FTP, die es sicherer machen können. In hohem Maße handelt es sich jedoch um "nachträgliche" Ergänzungen/Erweiterungen des Protokolls, die wahrscheinlich immer noch nicht so sicher sind wie ein Protokoll mit Sicherheit von Anfang an eingebaut. Die eigentliche Antwort, wenn Sicherheit ein Problem darstellt, besteht darin, keine alten Protokolle wie FTP und Telnet zu verwenden. Verwenden Sie Dinge wie SCP oder sogar SFTP und SSH oder sogar HTTPS.

2
Tim X

Ich denke, andere Antworten haben nicht klargestellt, dass in den allermeisten Fällen im Internet der Hacking-Verkehr von Bots stammt, die bekannte Ports nach bekannten Diensten (wie FTP-Port 21) durchsuchen und nur dann handeln, wenn der Scan etwas Nützliches zurückgibt (wie ein FTP-Server). Sie sollten sich wahrscheinlich keine Sorgen machen, es sei denn, Ihr Server ist wahrscheinlich das Ziel menschlicher Hacker.

Ist FTP im Allgemeinen sicher? Nr.

Sollten Sie es öffentlich zugänglich machen? Nr.

Wenn Sie es an Port 21 einer öffentlichen IP verwenden, stiehlt ein Bot Ihre Daten? möglicherweise.

Wenn Sie es an einem nicht standardmäßigen Port einer öffentlichen IP verwenden, stiehlt ein Hacker Ihre Daten oder gefährdet er Ihre Daten? wahrscheinlich nicht.

1
js441