it-swarm.com.de

Besteht für ein Netzwerk ein Risiko, wenn es den FTP-Zugriff auf Websites von Drittanbietern ermöglicht?

Ich konnte keinen FTP-Zugang zu meiner Website im Netzwerk meiner Hochschule herstellen. (Das College hat ein Cyberoam-Firewall-Newtork). Es würde zu einem Zeitpunkt fehlschlagen, an dem die Verzeichnisliste andernfalls angezeigt würde. Ich habe später herausgefunden, dass das College die FTP-Ports standardmäßig blockiert. Ich ging zu den IT-Mitarbeitern und bat sie, die FTP-Ports (21 und 22) für meine Website freizugeben. Sie bestritten, dass dies zu Sicherheitsbedenken führen könnte.

Besteht für das Netzwerk tatsächlich ein Risiko, wenn der FTP-Zugriff auf Websites von Drittanbietern zugelassen wird? Kann ein Newtwork per FTP aus der Ferne kompromittiert werden? Gibt es irgendwelche Lücken?

1
Dilip Raj Baral

Es ist wahrscheinlich, dass sie nicht die Zeit damit verbringen möchten, alle möglichen Sicherheitsprobleme zu berücksichtigen, sodass Ihre Anfrage abgelehnt wurde. Netzwerkadministratoren stehen unter großem Druck, ein sicheres Netzwerk gegen unbekannte Bedrohungen zu unterhalten.

Sie sollten einen Server oder Dienst verwenden, mit dem Sie eine Verbindung über Port 80 oder 443 herstellen können, der Ihren Datenverkehr dann jedoch an 21, 22 weiterleitet.

4
JMC

FTP ist ein hässliches Protokoll, da es dynamische Ports verwendet, für die entweder eine offene Firewall oder eine bestimmte Konfiguration innerhalb der FTP-Clients erforderlich ist. Außerdem werden Anmeldeinformationen standardmäßig in Klarschrift gesendet, und die verschlüsselte Version von FTPS verursacht noch mehr Probleme mit Firewalls. Gemeinsam hassen Firewall-Administratoren das Protokoll und lehnen aus Sicherheitsgründen Anfragen ab, es zuzulassen.

Ansonsten war Ihre Anfrage nach Port 21,22 falsch: Während Port 21 die FTP-Kontrollverbindung ist, ist Port 22 für SSH und hat nichts mit FTP zu tun. Es gibt jedoch SFTP, bei dem es sich um eine Dateiübertragung über SSH handelt. Dies unterscheidet sich grundlegend von FTPS, bei dem FTP und SSL aktiviert sind.

Port 21 reicht jedoch nicht aus, um FTP-Verbindungen herzustellen. Im aktiven FTP-Modus müssen Sie auch beliebige Verbindungen vom Server-Port 20 zurück zum Client zulassen und im passiven FTP-Modus müssen Sie Verbindungen von beliebigen Ports auf dem Client zu - zulassen. beliebige Ports auf dem Server. Die Firewall verfügt möglicherweise über einen FTP-Proxy oder -Helfer, um dies zu umgehen und restriktivere Richtlinien zu erhalten. Die Verwendung ist jedoch begrenzt und funktioniert normalerweise nicht mit FTPS, sodass Kennwörter im Nur-Text-Format übertragen werden.

Vielleicht ergibt sich aus dieser Beschreibung, warum das FTP-Protokoll von Firewall-Administratoren als unsicher eingestuft und gehasst wird. Ich würde vorschlagen, dass Sie stattdessen zu SSH/SFTP wechseln (benötigt nur Port 22) oder WebDAV verwenden (funktioniert mit Standard-HTTP/HTTPS-Ports).

Übrigens, wenn Sie Sicherheitsfragen haben, erhalten Sie unter security.stackexchange.com möglicherweise bessere Antworten.

3
Steffen Ullrich