FTP-Port-Anleitung: Dateiübertragung auf den Ports 20 und 21

FTP trennt Befehle von Dateidaten. Der Client stellt über TCP 21 eine Verbindung zum Server her, meldet sich an und sendet Befehle wie „Auflisten“, „Abrufen“, „Speichern“, „Umbenennen“ oder „Löschen“. Dateilisten und -übertragungen nutzen dann eine separate Datenverbindung.

Dieses Design war in älteren Netzwerken sinnvoll, verursacht jedoch Probleme mit NAT, Firewalls und Cloud-Sicherheitsgruppen. Ein Port-Checker kann zeigen, ob Port 21 erreichbar ist, eine erfolgreiche Dateiübertragung hängt aber auch davon ab, welcher Datenkanal zugelassen ist.

Bei aktivem FTP stellt der Client eine Verbindung zum Steuerport des Servers her, dann öffnet der Server eine Datenverbindung zurück zum Client. Diese umgekehrte Verbindung schlägt häufig durch NAT oder strenge Client-Firewalls fehl.

Beim passiven FTP öffnet der Client sowohl die Steuerverbindung als auch die Datenverbindung zum Server. Der passive Modus ist bei FTP mit Internetverbindung häufiger anzutreffen, der Server muss jedoch einen definierten passiven Portbereich veröffentlichen und Firewalls müssen diesen Bereich zulassen.

Einfaches FTP verschlüsselt keine Benutzernamen, Passwörter, Befehle oder Dateiinhalte. FTPS fügt TLS zu FTP hinzu, behält aber weiterhin die FTP-Steuerung und das Datenkanalmodell bei. SFTP ist anders: Es läuft über SSH, normalerweise auf TCP 22, und verwendet keine FTP-Ports.

Bei neuen Bereitstellungen ist SFTP oft einfacher zu Firewall und Betrieb. Aus Gründen der Partnerkompatibilität ist möglicherweise FTPS erforderlich. Einfaches FTP sollte auf isolierte Legacy-Workflows beschränkt oder nach Möglichkeit ersetzt werden.

Öffnen Sie FTP nur, wenn ein älterer Partner, ein Gerät, eine Anwendung oder ein Workflow SFTP, FTPS, HTTPS-Upload, Objektspeicher oder einen verwalteten Dateiübertragungsdienst nicht verwenden kann. Häufige Beispiele sind ältere EDI-Feeds, Scanner, eingebettete Geräte und Anbieterintegrationen.

Vermeiden Sie öffentliches anonymes FTP, es sei denn, es stellt absichtlich öffentliche Dateien bereit und verfügt über strenge Upload-Kontrollen. Im Internet verfügbares beschreibbares FTP wird häufig für das Staging von Malware, Datendiebstahl und Speichermissbrauch missbraucht.

Bevor Sie FTP zulassen, entscheiden Sie, ob der Server den aktiven Modus, den passiven Modus oder beides verwenden soll. Definieren Sie den passiven Portbereich, die externe IP-Adresse, das Benutzerisolationsmodell, das Chroot- oder Jail-Verhalten, die Protokollierung, Kontingente und ob TLS erforderlich ist.

Eine TCP-Prüfung anhand von Port 21 bestätigt nur den Kontrollpfad. Testen Sie echte Uploads und Downloads von außerhalb des Netzwerks, da passiver Bereich, NAT, TLS-Inspektion und Dateisystemberechtigungen Übertragungen immer noch unterbrechen können.

Auf Windows Server kann IIS FTP FTP oder FTPS bereitstellen. Konfigurieren Sie Benutzerisolation, TLS-Richtlinie, passiven Portbereich, Firewall-Regeln und externe IP-Einstellungen, wenn sich der Server hinter NAT befindet.

Unter Linux sind Server wie vsftpd, ProFTPD und Pure-FTPd üblich. Konfigurieren Sie lokale Benutzer oder virtuelle Benutzer, Chroot-Verhalten, passiven Portbereich, TLS-Zertifikate bei Verwendung von FTPS und Host-Firewall-Regeln für TCP 21 sowie die Datenports.

Lassen Sie auf Cloud-Servern nach Möglichkeit nur die erforderlichen Quellen zu. Öffnen Sie TCP 21 und den passiven Bereich in der Cloud-Sicherheitsgruppe und der Host-Firewall. Wenn Sie keinen engen passiven Bereich definieren können, wird es schwierig, FTP sauber zu sichern.

Beginnen Sie mit einer externen Portprüfung für TCP 21. Wenn der Steuerport offen ist, testen Sie mit einem echten FTP-Client von außerhalb des Netzwerks. Bestätigen Sie die Anmeldung, Verzeichnisauflistung, Upload, Download, Umbenennung und Löschverhalten entsprechend.

Wenn die Anmeldung funktioniert, die Verzeichnisliste oder Übertragungen jedoch hängen bleiben, überprüfen Sie die Einstellungen für den passiven Modus, den passiven Portbereich, die externe IP-Ankündigung, NAT, Cloud-Sicherheitsgruppen und TLS-Einstellungen. Bei vielen FTP-Fehlern handelt es sich um Datenkanalfehler, nicht um Port-21-Fehler.

Wenn Port 21 geschlossen ist, wird der FTP-Dienst möglicherweise gestoppt, an eine private Schnittstelle gebunden, von einer Host-Firewall blockiert oder von einer Cloud-Sicherheitsgruppe abgelehnt. Wenn Port 21 geöffnet ist, die Übertragung jedoch fehlschlägt, sollten zunächst passive Ports oder NAT überprüft werden.

Wenn die Authentifizierung fehlschlägt, überprüfen Sie das Format des Benutzernamens, die Kennwortrichtlinie, die Kontosperrung, die Chroot-Berechtigungen, den Besitz des Dateisystems, die TLS-Anforderung und die Serverprotokolle. Wenn nur einige Clients ausfallen, vergleichen Sie den aktiven mit dem passiven Modus und prüfen Sie, ob sich der Client hinter restriktivem NAT befindet.

Vermeiden Sie einfaches FTP für Anmeldeinformationen oder private Dateien. Verwenden Sie nach Möglichkeit FTPS oder SFTP, deaktivieren Sie anonyme Uploads, beschränken Sie Quell-IPs, isolieren Sie Benutzer, legen Sie Kontingente fest und führen Sie detaillierte Übertragungsprotokolle.

Wenn FTP öffentlich bleiben muss, patchen Sie den Server, begrenzen Sie passive Ports, überwachen Sie fehlgeschlagene Anmeldungen und Upload-Volumen, scannen Sie hochgeladene Dateien und entfernen Sie veraltete Konten. Behandeln Sie FTP als veraltete Ausnahme mit einem Eigentümer- und Migrationsplan.