Guía de puertos FTP: transferencia de archivos en los puertos 20 y 21

FTP separa los comandos de los datos del archivo. El cliente se conecta al servidor en TCP 21, inicia sesión y envía comandos como listar, recuperar, almacenar, cambiar nombre o eliminar. Los listados de archivos y las transferencias utilizan una conexión de datos separada.

Ese diseño tenía sentido en redes más antiguas, pero crea problemas con NAT, firewalls y grupos de seguridad en la nube. Un verificador de puertos puede mostrar si se puede acceder al puerto 21, pero una transferencia de archivos exitosa también depende del canal de datos permitido.

En FTP activo, el cliente se conecta al puerto de control del servidor, luego el servidor abre una conexión de datos con el cliente. Esa conexión inversa a menudo falla a través de NAT o firewalls de cliente estrictos.

En FTP pasivo, el cliente abre tanto la conexión de control como la conexión de datos al servidor. El modo pasivo es más común para FTP con acceso a Internet, pero el servidor debe publicar un rango de puertos pasivos definido y los firewalls deben permitir ese rango.

El FTP simple no cifra nombres de usuarios, contraseñas, comandos ni contenidos de archivos. FTPS agrega TLS a FTP, pero aún mantiene el control FTP y el modelo de canal de datos. SFTP es diferente: se ejecuta a través de SSH, generalmente en TCP 22, y no utiliza puertos FTP.

Para nuevas implementaciones, SFTP suele ser más sencillo de controlar y operar. Es posible que se requiera FTPS para la compatibilidad con socios. El FTP simple debe limitarse a flujos de trabajo heredados aislados o reemplazarse cuando sea posible.

Abra FTP solo cuando un socio, dispositivo, aplicación o flujo de trabajo heredado no pueda usar SFTP, FTPS, carga HTTPS, almacenamiento de objetos o un servicio de transferencia de archivos administrado. Los ejemplos comunes incluyen fuentes EDI antiguas, escáneres, dispositivos integrados e integraciones de proveedores.

Evite el FTP público anónimo a menos que proporcione intencionalmente archivos públicos y tenga controles de carga estrictos. Con frecuencia se abusa del FTP grabable expuesto a Internet para la preparación de malware, el robo de datos y el uso indebido del almacenamiento.

Antes de permitir FTP, decida si el servidor utilizará el modo activo, el modo pasivo o ambos. Defina el rango de puertos pasivos, la dirección IP externa, el modelo de aislamiento de usuarios, el comportamiento de chroot o jail, el registro, las cuotas y si se requiere TLS.

Una verificación de TCP en el puerto 21 confirma solo la ruta de control. Pruebe cargas y descargas reales desde fuera de la red porque el rango pasivo, la inspección NAT, TLS y los permisos del sistema de archivos aún pueden interrumpir las transferencias.

En Windows Server, IIS FTP puede proporcionar FTP o FTPS. Configure el aislamiento de usuarios, la política TLS, el rango de puertos pasivos, las reglas de firewall y la configuración de IP externa si el servidor está detrás de NAT.

En Linux, servidores como vsftpd, ProFTPD y Pure-FTPd son comunes. Configure usuarios locales o usuarios virtuales, comportamiento de chroot, rango de puertos pasivos, certificados TLS si usa FTPS y reglas de firewall del host para TCP 21 más los puertos de datos.

En servidores en la nube, permita solo las fuentes requeridas cuando sea posible. Abra TCP 21 y el rango pasivo en el grupo de seguridad de la nube y el firewall del host. Si no puede definir un rango pasivo estrecho, será difícil proteger FTP de forma limpia.

Comience con una verificación del puerto externo para TCP 21. Si el puerto de control está abierto, pruebe con un cliente FTP real desde fuera de la red. Confirme el inicio de sesión, el listado de directorios, la carga, la descarga, el cambio de nombre y el comportamiento de eliminación según corresponda.

Si el inicio de sesión funciona pero la lista de directorios o las transferencias se bloquean, inspeccione la configuración del modo pasivo, el rango de puertos pasivos, la publicidad de IP externa, NAT, los grupos de seguridad en la nube y la configuración de TLS. Muchas fallas de FTP son fallas del canal de datos, no fallas del puerto 21.

Si el puerto 21 está cerrado, el servicio FTP puede detenerse, vincularse a una interfaz privada, bloquearse por un firewall del host o denegarse por un grupo de seguridad en la nube. Si el puerto 21 está abierto pero las transferencias fallan, los puertos pasivos o NAT son los primeros lugares a verificar.

Si la autenticación falla, inspeccione el formato del nombre de usuario, la política de contraseñas, el bloqueo de cuentas, los permisos chroot, la propiedad del sistema de archivos, los requisitos de TLS y los registros del servidor. Si solo fallan algunos clientes, compare el modo activo con el pasivo y si el cliente está detrás de una NAT restrictiva.

Evite el FTP simple para credenciales o archivos privados. Utilice FTPS o SFTP cuando sea posible, deshabilite la carga anónima, restrinja las IP de origen, aísle a los usuarios, establezca cuotas y mantenga registros de transferencia detallados.

Si el FTP debe permanecer público, parchee el servidor, limite los puertos pasivos, supervise los inicios de sesión fallidos y el volumen de carga, escanee los archivos cargados y elimine las cuentas obsoletas. Trate el FTP como una excepción heredada con un propietario y un plan de migración.