FTP-poortgids: bestandsoverdracht op poort 20 en 21

FTP scheidt opdrachten van bestandsgegevens. De client maakt verbinding met de server op TCP 21, logt in en verzendt opdrachten zoals lijst, ophalen, opslaan, hernoemen of verwijderen. Bestandsvermeldingen en overdrachten gebruiken dan een aparte dataverbinding.

Dat ontwerp was logisch in oudere netwerken, maar het veroorzaakt problemen met NAT, firewalls en cloudbeveiligingsgroepen. Een poortcontrole kan laten zien of poort 21 bereikbaar is, maar een succesvolle bestandsoverdracht hangt ook af van het toegestane datakanaal.

Bij actieve FTP maakt de client verbinding met de controlepoort van de server, waarna de server een gegevensverbinding opent met de client. Die omgekeerde verbinding mislukt vaak via NAT of strikte clientfirewalls.

Bij passieve FTP opent de client zowel de besturingsverbinding als de dataverbinding met de server. Passieve modus komt vaker voor bij internetgerichte FTP, maar de server moet een gedefinieerd passief poortbereik publiceren en firewalls moeten dat bereik toestaan.

Normale FTP codeert geen gebruikersnamen, wachtwoorden, opdrachten of bestandsinhoud. FTPS voegt TLS toe aan FTP, maar behoudt nog steeds het FTP-beheer en het datakanaalmodel. SFTP is anders: het draait via SSH, meestal op TCP 22, en maakt geen gebruik van FTP-poorten.

Voor nieuwe implementaties is SFTP vaak eenvoudiger te firewallen en te bedienen. FTPS kan vereist zijn voor partnercompatibiliteit. Gewone FTP moet worden beperkt tot geïsoleerde, verouderde workflows of waar mogelijk worden vervangen.

Open FTP alleen als een oudere partner, apparaat, applicatie of workflow geen gebruik kan maken van SFTP, FTPS, HTTPS-upload, objectopslag of een beheerde service voor bestandsoverdracht. Veel voorkomende voorbeelden zijn oudere EDI-feeds, scanners, embedded apparaten en leveranciersintegraties.

Vermijd openbare anonieme FTP, tenzij deze opzettelijk openbare bestanden aanbiedt en strenge uploadcontroles heeft. Beschrijfbare FTP die aan internet wordt blootgesteld, wordt vaak misbruikt voor het opvoeren van malware, gegevensdiefstal en misbruik van opslag.

Voordat u FTP toestaat, moet u beslissen of de server de actieve modus, de passieve modus of beide zal gebruiken. Definieer het passieve poortbereik, het externe IP-adres, het gebruikersisolatiemodel, chroot- of jail-gedrag, logboekregistratie, quota's en of TLS vereist is.

Een TCP-controle op poort 21 bevestigt alleen het besturingspad. Test echte uploads en downloads van buiten het netwerk, omdat passief bereik, NAT, TLS-inspectie en bestandssysteemrechten overdrachten nog steeds kunnen verbreken.

Op Windows Server kan IIS FTP FTP of FTPS bieden. Configureer gebruikersisolatie, TLS-beleid, passief poortbereik, firewallregels en externe IP-instellingen als de server zich achter NAT bevindt.

Op Linux zijn servers zoals vsftpd, ProFTPD en Pure-FTPd gebruikelijk. Configureer lokale gebruikers of virtuele gebruikers, chroot-gedrag, passief poortbereik, TLS-certificaten bij gebruik van FTPS en hostfirewallregels voor TCP 21 plus de datapoorten.

Sta op cloudservers waar mogelijk alleen de vereiste bronnen toe. Open TCP 21 en het passieve bereik in de cloudbeveiligingsgroep en hostfirewall. Als u geen smal passief bereik kunt definiëren, zal FTP moeilijk schoon te beveiligen zijn.

Begin met een externe poortcontrole voor TCP 21. Als de controlepoort open is, test dan met een echte FTP-client van buiten het netwerk. Bevestig het aanmeldings-, directoryvermelding-, upload-, download-, hernoem- en verwijdergedrag indien nodig.

Als het inloggen werkt, maar de directorylijst of de overdracht vastloopt, controleer dan de passieve modusinstellingen, het passieve poortbereik, externe IP-advertenties, NAT, cloudbeveiligingsgroepen en TLS-instellingen. Veel FTP-fouten zijn datakanaalfouten en geen poort 21-fouten.

Als poort 21 gesloten is, kan de FTP-service worden gestopt, gebonden aan een privé-interface, geblokkeerd door een hostfirewall of geweigerd door een cloudbeveiligingsgroep. Als poort 21 open is maar overdrachten mislukken, zijn passieve poorten of NAT de eerste plaatsen om te controleren.

Als de authenticatie mislukt, controleer dan het gebruikersnaamformaat, het wachtwoordbeleid, de accountvergrendeling, de chroot-machtigingen, het eigendom van het bestandssysteem, de TLS-vereisten en de serverlogboeken. Als slechts enkele clients falen, vergelijk dan de actieve versus passieve modus en of de client achter restrictieve NAT zit.

Vermijd gewone FTP voor inloggegevens of privébestanden. Gebruik indien mogelijk FTPS of SFTP, schakel anonieme uploads uit, beperk bron-IP's, isoleer gebruikers, stel quota's in en houd gedetailleerde overdrachtslogboeken bij.

Als FTP openbaar moet blijven, patch dan de server, beperk passieve poorten, controleer mislukte aanmeldingen en uploadvolume, scan geüploade bestanden en verwijder verouderde accounts. Behandel FTP als een oude uitzondering met een eigenaar- en migratieplan.