Guia da porta FTP: transferência de arquivos nas portas 20 e 21

FTP separa comandos dos dados do arquivo. O cliente se conecta ao servidor no TCP 21, efetua login e envia comandos como listar, recuperar, armazenar, renomear ou excluir. As listagens e transferências de arquivos usam uma conexão de dados separada.

Esse design fazia sentido em redes mais antigas, mas cria problemas com NAT, firewalls e grupos de segurança em nuvem. Um verificador de porta pode mostrar se a porta 21 está acessível, mas uma transferência de arquivos bem-sucedida também depende da permissão do canal de dados.

No FTP ativo, o cliente se conecta à porta de controle do servidor e, em seguida, o servidor abre uma conexão de dados de volta ao cliente. Essa conexão reversa geralmente falha por meio de NAT ou firewalls de cliente rígidos.

No FTP passivo, o cliente abre tanto a conexão de controle quanto a conexão de dados com o servidor. O modo passivo é mais comum para FTP voltado para a Internet, mas o servidor deve publicar um intervalo de portas passivas definido e os firewalls devem permitir esse intervalo.

O FTP simples não criptografa nomes de usuários, senhas, comandos ou conteúdo de arquivos. O FTPS adiciona TLS ao FTP, mas ainda mantém o controle do FTP e o modelo de canal de dados. O SFTP é diferente: ele roda em SSH, geralmente em TCP 22, e não usa portas FTP.

Para novas implantações, o SFTP geralmente é mais simples de usar como firewall e operar. FTPS pode ser necessário para compatibilidade de parceiros. O FTP simples deve ser limitado a fluxos de trabalho legados isolados ou substituído quando possível.

Abra o FTP somente quando um parceiro, dispositivo, aplicativo ou fluxo de trabalho herdado não puder usar SFTP, FTPS, upload de HTTPS, armazenamento de objetos ou um serviço gerenciado de transferência de arquivos. Exemplos comuns incluem feeds EDI mais antigos, scanners, dispositivos incorporados e integrações de fornecedores.

Evite FTP público anônimo, a menos que ele esteja servindo intencionalmente arquivos públicos e tenha controles rígidos de upload. O FTP gravável exposto à Internet é frequentemente usado para teste de malware, roubo de dados e uso indevido de armazenamento.

Antes de permitir o FTP, decida se o servidor usará o modo ativo, o modo passivo ou ambos. Defina o intervalo de portas passivas, o endereço IP externo, o modelo de isolamento do usuário, o comportamento de chroot ou jail, o registro em log, as cotas e se o TLS é necessário.

Uma verificação TCP na porta 21 confirma apenas o caminho de controle. Teste uploads e downloads reais de fora da rede porque o intervalo passivo, NAT, inspeção TLS e permissões do sistema de arquivos ainda podem interromper as transferências.

No Windows Server, o FTP do IIS pode fornecer FTP ou FTPS. Configure o isolamento do usuário, a política TLS, o intervalo de portas passivas, as regras de firewall e as configurações de IP externo se o servidor estiver atrás de NAT.

No Linux, servidores como vsftpd, ProFTPD e Pure-FTPd são comuns. Configure usuários locais ou virtuais, comportamento chroot, intervalo de portas passivas, certificados TLS se estiver usando FTPS e regras de firewall do host para TCP 21 mais as portas de dados.

Em servidores em nuvem, permita apenas as fontes necessárias sempre que possível. Abra o TCP 21 e o intervalo passivo no grupo de segurança da nuvem e no firewall do host. Se você não conseguir definir um intervalo passivo estreito, será difícil proteger o FTP de forma limpa.

Comece com uma verificação de porta externa para TCP 21. Se a porta de controle estiver aberta, teste com um cliente FTP real de fora da rede. Confirme o login, listagem de diretório, upload, download, renomeie e exclua o comportamento conforme apropriado.

Se o login funcionar, mas a listagem de diretórios ou as transferências travarem, inspecione as configurações do modo passivo, intervalo de portas passivas, anúncio de IP externo, NAT, grupos de segurança de nuvem e configurações de TLS. Muitas falhas de FTP são falhas no canal de dados e não na porta 21.

Se a porta 21 estiver fechada, o serviço FTP poderá ser interrompido, vinculado a uma interface privada, bloqueado por um firewall de host ou negado por um grupo de segurança na nuvem. Se a porta 21 estiver aberta, mas as transferências falharem, as portas passivas ou NAT serão os primeiros locais a verificar.

Se a autenticação falhar, inspecione o formato do nome de usuário, política de senha, bloqueio de conta, permissões chroot, propriedade do sistema de arquivos, requisitos de TLS e logs do servidor. Se apenas alguns clientes falharem, compare o modo ativo com o passivo e se o cliente está protegido por NAT restritivo.

Evite FTP simples para credenciais ou arquivos privados. Use FTPS ou SFTP quando possível, desative o upload anônimo, restrinja IPs de origem, isole usuários, defina cotas e mantenha registros de transferência detalhados.

Se o FTP precisar permanecer público, corrija o servidor, limite as portas passivas, monitore logins com falha e volume de upload, verifique os arquivos carregados e remova contas obsoletas. Trate o FTP como uma exceção herdada com um proprietário e um plano de migração.