È più sicuro usare una porta diversa da 21 per FTP?

28

Di solito (per quanto ne so), FTP usa la porta 21.

Poiché questa porta viene utilizzata spesso per FTP, è più sicuro usare un'altra porta? La mia ipotesi è che se qualcuno con intenzioni malevoli cerca di violare gli account FTP, proveranno la porta 21.

    
posta Kevin 18.08.2016 - 15:46
fonte

9 risposte

62

Non è sicuro usare ftp su qualsiasi porta. Coloro che hanno intenzioni malevole di entrare nella rete o nel sistema non eseguiranno la scansione del sistema per la porta 21 ma per tutte le porte e calcoleranno l'altra porta praticamente in pochissimo tempo.

Stai meglio con sftp come strumento per il trasferimento dei file.

D'altra parte, hai la possibilità di aggiungere un po 'di sicurezza ai tuoi trasferimenti e alle tue porte ftp se invece lo usi su un tunnel VPN.

    
risposta data 18.08.2016 - 16:12
fonte
35

Il motivo per cui FTP è generalmente considerato non sicuro è perché non è crittografato, il che significa che se qualcuno sta sniffando il traffico ovunque nel percorso di rete, allora tutto ciò che lo attraversa può essere letto. Ciò include il nome utente, la password, tutti i dati trasferiti, e quale porta viene utilizzata .

L'uso di una porta non standard non aumenterà la sicurezza, ma potrebbe ridurre il numero di bot che tentano di connettersi ad esso, il che fastidiosamente riempie i log di rete.

    
risposta data 18.08.2016 - 16:39
fonte
12
  1. Se il server FTP viene sempre aggiornato, di solito ciò significa che non ci saranno exploit noti contro quella applicazione. D'altra parte, se il server non è aggiornato, rischi i robot che eseguono la scansione di vulnerabilità note che altrimenti sarebbero state corrette.

  2. Se il server FTP è configurato male, ad esempio con un nome utente / password predefinito, o una password debole su un account trascurato (o privilegiato), un attacco a forza bruta può facilmente essere in grado di passare.

Quindi, ora che conosci i due attacchi più comuni, per rispondere in modo specifico alla tua domanda, sì, un numero di porta non predefinito ridurrà la probabilità di un simile attacco, in particolare per quei robot che eseguono la scansione di vulnerabilità.

Questo è spesso considerato Security Through Obscurity ed è disapprovato a causa del suo effetto limitato, ma non si può negare che esso migliori la sicurezza in una certa misura, specialmente contro gli scanner di vulnerabilità dei robot. Probabilmente non tanto contro un attacco mirato.

Suggerimenti:

  • Cambiare la porta predefinita è una cosa semplice che puoi fare se non sei sicuro della sicurezza così com'è.
  • La cosa migliore da fare con un servizio FTP è limitare gli indirizzi IP che possono accedervi. Questo impedisce la scansione delle vulnerabilità. Ad esempio, è probabile che ci siano solo alcuni edifici nel mondo che useresti per accedere al server FTP. Non è necessario consentire l'accesso da qualsiasi altro indirizzo IP.

  • È altamente consigliato di smettere di usare FTP e passare a SFTP (SSH) per proteggere le tue credenziali dall'uscire. L'FTP non è crittografato e, sebbene ciò non sia applicabile alla tua domanda, è molto rischioso utilizzare una connessione non criptata per qualsiasi cosa eccetto l'accesso LAN in loco.

  • Considera anche l'utilizzo di una VPN, che ti garantisce un accesso LAN remoto sicuro.

risposta data 18.08.2016 - 16:18
fonte
4

Sì, anche se solo in un modo molto minore.

Con qualsiasi valutazione del rischio c'è il fattore costo rispetto alla sicurezza fornita.

Quando sposti FTP su una porta non standard, ridurrai i tentativi in entrata con frutta bassa sospesa. In altre parole, i script kiddies che provano un elenco di dizionari solo sulla porta 21 non saranno più considerati aggressori. In questo modo è più sicuro.

Il costo è comunque che tutti i firewall (inclusi alcuni al di fuori del tuo controllo) potrebbero dover essere regolati. I client avranno bisogno di modificare le impostazioni e gli utenti dovranno seguire una procedura non standard. Queste sono piccole cose, ma il tuo guadagno è piccolo.

Solo su questi meriti, assenti tutti gli altri, è un richiamo ravvicinato (sulla questione vale la pena).

Detto questo, ci sono modi migliori per ottenere una maggiore sicurezza. Una lista bianca di indirizzi IP è economica e facile. Fornisce maggiore sicurezza rispetto al cambio di porta. L'accesso VPN per FTP è un altro percorso "facile" se hai già configurato VPN.

L'utilizzo di questi o altri metodi per proteggere l'FTP è generalmente "più economico" e più sicuro rispetto al semplice passaggio delle porte.

GRANDE NOTA IMPORTANTE SUPER

Sebbene l'FTP abbia i suoi usi, non dovrebbe essere considerato sicuro. Utilizza invece SFTP .

    
risposta data 18.08.2016 - 22:39
fonte
2

Dipende dal modello di minaccia

In caso di sniffering del traffico, la modifica della porta non fa alcuna differenza. Aiuta a malapena un hacker umano, cercando di analizzare le vulnerabilità del sistema.

Aiuterà contro i meccanismi automatici (botnet, worm), poiché tendono ad assumere porte standard.

    
risposta data 18.08.2016 - 18:38
fonte
2

Breve storia: cambiare porta non è la strada da percorrere per proteggere un servizio di trasferimento di file.

Ora per una spiegazione più approfondita. Se non hai motivo di avere un server FTP su una macchina, la cosa più sicura è non avere qualunque sia la porta . E un server FTP è raramente necessario ad eccezione di un servizio di file pubblico. È uno dei protocolli più vecchi nel mondo TCP / IP ed è finalizzato esclusivamente allo scambio di file. Se controlli entrambi gli estremi della connessione, detto in modo diverso se tutti gli utenti che lo useranno sono noti al sistema con un nome utente e una password, allora dovresti usare sftp che è un caso di uso speciale di ssh. Poiché è costruito su ssh, tutti gli scambi sono completamente crittografati e fornisce immediatamente un sistema di autenticazione a chiave pubblica altamente sicuro. Certo, alcuni browser non saranno più utilizzabili (Filezilla, grazie a @ dave_thompson_085 per averlo notato), ma usando una vera password con un normale server FTP su una connessione Internet è em ... povera pratica di sicurezza perché è passata non criptata. In breve, non farlo ! Ad ogni modo puoi trovare i client sftp della GUI.

L'FTP è ancora pesantemente utilizzato per i file server pubblici. È possibile trovare implementazioni solide che sono state sottoposte a test approfonditi (il che significa che i difetti di implementazione sono improbabili) e sono dotati di funzionalità interessanti come la possibilità di riavviare un trasferimento interrotto senza perdere ciò che è già stato scaricato. A causa di ciò, tutte le principali distribuzioni Linux e BSD possono essere trovate su server FTP. Ma non ho più un server FTP sulle mie macchine da decenni ...

E proprio per il possibile aumento di sicurezza dell'utilizzo di una porta non standard, dimentica le tue illusioni: una scansione delle porte potrebbe rivelarlo presto, non parlando di un semplice scanner di pacchetti promiscuo in qualsiasi punto della rete. Ciò che è ancora peggio, gli amministratori principianti potrebbero essere tentati installando un server FTP configurato rapidamente su una porta non standard per il proprio uso dicendo che nessuno lo troverà quindi non spenderò più tempo a proteggerlo . Il risultato effettivo è questo:

  • una semplice scansione delle porte può rivelarlo
  • poiché il traffico non è crittografato, qualsiasi computer sulla strada che utilizza la modalità avanzata scanner visualizzerà l'utente e la password senza alcun avviso = > immagina cosa può succedere se le credenziali danno i privilegi di amministratore ...

È probabile che la modifica di una porta ben nota impedisca agli utenti dietro a un proxy aziendale di accedere al tuo server.

NOTA IMPORTANTE

Questa parte non è direttamente correlata alla domanda stessa, ma all'affermazione comune: FTP non è sicuro, non usarlo , che non è corretto.

FTP è stato utilizzato come protocollo sicuro con autenticazione sicura prima di ssh. È vero che ora viene usato raramente in questo modo, ma la password una tantum è un modo per mitigare il rischio di credenziali rubate. Ovviamente chiunque in una rete può vedere la password, ma non appena viene utilizzata viene immediatamente revocata. L'ho usato intensamente negli anni 80 ', e sarei comunque fiducioso in OPIE o OTPW per una connessione sicura su linee non protette. Anche se devo essere d'accordo che ora uso sftp e ssh invece di telnet + ftp + OPIE: -)

Quello che voglio dire è che l'FTP non è di per sé insicuro e può essere utilizzato in modo sicuro. L'uso semplicemente banale di FTP è generalmente pericoloso.

    
risposta data 18.08.2016 - 17:49
fonte
2

Mettendo da parte la questione se ridurrà la scansione automatica (sì), e se ci si può aspettare qualche sicurezza da FTP in entrambi i casi (no), impostare FTP su una porta non standard può anche danneggiare la sicurezza di la configurazione generale.

Se si sta eseguendo un server FTP su una porta non standard sullo stesso host di un server HTTP, è possibile utilizzare il server FTP per eseguire XSS sul server HTTP su alcuni browser. Link di archivio

IIRC funziona tramite il POSTing dei dati HTML + JS utilizzando HTTP sul server FTP, che il browser consente perché il server FTP si trova su una porta non standard, quindi il browser non sa che è FTP e non vede alcun motivo per non consentire questo. Il server FTP risponde quindi con messaggi di errore che contengono i dati non validi che sono stati pubblicati. La risposta non contiene intestazioni HTTP, ma ciò fa sì che il browser presuma che si tratti di una risposta HTTP / 0.9. Quindi, il server ti ha appena dato una risposta che contiene il payload che hai inviato. Almeno versioni precedenti di IE hanno ignorato la porta wrt. la politica Same-Origin, quindi hai XSS a portata di mano, senza fare nulla di sbagliato sul lato HTTP delle cose.

Non sono sicuro di quanto sia stato mitigato (abbandonando il supporto HTTP / 0.9, interpretando tutte le risposte HTTP / 0.9 come testo / plain, fissando la cosa port in IE, ecc. ecc.) nei browser moderni, ma mostra sicuramente che può avere conseguenze indesiderate altrove. (E ha ancora, almeno se un utente sta usando un IE più vecchio)

Per quanto riguarda il male minore, scansioni automatiche o XSS per [almeno] alcuni browser più vecchi: Amico, butta via l'intera cosa FTP già:)

    
risposta data 21.08.2016 - 01:42
fonte
2

La tua domanda è davvero due domande. Uno riguarda la sicurezza dell'uso di FTP e l'altro riguarda i vantaggi della modifica della porta predefinita per una rete protocollo.

Alcuni sostengono che la modifica della porta predefinita sia un esempio di sicurezza attraverso l'oscurità. Tuttavia, questo è vero solo se questa è l'unica sicurezza controllo che hai messo in atto. La modifica della porta predefinita può essere legittima controllo di sicurezza, ma solo se è anche combinato con altri sistemi di sicurezza controlli. È vero che non è un controllo particolarmente strong e nessuno con un livello moderato di conoscenza probabilmente troverai la nuova porta il tuo protocollo sta ascoltando. Tuttavia, è un ulteriore livello di protezione, anche se solo uno diverso sottile e la sicurezza è tutta una questione di livelli di protezione. Potrebbe non fermarsi una persona esperta che cerca di entrare nel tuo sistema, ma potrebbe fermarsi molti attacchi automatici o semplici basati su script.

Il rovescio della medaglia con tali approcci è che ha un impatto sull'usabilità. Qualsiasi utente legittimo del servizio ora avrà bisogno di conoscere la nuova porta e probabilmente dovrà usare altro riga di comando o impostazioni di configurazione per utilizzare il servizio. In alcune situazioni, questo può essere OK, ma in altri, sarà solo scomodo o confuso. esso dipende davvero dalla tua situazione e da cosa stai cercando di proteggere contro.

Ad esempio, sposterò spesso il mio servizio SSH dalla porta 22 a a porta diversa. Mentre questo ha solo un impatto minimo sulla sicurezza, ha il Beneficio di evitare il gran numero di script automatici vedo quale tentativo tentativi semplicistici di accedere al mio sistema, riduce il "rumore" nei miei log e forse ha un impatto minimo sui servizi (in un luogo in cui lavoravo, io Stavo vedendo una media di 30k tentativi di accedere alla porta 22 al giorno). Come io ero il solo utente con motivi legittimi per utilizzare SSH per connettersi a questo sistema, cambiando la porta predefinita ha avuto un inconveniente minimo e una volta mi sono trasferito al diverso porto, vedrei solo un paio di tentativi alla settimana. Tuttavia, questo era con SSH, che è progettato per essere sicuro di default. FTP è una storia diversa.

Nel caso dell'FTP, se non fai nient'altro che spostare la porta predefinita, quindi è la sicurezza attraverso l'oscurità e avrà un impatto poco variabile sicurezza generale - diminuirà l'usabilità e non farà nulla per affrontare il problema debolezze fondamentali in FTP. La sicurezza di base del tuo sistema non sarà migliorata di qualsiasi importo significativo in quanto è banale eseguire una scansione delle porte e identificare la nuova porta su cui è in ascolto il servizio FTP.

Come sottolineato da alcuni degli altri post e commenti, il vero problema è qui quell'FTP è semplicemente un protocollo insicuro. Ci sono un certo numero di funzionalità alternative equivalenti. Pertanto, se sei preoccupato per la sicurezza, il migliore corso d'azione è semplicemente non usare FTP. Ci sono versioni di FTP e modi per configurare FTP che può renderlo più sicuro, ma in larga misura, questi sono "dopo il fatto" aggiunte / estensioni al protocollo e probabilità di non esserlo ancora sicuro come un protocollo che aveva incorporato la sicurezza sin dall'inizio. Così la la vera risposta se la sicurezza è una preoccupazione è semplicemente non usare vecchi protocolli come FTP e Telnet. Usa cose come SCP o anche SFTP e SSH o persino HTTPS.

    
risposta data 19.08.2016 - 00:37
fonte
1

Penso che qualcosa che altre risposte non hanno chiarito è che nella stragrande maggioranza dei casi su Internet il traffico di hacker proviene da bot che scansionano le porte note per servizi noti (come la porta FTP 21) e agiscono solo se la scansione restituisce qualcosa di utile (come un server FTP). A meno che il tuo server non sia probabilmente il bersaglio di hacker umani, probabilmente non dovresti preoccuparti.

L'FTP è generalmente sicuro? No.

Dovresti usarlo in modo pubblicamente accessibile? No.

Se lo usi sulla porta 21 su un IP pubblico, un bot ruberà i tuoi dati? Potenzialmente.

Se lo usi su una porta non standard su un IP pubblico, un hacker ruberà i tuoi dati o comprometterà i tuoi dati? Probabilmente no.

    
risposta data 19.08.2016 - 23:09
fonte

Leggi altre domande sui tag