Eu possuo um servidor FTP, e preciso da porta 21 aberta, como mantê-la segura?

Navegue suas respostas
2

Eu estava pensando, porque eu preciso que minha porta 21 abra no meu roteador e meu firewall para que ele funcione, mas parece que ele está aberto para ataques. Existe alguma maneira de mantê-lo seguro? Felizmente, no meu roteador eu tenho a porta 21 aberta para somente o computador que tem o servidor ftp, de modo que não comprometa toda a minha rede, apenas o servidor ftp. Eu tenho o Windows XP, então me preocupa ainda mais porque mais ataques são feitos para o XP, tenho certeza.

    
por Nathaniel Hirschler 25.05.2011 / 22:52

3 respostas

4

O FTP é um risco de segurança porque transmite informações de login (incluindo senhas) em texto simples / claro, então você precisará envolvê-lo na criptografia. Se você precisar usar o FTP especificamente, o OpenVPN poderá envolvê-lo muito bem em um fluxo totalmente criptografado:

OpenVPN (gratuito e de código aberto)
link

Seu servidor e todos os clientes que precisam usar seu servidor FTP terão que ter o OpenVPN instalado.

Naturalmente, você pode achar mais fácil usar apenas uma das versões mais seguras do FTP conhecidas como SFTP ou FTPS, já que muitos clientes FTP possuem suporte interno para isso. Um realmente bom é o FileZilla, que fornece aplicativos cliente e servidor completos e independentes, e está em conformidade com os RFCs relevantes:

FileZilla (gratuito e de código aberto)
link

    
por 25.05.2011 / 23:10
3

Existem inúmeras soluções para este problema, com vários níveis de complexidade e conveniência.

  1. Senhas seguras nas contas acessíveis. Se você usa boas senhas, as chances são de que as pessoas não entrem a menos que haja alguma outra vulnerabilidade.
  2. Permitir o acesso FTP apenas a partir de determinados endereços IP. Se você sabe que acessará sua máquina apenas de locais específicos, permita que eles se conectem e bloqueiem todos os outros.
  3. Os sistemas Linux têm algo chamado DenyHosts que bloqueia IPs que parecem estar agindo de forma mal-intencionada em relação à sua máquina.
  4. O Port Knocking permitirá o acesso a uma porta somente após uma série de tentativas de conexão terem sido feitas em um conjunto predeterminado de portas. Por exemplo, tente conectar-se nas portas 20, 35, 16 e 1, depois a porta 21 será aberta. Não tenho certeza se existe uma implementação disso para o Windows ...

Boa sorte!

    
por 25.05.2011 / 23:15
0

O FTP na verdade requer duas portas, 21 é a porta de controle principal e 20 é para dados.

FTP é um protocolo estranho, foi criado bem cedo nos dias da Internet, antes de pensar em firewalls e segurança. Como tal, como projetado, é péssimo para o firewall.

O servidor ftp escuta na porta 21 para conexões de um cliente. Mas os dados passam por outra porta. No ftp 'clássico', o servidor abriria uma conexão da porta 20 no servidor para alguma porta efêmera no cliente. Hoje em dia você não pode fazer isso, uma conexão do servidor para um cliente seria bloqueada por um firewall ou indisponível por causa de um cliente NAT.

No FTP passivo, o servidor cria um novo soquete de escuta em alguma porta para o cliente se conectar. Agora você está tentando firewall algumas portas dinamicamente alteradas.

Isso e, como outros já mencionaram, a senha está em texto simples, eu sugiro strongmente http / https. É muito mais limpo, a menos que você realmente precise de ftp. Nesse caso, eu só colocaria as coisas que eu estaria confortável com ftp anônimo.

    
por 25.05.2011 / 23:28

Tags

Usando screenrc, como posso fazer 'C-a c' abrir uma nova janela no diretório de trabalho da janela atual? O Internet Explorer 9 não aceita cookies de sites da Intranet?