Sie sind hier: Home » Uni-Firewall » Hinweise für einzelne Protokolle und Anwendungen » Konfiguration von FTP-Servern

Konfiguration von FTP-Servern

Damit FTP-Server möglichst gezielt gefiltert werden können, sind u.U. Änderungen der Server-Konfiguration erforderlich.

Inhalt

Grundsätzliches
Microsoft FTP Service
OpenBSD ftpd
ProFTPD
PureFTPd
vsftpd
WU-FTPD

Grundsätzliches

Grundsätzlich gibt es zwei Möglichkeiten, FTP-Server freizuschalten:

Die TCP-Ports 21 und 1024 bis 65535 (“große Freischaltung”).
Dies funktioniert immer, macht aber auch weitere Dienste zugänglich (z.B. Datenbank-Server), die dann Angriffen aus dem Internet ausgesetzt sind.
Die TCP-Ports 21 und 64512 bis 65535 (“kleine Freischaltung”).
Dies erfordert eine Konfigurationsänderung auf dem Server. Nicht alle Server bieten eine solche Konfigurationsmöglichkeit.

Im Folgenden sind für verbreitete FTP-Server die notwendigen Änderungen aufgeführt.

Microsoft FTP Service

In neueren Versionen ist der Port Range konfigurierbar:

IIS 6 (Windows Server 2003): http://technet.microsoft.com/de-de/library/cc785729%28WS.10%29.aspx “Passive Connection Port Range”
IIS 7 (Windows Server 2008): http://technet.microsoft.com/de-de/library/dd722783.aspx

In älteren Version ist der FTP-Server von Microsoft vermutlich nicht hinreichend konfigurierbar. In diesem Fall ist eine große FTP-Server-Freischaltung erforderlich, die alle TCP-Ports von 1024 bis 65535 umfasst.

Achten Sie in diesem Fall darauf, dass Sie nicht benötigte TCP-Dienste deaktivieren, bevor Sie eine Freischaltung beantragen, da durch die große FTP-Server-Freischaltung auch andere TCP-Dienste aus dem Internet erreichbar werden.

OpenBSD ftpd

Aktuelle Versionen des FTP-Servers von OpenBSD nutzen für passives FTP standardmäßig die TCP-Ports 49152-65535. Darüberhinaus ist eine Konfiguration über die Sysctl Optionen net.inet.ip.porthifirst und net.inet.ip.porthilast möglich.

Achten Sie darauf, dass Sie nicht benötigte TCP-Dienste deaktivieren, bevor Sie eine Freischaltung beantragen, da durch die große FTP-Server-Freischaltung auch andere TCP-Dienste aus dem Internet erreichbar werden.

ProFTPD

Sie können eine kleine FTP-Server-Freischaltung beantragen, bei der nur die TCP-Ports 64512 bis 65535 geöffnet werden.

Zusätzlich ist auf Ihrem Server in der Datei proftpd.conf folgende Einstellung erforderlich:


PassivePorts 64512 65535

h2(#pureftpd).PureFTPd

Sie können eine kleine FTP-Server-Freischaltung beantragen, bei der nur die TCP-Ports 64512 bis 65535 geöffnet werden.

Zusätzlich muss PureFTPd mit dem Parameter


-p 64512:65535

aufgerufen werden. Dazu ist i.d.R. die Datei /etc/inetd.conf zu ändern.

Einige PureFTPd-Versionen verwenden auch eine Konfigurationsdatei. Falls diese verwendet wird, ist sie wie folgt anzupassen:


PassivePortRange 64512 65535

vsftpd

Sie können eine kleine FTP-Server-Freischaltung beantragen, bei der nur die TCP-Ports 64512 bis 65535 geöffnet werden.

Zusätzlich ist auf Ihrem Server in der Datei vsftpd.conf folgende Einstellung erforderlich:


pasv_min_port=64512
pasv_max_port=65535

WU-FTPD

Sie können eine kleine FTP-Server-Freischaltung beantragen, bei der nur die TCP-Ports 64512 bis 65535 geöffnet werden.

Zusätzlich ist auf Ihrem Server in der Datei ftpaccess folgende Einstellung erforderlich:


passive ports 0.0.0.0/0 64512 65535