Sie sind hier: Home » Firewall » Hinweise für einzelne Protokolle und Anwendungen » Konfiguration von FTP-Servern

Konfiguration von FTP-Servern

Damit FTP-Server möglichst gezielt gefiltert werden können, sind u.U. Änderungen der Server-Konfiguration erforderlich.

Inhalt

Sicherheit und FTP

FTP gilt aus Sicht der Sicherheit als nicht mehr zeitgemäß. Diese Einschätzung gründet im Wesentlichen auf zwei Eigenschaften des Protokolls:

  • Benutzername und Passwort werden unverschlüsselt zwischen Client und Server übertragen; Es gibt zwar Erweiterungen, die es erlauben, die Daten zu verschlüsseln, diese sind jedoch nicht standardisiert.
  • Der Betrieb eines FTP-Servers hinter einer Firewall erfordert aufgrund der Eigenschaft von FTP, Ports zur Datenübertragung dynamisch zwischen Server und Client auszuhandeln, großzügige Freischaltungen, die die Schutzwirkung der Firewall für den Server stark herabsetzen.

FTP kann und sollte durch andere, sicherere Protokolle ersetzt werden, wie etwa WebDAV via HTTPS oder SFTP (SSH File Transfer Protocol).

Freischaltungen

Aus den o.g. Gründen werden FTP-Freischaltungen nur noch in sehr gut begründeten Ausnahmefällen eingerichtet.

Für FTP-Server innerhalb der Netze der Universität Stuttgart gibt es zwei Arten der Freischaltung:

  • Die TCP-Ports 21 und 1024 bis 65535 (große Freischaltung).
    Dies funktioniert immer, macht aber auch weitere Dienste zugänglich (z.B. Datenbank-Server), die dann Angriffen aus dem Internet ausgesetzt sind.
  • Die TCP-Ports 21 und 64512 bis 65535 (kleine Freischaltung).
    Dies erfordert eine Konfigurationsänderung auf dem Server. Nicht alle Server bieten eine solche Konfigurationsmöglichkeit.

Im Folgenden sind für verbreitete FTP-Server die notwendigen Änderungen aufgeführt.

Microsoft FTP Service

In neueren Versionen ist der Port Range konfigurierbar:

In älteren Version ist der FTP-Server von Microsoft vermutlich nicht hinreichend konfigurierbar. In diesem Fall ist eine große FTP-Server-Freischaltung erforderlich, die alle TCP-Ports von 1024 bis 65535 umfasst.

Achten Sie in diesem Fall darauf, dass Sie nicht benötigte TCP-Dienste deaktivieren, bevor Sie eine Freischaltung beantragen, da durch die große FTP-Server-Freischaltung auch andere TCP-Dienste aus dem Internet erreichbar werden.

OpenBSD ftpd

Aktuelle Versionen des FTP-Servers von OpenBSD nutzen für passives FTP standardmäßig die TCP-Ports 49152-65535. Darüberhinaus ist eine Konfiguration über die Sysctl Optionen net.inet.ip.porthifirst und net.inet.ip.porthilast möglich.

Achten Sie darauf, dass Sie nicht benötigte TCP-Dienste deaktivieren, bevor Sie eine Freischaltung beantragen, da durch die große FTP-Server-Freischaltung auch andere TCP-Dienste aus dem Internet erreichbar werden.

ProFTPD

Sie können eine kleine FTP-Server-Freischaltung beantragen, bei der nur die TCP-Ports 64512 bis 65535 geöffnet werden.

Zusätzlich ist auf Ihrem Server in der Datei proftpd.conf folgende Einstellung erforderlich:


PassivePorts 64512 65535

h2(#pureftpd).PureFTPd

Sie können eine kleine FTP-Server-Freischaltung beantragen, bei der nur die TCP-Ports 64512 bis 65535 geöffnet werden.

Zusätzlich muss PureFTPd mit dem Parameter


-p 64512:65535

aufgerufen werden. Dazu ist i.d.R. die Datei /etc/inetd.conf zu ändern.

Einige PureFTPd-Versionen verwenden auch eine Konfigurationsdatei. Falls diese verwendet wird, ist sie wie folgt anzupassen:


PassivePortRange 64512 65535

vsftpd

Sie können eine kleine FTP-Server-Freischaltung beantragen, bei der nur die TCP-Ports 64512 bis 65535 geöffnet werden.

Zusätzlich ist auf Ihrem Server in der Datei vsftpd.conf folgende Einstellung erforderlich:


pasv_min_port=64512
pasv_max_port=65535

WU-FTPD

Sie können eine kleine FTP-Server-Freischaltung beantragen, bei der nur die TCP-Ports 64512 bis 65535 geöffnet werden.

Zusätzlich ist auf Ihrem Server in der Datei ftpaccess folgende Einstellung erforderlich:


passive ports 0.0.0.0/0 64512 65535