Konfiguration von FTP-Servern
Damit FTP-Server möglichst gezielt gefiltert werden können, sind u.U. Änderungen der Server-Konfiguration erforderlich.Inhalt
- Sicherheit und FTP
- Freischaltungen
- Microsoft FTP Service
- OpenBSD ftpd
- ProFTPD
- PureFTPd
- vsftpd
- WU-FTPD
Sicherheit und FTP
FTP gilt aus Sicht der Sicherheit als nicht mehr zeitgemäß. Diese Einschätzung gründet im Wesentlichen auf zwei Eigenschaften des Protokolls:
- Benutzername und Passwort werden unverschlüsselt zwischen Client und Server übertragen; Es gibt zwar Erweiterungen, die es erlauben, die Daten zu verschlüsseln, diese sind jedoch nicht standardisiert.
- Der Betrieb eines FTP-Servers hinter einer Firewall erfordert aufgrund der Eigenschaft von FTP, Ports zur Datenübertragung dynamisch zwischen Server und Client auszuhandeln, großzügige Freischaltungen, die die Schutzwirkung der Firewall für den Server stark herabsetzen.
FTP kann und sollte durch andere, sicherere Protokolle ersetzt werden, wie etwa WebDAV via HTTPS oder SFTP (SSH File Transfer Protocol).
Freischaltungen
Aus den o.g. Gründen werden FTP-Freischaltungen nur noch in sehr gut begründeten Ausnahmefällen eingerichtet.
Für FTP-Server innerhalb der Netze der Universität Stuttgart gibt es zwei Arten der Freischaltung:
- Die TCP-Ports 21 und 1024 bis 65535 (große Freischaltung).
Dies funktioniert immer, macht aber auch weitere Dienste zugänglich (z.B. Datenbank-Server), die dann Angriffen aus dem Internet ausgesetzt sind. - Die TCP-Ports 21 und 64512 bis 65535 (kleine Freischaltung).
Dies erfordert eine Konfigurationsänderung auf dem Server. Nicht alle Server bieten eine solche Konfigurationsmöglichkeit.
Im Folgenden sind für verbreitete FTP-Server die notwendigen Änderungen aufgeführt.
Microsoft FTP Service
In neueren Versionen ist der Port Range konfigurierbar:
- IIS 6 (Windows Server 2003): https://technet.microsoft.com/de-de/library/cc785729%28WS.10%29.aspx “Passive Connection Port Range”
- IIS 7 und 8 (Windows Server 2008 R2): https://technet.microsoft.com/de-de/library/dd722783.aspx
In älteren Version ist der FTP-Server von Microsoft vermutlich nicht hinreichend konfigurierbar. In diesem Fall ist eine große FTP-Server-Freischaltung erforderlich, die alle TCP-Ports von 1024 bis 65535 umfasst.
Achten Sie in diesem Fall darauf, dass Sie nicht benötigte TCP-Dienste deaktivieren, bevor Sie eine Freischaltung beantragen, da durch die große FTP-Server-Freischaltung auch andere TCP-Dienste aus dem Internet erreichbar werden.
OpenBSD ftpd
Aktuelle Versionen des FTP-Servers von OpenBSD nutzen für passives FTP standardmäßig die TCP-Ports 49152-65535. Darüberhinaus ist eine Konfiguration über die Sysctl Optionen net.inet.ip.porthifirst
und net.inet.ip.porthilast
möglich.
Achten Sie darauf, dass Sie nicht benötigte TCP-Dienste deaktivieren, bevor Sie eine Freischaltung beantragen, da durch die große FTP-Server-Freischaltung auch andere TCP-Dienste aus dem Internet erreichbar werden.
ProFTPD
Sie können eine kleine FTP-Server-Freischaltung beantragen, bei der nur die TCP-Ports 64512 bis 65535 geöffnet werden.
Zusätzlich ist auf Ihrem Server in der Datei proftpd.conf
folgende Einstellung erforderlich:
PassivePorts 64512 65535
h2(#pureftpd).PureFTPd
Sie können eine kleine FTP-Server-Freischaltung beantragen, bei der nur die TCP-Ports 64512 bis 65535 geöffnet werden.
Zusätzlich muss PureFTPd mit dem Parameter
-p 64512:65535
aufgerufen werden. Dazu ist i.d.R. die Datei /etc/inetd.conf
zu ändern.
Einige PureFTPd-Versionen verwenden auch eine Konfigurationsdatei. Falls diese verwendet wird, ist sie wie folgt anzupassen:
PassivePortRange 64512 65535
vsftpd
Sie können eine kleine FTP-Server-Freischaltung beantragen, bei der nur die TCP-Ports 64512 bis 65535 geöffnet werden.
Zusätzlich ist auf Ihrem Server in der Datei vsftpd.conf
folgende Einstellung erforderlich:
pasv_min_port=64512 pasv_max_port=65535
WU-FTPD
Sie können eine kleine FTP-Server-Freischaltung beantragen, bei der nur die TCP-Ports 64512 bis 65535 geöffnet werden.
Zusätzlich ist auf Ihrem Server in der Datei ftpaccess
folgende Einstellung erforderlich:
passive ports 0.0.0.0/0 64512 65535