FTPパッシブポート範囲標準?
だから私はこれらすべてを設定する方法を知っています、そして指示のある他の多くの投稿があります。ただし、より具体的な質問があります。
パッシブFTPサーバーのリッスンに使用されるSTANDARDポート範囲はありますか?例えば、明らかに私は22-1000か何かをしたくありません。自分のマシンで実行されている他の知識を使用する以外に、使用するポートを決定するにはどうすればよいですか?私はここで、たとえば5000-5010の推奨範囲を見てきました。
また、ボーナスの質問。開くのに推奨されるポート数はありますか? Filezillaは、0〜65535の範囲全体を提供するだけで、使用する範囲やポートの数を示すガイダンスはありません(または私が見つけたものはありません)。
FTPプロトコル標準
RFC 959 に従って、リスニングFTPサーバー上のオープンデータチャネルポートを介してFTPサーバーに接続することを許可されている認証されていないアクセスに関して:
server-PI
サーバープロトコルインタープリターは、ユーザーPIからの接続をポートLで「リッスン」し、制御通信接続を確立します。ユーザーPIから標準のFTPコマンドを受信し、応答を送信して、サーバーDTPを管理します。
つまり、リスニングFTPサーバーは標準のFTPサーバープロトコルに従うことが期待されているため、FTPサーバーが認証を必要とする場合、選択した開いたパッシブポートでの接続のみが許可されます。ユーザーPI認証が確立された後のデータチャネル接続に使用します。
制御接続
コマンドと応答を交換するためのUSER-PIとSERVER-PI間の通信パス。この接続はTelnetプロトコルに従います。
[〜#〜] pi [〜#〜]
プロトコルインタプリタ。プロトコルのユーザー側とサーバー側には、ユーザーPIとサーバーPIに実装された異なる役割があります。
FTPセキュリティ
パケットを読み取ることができるものはすべてデータを見ることができるため、通信とデータ交換にプレーンFTPを使用することは安全ではありません。したがって、このレベルで暗号化を追加するには、 SSH FTP または FTP SSL の使用を検討してください。
さらに、 RFC 959 :
このプロトコルでは、データ転送の進行中に制御接続が開いている必要があります。 FTPサービスの使用が終了したときに制御接続の終了を要求するのはユーザーの責任ですが、アクションを実行するのはサーバーです。コマンドなしで制御接続が閉じられると、サーバーはデータ転送を中止する場合があります。
したがって、FTPサーバーが短いタイムアウト期間で構成されていることを確認してください。これにより、切断されたユーザーセッションとデータチャネルポートをすばやく閉じることができます。
ポートセキュリティ
40000-45000などの高いポート範囲の使用を検討し、ファイアウォールネットワークアプライアンスのルールを構成して、そのトラフィックのみをFTPサーバーに送信し、すべてのパケットをパケットスキャナーに通して侵入検知などを阻止するようにします。一般的な攻撃パターンなど。
可能であれば共通ポートを使用せず、 TCPおよびUDPポート番号 のリスト)を確認してください。
OSレベルのファイアウォールルールを使用してインターネットからアクセスできるようにするポートに対してFTPサーバーがさらにロックダウンされていることを確認し、不要なサービスを無効にし、他のサービスに使用するパッシブ範囲のポートを使用しないようにします。このサーバーでリッスンしています。
FileZilla FTPサーバーセキュリティ
Harden FileZilla FTP Server の投稿を読んで、これらのセキュリティ機能を利用してください。