Di solito (per quanto ne so), FTP usa la porta 21.
Dato che questa porta è usata per FTP così spesso, è più sicuro usare un'altra porta? La mia ipotesi è che se qualcuno con intenzioni dannose cerca di violare gli account FTP, proverà la porta 21.
Di solito (per quanto ne so), FTP usa la porta 21.
Dato che questa porta è usata per FTP così spesso, è più sicuro usare un'altra porta? La mia ipotesi è che se qualcuno con intenzioni dannose cerca di violare gli account FTP, proverà la porta 21.
Non è sicuro usare ftp su nessuna porta. Coloro che hanno un intento dannoso di entrare nella tua rete o sistema non scansioneranno il tuo sistema per la porta 21 ma per tutte le porte e individueranno l'altra porta praticamente in pochissimo tempo.
Sei meglio con sftp come strumento di trasferimento file.
D'altra parte, hai la possibilità di aggiungere un po 'di sicurezza ai tuoi trasferimenti ftp e alle porte se invece lo esegui su un tunnel VPN.
Il motivo per cui FTP è generalmente considerato insicuro è perché non è crittografato, il che significa che se qualcuno sta sniffando il traffico in qualsiasi punto del percorso di rete, allora tutto ciò che lo attraversa può essere letto. Ciò include il nome utente, la password, tutti i dati trasferiti, e la porta utilizzata .
L'uso di una porta non standard non aumenterà la sicurezza, ma potrebbe ridurre il numero di bot che tentano di connettersi ad esso, il che riempie fastidiosamente i log di rete.
Se il tuo server FTP è sempre aggiornato, di solito significa che non ci saranno exploit noti contro quell'applicazione. D'altra parte, se il server non è aggiornato, rischi che i robot eseguano la scansione alla ricerca di vulnerabilità note che altrimenti sarebbero state risolte.
Se il server FTP non funziona correttamente configurato, ad esempio con un nome utente / password predefiniti o una password debole su un account trascurato (o privilegiato), un attacco di forza bruta potrebbe essere facilmente in grado di passare.
Quindi ora conosci i due attacchi più comuni, per rispondere in modo specifico alla tua domanda, sì, un numero di porta non predefinito ridurrà la probabilità di un tale attacco, specialmente per quanto riguarda quei robot che stanno scansionando Internet alla ricerca di vulnerabilità.
Questo è spesso considerato Security Through Obscurity ed è disapprovato a causa del suo effetto limitato, ma non si può negare che migliora la tua sicurezza in una certa misura, specialmente contro gli scanner di vulnerabilità dei robot. Probabilmente non tanto contro un attacco mirato.
Suggerimenti:
La cosa migliore da fare con un servizio FTP è limitare gli indirizzi IP che possono accedervi. Ciò impedisce la scansione delle vulnerabilità. Ad esempio, è probabile che ci siano solo alcuni edifici nel mondo che useresti per accedere al server FTP. Non è necessario consentire l'accesso da qualsiasi altro indirizzo IP.
Si consiglia vivamente di smettere di utilizzare FTP e di passare a SFTP (SSH) per proteggere le tue credenziali dall'uscita. FTP non è crittografato e, sebbene ciò non sia applicabile alla tua domanda, è molto rischioso utilizzare una connessione non crittografata per qualsiasi cosa tranne che per l'accesso LAN in loco.
Considera anche l'utilizzo una VPN, che ti offre un accesso LAN remoto sicuro.
Sì, anche se solo in modo molto minore.
Con qualsiasi valutazione del rischio c'è il fattore costo rispetto alla sicurezza fornita.
Quando si sposta FTP su un porta standard, ridurrai i tentativi in arrivo di frutta bassa. In altre parole, gli script kiddies che cercano un elenco di dizionari solo sulla porta 21 non saranno più considerati attaccanti. In questo modo è più sicuro.
Tuttavia, il costo è che tutti i firewall (inclusi alcuni al di fuori del tuo controllo) potrebbero dover essere modificati. I clienti dovranno modificare le impostazioni e gli utenti dovranno seguire una procedura non standard. Queste sono piccole cose, ma il tuo guadagno è piccolo.
Solo per questi meriti, assente per tutti gli altri, è una chiamata ravvicinata (sulla domanda se ne vale la pena).
Detto questo , ci sono modi molto migliori per ottenere una maggiore sicurezza. Una lista bianca di indirizzi IP è economica e facile. Fornisce più sicurezza rispetto al cambio di porta. L'accesso VPN per FTP è un altro percorso "facile" se si dispone già di una configurazione VPN.
L'utilizzo di questi o altri metodi per proteggere l'FTP è generalmente "più economico" e più sicuro rispetto al semplice cambio di porta.
GRANDE NOTA SUPER IMPORTANTE
Sebbene FTP abbia i suoi usi, non dovrebbe essere considerato sicuro. Utilizza invece SFTP.
Breve storia: cambiare la porta non è la strada da percorrere per proteggere un servizio di trasferimento file.
Ora per una spiegazione più approfondita. Se non hai motivo di avere un server FTP su una macchina, la cosa più sicura è non averne nessuno qualunque sia la porta . E un server FTP è raramente necessario tranne che per un servizio di file pubblico. È tra i più vecchi protocolli nel mondo TCP / IP ed è finalizzato solo allo scambio di file. Se controlli entrambe le estremità della connessione, detto in modo diverso se tutti gli utenti che la useranno sono noti al sistema con un nome utente e una password, allora dovresti usare sftp che è un caso d'uso speciale di ssh. Poiché è basato su ssh, tutti gli scambi sono completamente crittografati e fornisce immediatamente un sistema di autenticazione a chiave pubblica altamente sicuro. Certo, alcuni browser non saranno più utilizzabili (Filezilla, grazie a @ dave_thompson_085 per averlo notato), ma usare una vera password con un normale server FTP su una connessione Internet è em ... scarso pratica di sicurezza perché viene trasmessa in chiaro. In breve non farlo ! Ad ogni modo puoi trovare client GUI sftp.
FTP è ancora molto utilizzato per i file server pubblici. È possibile trovare implementazioni solide che sono state ampiamente testate (il che significa che i difetti di implementazione sono improbabili) e sono dotate di funzionalità interessanti come la possibilità di riavviare un trasferimento interrotto senza perdere ciò che è già stato scaricato. Tutte le principali distribuzioni Linux e BSD possono essere trovate su server FTP, per questo motivo. Ma non ho più un server FTP sulle mie macchine da decenni ...
E proprio per il possibile aumento della sicurezza dell'utilizzo di una porta non standard, dimentica le tue illusioni: un port scan potrebbe presto rivelarlo, non parlando di un semplice scanner di pacchetti promiscui ovunque sulla rete. Quel che è peggio, gli amministratori principianti potrebbero essere tentati installando un server FTP configurato rapidamente su una porta non standard per uso personale dicendo che nessuno lo troverà lì, quindi non sprecherò tempo a proteggerlo . Il risultato effettivo è che:
E la modifica di una porta ben nota rischia di vietare agli utenti dietro una proxy per accedere al tuo server.
Questa parte non è direttamente correlata alla domanda in sé, ma secondo l'affermazione comune: FTP non è sicuro, non usarlo , che non è corretto.
FTP era usato come protocollo sicuro con autenticazione sicura prima di ssh. È vero che ora è usato raramente in questo modo, ma password una tantum è un modo per mitigare il rischio di furto delle credenziali. Ovviamente chiunque su una rete può vedere la password, ma non appena è stata utilizzata viene immediatamente revocata. L'ho usato intensamente negli anni '80 e sarei ancora fiducioso in OPIE o OTPW per una connessione sicura su linee non protette. Anche se devo essere d'accordo che ora uso sftp e ssh invece di telnet + ftp + OPIE :-)
Quello che voglio dire è che FTP non è insicuro di per sé e può essere usato in modo sicuro. L'uso semplice dell'FTP è generalmente pericoloso.
In caso di traffico sniffer, cambiare la porta non fa alcuna differenza. Aiuta a malapena contro un hacker umano, che cerca di analizzare le vulnerabilità del sistema.
Aiuta contro i meccanismi automatici (botnet, worm), poiché tendono ad assumere porte standard.
La tua domanda è davvero composta da due domande. Uno riguarda la sicurezza dell'uso di FTP e l'altro riguarda i vantaggi di cambiare la porta predefinita per un protocollo di rete.
Alcune persone sostengono che cambiare la porta predefinita è un esempio di sicurezza attraverso l'oscurità. Tuttavia, questo è vero solo se questo è l'unico controllo di sicurezza che metti in atto. La modifica della porta predefinita può essere un controllo di sicurezza legittimo, ma solo se è anche combinato con altri controlli di sicurezza. È vero che non è un controllo particolarmente forte e chiunque abbia un livello moderato di conoscenza probabilmente troverà la nuova porta su cui sta ascoltando il tuo protocollo. Tuttavia, è un ulteriore livello di protezione, anche se solo uno sottile e la sicurezza è tutta una questione di livelli di protezione. Potrebbe non fermare una persona esperta che cerca di violare il vostro sistema, ma potrebbe benissimo fermare molti attacchi automatizzati o semplici basati su script.
Il rovescio della medaglia di tale approccio che ha un impatto sull'usabilità. Qualsiasi utente legittimo del servizio ora dovrà conoscere la nuova porta e probabilmente dovrà utilizzare una linea di comando aggiuntiva o impostazioni di configurazione per utilizzare il servizio. In alcune situazioni, questo può essere OK, ma in altre sarà solo scomodo o confuso. Dipende veramente dalla tua situazione e da cosa stai cercando di proteggere.
Ad esempio, sposterò spesso il mio servizio SSH dalla porta 22 a una porta diversa. Anche se questo ha solo un impatto minimo sulla sicurezza, ha il vantaggio di evitare il gran numero di script automatici che vedo tentativi molto semplicistici di accedere al mio sistema, riduce il `` rumore '' nei miei log e, possibilmente, ha un impatto minimo sui servizi (in una posizione Stavo lavorando, vedevo una media di 30k tentativi di accesso sulla porta 22 al giorno). Poiché ero l'unico utente con motivi legittimi per utilizzare SSH per connettersi a questo sistema, la modifica della porta predefinita ha avuto un inconveniente minimo e una volta passato a porto, vedrei solo un paio di tentativi a settimana. Tuttavia, questo era con SSH, che è progettato per essere sicuro per impostazione predefinita. FTP è una storia molto diversa.
Nel caso di FTP, se non fai nient'altro che spostare la porta predefinita, allora è la sicurezza attraverso l'oscurità e avrà un impatto minimo sulla sicurezza generale - diminuirà usabilità e non fare nulla per risolvere i punti deboli fondamentali in FTP. La sicurezza di base del tuo sistema non sarà migliorata in modo significativo in quanto è banale fare una scansione delle porte e identificare la nuova porta su cui è in ascolto il servizio FTP.
Come sottolineato da alcuni altri post e commenti, il vero problema qui è che FTP è semplicemente un protocollo insicuro. Esistono numerose alternative funzionalmente equivalenti. Pertanto, se sei preoccupato per la sicurezza, il miglior modo di agire è semplicemente non utilizzare FTP. Esistono versioni di FTP e modi per configurare FTP che possono renderlo più sicuro, ma in larga misura, queste sono aggiunte / estensioni "dopo il fatto" al protocollo e probabilmente non sono ancora sicure come un protocollo che aveva la sicurezza incorporata dall'inizio. Quindi la vera risposta se la sicurezza è un problema è semplicemente non usare vecchi protocolli come FTP e Telnet. Usa cose come SCP o anche SFTP e SSH o anche HTTPS.
Mettendo da parte la questione se ridurrà la scansione automatica (sì) e se puoi aspettarti una sicurezza dall'FTP in entrambi i casi (no), impostare FTP su una porta non standard può persino danneggiare la sicurezza di la configurazione complessiva.
Se stai eseguendo un server FTP su una porta non standard sullo stesso host di un server HTTP, puoi utilizzare il server FTP per eseguire XSS sul server HTTP su alcuni browser . Link all'archivio
IIRC funziona inviando i dati HTML + JS utilizzando HTTP al server FTP, che il browser consente perché il server FTP si trova su una porta non standard e quindi il browser non sa di essere FTP e non vede alcun motivo per impedirlo. Il server FTP risponde quindi con messaggi di errore che contengono i dati non validi che sono stati inseriti. La risposta non contiene intestazioni HTTP, ma questo fa sì che il browser presuma che si tratti di una risposta HTTP / 0.9. Quindi, il server ti ha appena dato una risposta che contiene il payload che hai inviato. Almeno le versioni precedenti di IE ignoravano il port wrt. la Same-Origin-Policy, quindi hai XSS nelle tue mani, senza fare nulla di sbagliato sul lato HTTP delle cose.
Non sono sicuro di quanto di questo sia stato mitigato (abbandonando HTTP /0.9, interpretando tutte le risposte HTTP / 0.9 come testo / semplice, aggiustando la porta su IE, ecc. Ecc.) Nei browser moderni, ma mostra sicuramente che può avere conseguenze non intenzionali altrove. (E lo ha ancora, almeno se un utente sta usando un vecchio IE)
Per quanto riguarda il male minore, le scansioni automatiche o XSS per [almeno] alcuni browser più vecchi: Amico, lascia perdere Già cosa FTP :)
Penso che qualcosa che altre risposte non sono riuscite a chiarire è che nella stragrande maggioranza dei casi su Internet, il traffico di hacking proviene da bot che scansionano le porte note per servizi noti (come la porta FTP 21) e agiscono solo se la scansione restituisce qualcosa di utile (come un server FTP). A meno che il tuo server non sia probabilmente l'obiettivo di hacker umani, probabilmente non dovresti preoccuparti.
L'FTP è generalmente sicuro? No.”
Dovresti usarlo in modo accessibile pubblicamente? No.”
Se lo usi sulla porta 21 su un IP pubblico, un bot ruberà i tuoi dati? Potenzialmente.”
Se lo utilizzi su una porta non standard su un IP pubblico, un hacker ruberà i tuoi dati o li comprometterà? Probabilmente no.