it-swarm.asia

FTPS kullanırken hangi güvenlik duvarı bağlantı noktalarını açmam gerekir?

Bir satıcının sitesinde bir FTPS sunucusuna (vsftpd) erişmeniz gerekiyor. Satıcı, ftps sunucusunun önünde bir güvenlik duvarına sahiptir. FTPS istemcimin önünde bir güvenlik duvarım var.

Kontrol trafiği için 990, 991 ve belki 989 numaralı bağlantı noktalarının açılması gerektiğini anlıyorum.

Birkaç sorum var:

  1. Satıcının güvenlik duvarı perspektifinden bakarken, bu bağlantı noktaları hem gelen hem de giden trafik için mi açılmalıdır?
  2. VERİ kanalı için portlar ne olacak?
  3. 1000'in üzerindeki tüm bağlantı noktalarını açmak zorunda mıyım?
  4. Hem gelen hem de giden trafik için yapmalı mıyım?
33
user3293

SSL (ftps) üzerinden FTP anlayışım, güvenlik duvarları ve NAT ile iyi çalışmadığıdır. Sıradan bir FTP oturumunda, güvenlik duvarının gerekli bağlantı noktalarını dinamik olarak açması için veri bağlantıları hakkındaki bilgiler okunur ve NAT için güvenlik duvarı tarafından değiştirilir). , güvenlik duvarı okuyamaz veya değiştiremez.

SFTP veya scp kullanmak ağ yöneticisinin işini çok daha kolay hale getirir - her şey sunucunun bağlantı noktası 22'de gerçekleşir ve işlem normal istemci/sunucu modelini izler.

Bahsetilmeyen bir şey, güvenlik duvarınızın NAT olup olmadığı ve statik olup olmadığı NAT veya dinamik NAT. veya statik olarak NAT olarak kullanılıyorsa, tüm giden trafiğe izin verdiğinizi ve sunucunun yalnızca Pasif modda (PASV) çalıştığını varsayarsak güvenlik duvarı değişikliği yapmanız gerekmeyebilir.

Hangi bağlantı noktalarını açmanız gerektiğini tam olarak bilmek için aşağıdakilerden birini yapmanız gerekir:

a) sistemlerinin nasıl yapılandırıldığına ilişkin ayrıntılar için satıcıyla konuşun.

b) Hem güvenlik duvarınızın dışından hem de güvenlik duvarınızın içinden trafiğe bakmak için tcpdump veya wireshark gibi bir protokol analiz cihazı kullanın

Hangi bağlantı noktasının Kontrol Bağlantısı olduğunu bulmanız gerekir. Bana garip gelen 3'ü listeliyorsun. Sunucunun yalnızca PASV (pasif) modunda çalıştığını varsayarsak, sunucunun tahsis edilen DATA bağlantı noktalarına nasıl yapılandırıldığını anlamanız gerekir. DATA kanalını tek bir gelen bağlantı noktasına kilitlediler mi? DATA kanalını küçük bir aralığa veya bağlantı noktalarına kilitlediler mi?

Bu yanıtlarla güvenlik duvarınızı yapılandırmaya başlayabilirsiniz.

19
pcapademic

990 civarındaki portların, SSL/SSL yapmanın standart olmayan eski bir yolu olan örtük SSL için olduğuna inanıyorum. Bu günlerin "doğru" yolu açık SSL'dir, yani bağlantı noktası 21'e hala bağlanırsınız ve daha sonra güzelliklerinizi göndermeden önce SSL ile pazarlık yaparsınız. Güvenlik duvarı üzerinden bağlantıları desteklemek için PASV modunu kullanmanız ve kullanılacak veri portlarını ayarlamanız gerekir.

Desteklemek istediğiniz veri bağlantısı başına en az bir porta ihtiyacınız olduğuna inanıyorum. Sadece sizseniz, muhtemelen sadece birkaç ekstra bağlantı noktası açabilirsiniz. Özellikle benim için 21000-21010 kullanıyorum.

Vsftpd.conf içinde, bu iki satır var (SSL'yi desteklemek için diğer tüm şeylerle birlikte):

pasv_min_port=21000

pasv_max_port=21010

Güvenlik duvarımda, bire bir/statik NAT ve yalnızca tcp bağlantı noktaları 21, 21000-21010 açık) bir genel statik IP var.

29
David

Bu son derece eski bir iplik olduğunu biliyorum, ancak ..

SFTP'nin FTPS'den tamamen farklı olduğunu lütfen unutmayın. (SSH ve SSL)

FTPS 2 şekilde çalışır. Açık ve Kapalı. İlk el sıkışma veri aktarımları sırasında şifrelemeyi atladıktan sonra [veri şifrelemesi korunmuşsa sunucu tarafında PROT P ile yapılandırılabilirse] açık, daha az güvenlidir, Örtük de el sıkışmasından sonra verilerin şifrelemesini korur. Varsayılan Açık FTPS bağlantı noktası 21'dir. Varsayılan Kapalı bağlantı noktası 990'dır (el sıkışmasından sonra farklı yapılandırılmamışsa veri iletimi için otomatik olarak 989'a geçer). 21 numaralı bağlantı noktası genellikle EXPLICIT FTPS ve 990 ürününü IMPLICIT FTPS olarak kabul ederken, gerçekte 990/989 dışında hangi bağlantı noktasını yapılandıracağınız, SADECE 990/989 IMPLICIT FTPS olarak kabul edilir.

Bu nedenle, sorunuzu cevaplamak için: - FTPS Sunucusu yapılandırmasına bağlı olarak, 21 veya 990/989 numaralı bağlantı noktasını açmanız gerekir. Ancak, emin olmak için, FTPS Sunucusu yöneticisine başvurmalı ve yol tariflerini istemelisiniz. Ayrıca, pasif mod için, diğer tüm FTP yazılımlarında olduğu gibi, genellikle 64000-65000 aralığından bir şey ek portlar (TCP/UDP) açmanız gerektiğini unutmayın.

11
Marin

Temelde ftps neredeyse işe yaramaz, çünkü güvenlik duvarı yöneticilerine utanç verici taleplerde bulunmalısınız. Portları 10 ile sınırlama tavsiyesi iyidir. Çok daha fazlası, acınacak hale gelir.

sftp teoride çok daha iyi. Ancak geçerli bir sftp sunucusuna ihtiyacınız var, ör. istemcileri kendi ana dizinleriyle kısıtlayan.

Uygulamaya bağlı olarak HTTPS'yi düşünün. Bir dosya yüklemesi gerçekten basittir ve bir indirme de açıktır. Yine de FTP'yi kodluyorsanız, muhtemelen bir HTTPS dosya yüklemesi komut dosyası oluşturmak tamamen daha kolay olacaktır.

Otomatik FTP bir tasarım sorununun işaretidir. Bunu, otomatik FTP (ÇOK önemli şeyler için) yapmak için çalıştığım bir yeri 'gerektiren' toplam yaklaşık bir düzine satıcıyla uğraşırken ve düzinelerce müşterinin aynı mağazada (yaklaşık bir tasarım hatası) yaparken fark ettim. Tanık olduğum 20 ayrı kullanım). Çoğu uygulama adamını HTTPS'yi kullanmaya ikna etmek kolaydı (genellikle söz konusu olduğunda, "bekle, onlara zaten veri sunduğumuz web sunucusundan HTTPS ile almalarını istemememizin bir nedeni yok mu?" ), "iyi, zaten çalışıyor gibi görünen bu komut dosyalarına sahibiz ve ekibimizdeki hiç kimse komut dosyası yazma konusunda gerçekten iyi değil, bu yüzden gerçekten herhangi bir değişiklik yapamayız" (5-10 programcıdan oluşan bir ekip, seçtikleri bir dilde yazabileceklerini anlamıyormuş gibi yapıyorlar, çünkü önemsiz bir programı nasıl sıfırdan yazacaklarını bilmiyorlar.).

2
carlito

Tedarikçi, henüz girmediyse, DATA bağlantı portları için dar bir port aralığı yapılandırabilir. Daha sonra, bu erişime ihtiyaç duyan ana bilgisayarlar için aynı aralığı açabilirsiniz. PASV modu kullanılmalıdır.

1
Chris W. Rea

UNIX'teki SSH arka plan programının temelde açık bir SFTP sunucusu oluşturmayı etkinleştirebileceğiniz bir SFTP modülü olduğundan, bağlantı noktası 22 standarttır. Filezilla ile örtük bir FTP sunucusu çalıştırmak istiyorsanız, istediğiniz herhangi bir bağlantı noktasında çalıştırabilirsiniz, ancak bir yakalama vardır: FileZilla istemcisini kullanıyorsanız ftp site URL'sini ftps: //mysite.com: 8086 olarak belirtmeniz gerekir. bağlantı noktasını FileZilla istemcisinin sağladığı ayrı bağlantı noktası alanına koymak yerine.

Açık seçenek için yalnızca BİR bağlantı noktasına ihtiyacınız vardır: 22. Örtük seçenek için, güvenlik duvarının yalnızca kontrol bağlantı noktası için açık olması gerekir: 8086 (dahili olarak filezilla sunucunuzdaki bağlantı noktası 21'e iletir).

0
djangofan