Es ist nicht sicher, FTP über einen Port zu verwenden. Diejenigen, die eine böswillige Absicht haben, in Ihr Netzwerk oder System zu gelangen, scannen Ihr System nicht nach Port 21, sondern nach allen Ports und ermitteln den anderen Port praktisch in kürzester Zeit.

Mit sftp als Dateiübertragungstool sind Sie besser.

Andererseits haben Sie die Möglichkeit, Ihren FTP-Übertragungen und -Ports etwas Sicherheit hinzuzufügen, wenn Sie sie stattdessen über einen VPN-Tunnel ausführen.

Der Grund, warum FTP im Allgemeinen als unsicher angesehen wird, liegt darin, dass es nicht verschlüsselt ist. Wenn also jemand irgendwo im Netzwerkpfad Datenverkehr abhört, kann alles gelesen werden, was ihn durchquert. Dies umfasst den Benutzernamen, das Kennwort, alle übertragenen Daten, und den verwendeten Port .

Die Verwendung eines nicht standardmäßigen Ports erhöht die Sicherheit nicht, kann jedoch die Leistung verringern Die Anzahl der Bots, die versuchen, eine Verbindung herzustellen, die Ihre Netzwerkprotokolle ärgerlich füllen.

Wenn Ihr FTP-Server immer auf dem neuesten Stand ist, bedeutet dies normalerweise, dass keine Exploits für diese Anwendung bekannt sind. Wenn der Server jedoch veraltet ist, riskieren Sie Roboter, die nach bekannten Schwachstellen suchen, die sonst behoben worden wären.

1. Wenn der FTP-Server schlecht ist Wenn Sie beispielsweise einen Standardbenutzernamen / ein Standardkennwort oder ein schwaches Kennwort für ein vernachlässigtes (oder privilegiertes) Konto haben, kann ein Brute-Force-Angriff möglicherweise problemlos durchgeführt werden.

ol>

Jetzt kennen Sie die beiden häufigsten Angriffe. Um Ihre Frage genau zu beantworten: Ja, eine nicht standardmäßige Portnummer verringert die Wahrscheinlichkeit eines solchen Angriffs, insbesondere bei Robotern, die das Internet nach Schwachstellen durchsuchen.

Dies wird oft als Sicherheit durch Dunkelheit angesehen und ist aufgrund seiner begrenzten Wirkung verpönt. Sie können jedoch nicht leugnen, dass es Ihre Sicherheit in gewissem Maße verbessert, insbesondere gegenüber Scannern für Roboteranfälligkeiten. Wahrscheinlich nicht so sehr gegen einen gezielten Angriff.

Vorschläge:

• Das Ändern des Standardports ist eine einfache Sache, die Sie tun können, wenn Sie sich nicht sicher sind, wie die Sicherheit ist

• Das Beste, was Sie mit einem FTP-Dienst tun können, ist, die IP-Adressen zu begrenzen, die darauf zugreifen können. Dies verhindert das Scannen von Sicherheitslücken. Beispielsweise gibt es wahrscheinlich nur bestimmte Gebäude auf der Welt, mit denen Sie auf den FTP-Server zugreifen würden. Sie müssen keinen Zugriff von einer anderen IP-Adresse aus zulassen.

• Es wird dringend empfohlen, die Verwendung von FTP einzustellen und zu SFTP (SSH) zu wechseln. um Ihre Anmeldeinformationen vor dem Aussteigen zu schützen. FTP ist unverschlüsselt, und obwohl dies für Ihre Frage nicht zutreffend ist, ist es sehr riskant, eine unverschlüsselte Verbindung für alles andere als den LAN-Zugriff vor Ort zu verwenden.

• Erwägen Sie auch die Verwendung ein VPN, mit dem Sie einen sicheren LAN-Remotezugriff erhalten.

Ja, wenn auch nur in sehr geringem Umfang.

Bei jeder Risikobewertung gibt es den Faktor Kosten im Vergleich zur bereitgestellten Sicherheit.

Wenn Sie FTP auf eine Nicht-Sicherheit verschieben Standardport, reduzieren Sie die eingehenden Versuche mit niedrig hängenden Früchten. Mit anderen Worten, die Script Kiddies, die eine Wörterbuchliste nur auf Port 21 versuchen, werden nicht mehr als Angreifer betrachtet. Auf diese Weise ist es sicherer.

Die Kosten sind jedoch, dass möglicherweise alle Firewalls (einschließlich einiger außerhalb Ihrer Kontrolle) angepasst werden müssen. Für Kunden müssen die Einstellungen geändert werden, und Benutzer müssen ein nicht standardmäßiges Verfahren befolgen. Dies sind kleine Dinge, aber Ihr Gewinn ist gering.

Allein aufgrund dieser Verdienste, ohne alle anderen, ist es ein enger Anruf (bei der Frage lohnt es sich).

Das heißt Es gibt viel bessere Möglichkeiten, um eine bessere Sicherheit zu erreichen. Eine weiße Liste mit IP-Adressen ist billig und einfach. Es bietet mehr Sicherheit als Portwechsel. Der VPN-Zugriff für FTP ist ein weiterer "einfacher" Pfad, wenn Sie bereits VPNs eingerichtet haben.

Die Verwendung dieser oder anderer Methoden zum Sichern von FTP ist im Allgemeinen "billiger" und sicherer als nur das Wechseln von Ports.

GROSSER SUPER WICHTIGER HINWEIS

Obwohl FTP seine Verwendung hat, sollte es nicht als sicher angesehen werden. Verwenden Sie stattdessen SFTP.

Kurzgeschichte: Das Ändern des Ports ist nicht der richtige Weg, um einen Dateiübertragungsdienst zu sichern.

Nun zu einer ausführlicheren Erklärung. Wenn Sie keinen Grund haben, einen FTP-Server auf einem Computer zu haben, ist es am sichersten, keinen unabhängig vom Port zu haben. Ein FTP-Server ist bis auf einen öffentlichen Dateidienst nur selten erforderlich. Es gehört zu den ältesten Protokollen in der TCP / IP-Welt und zielt nur auf den Austausch von Dateien ab. Wenn Sie beide Enden der Verbindung steuern, anders gesagt, wenn alle Benutzer, die sie verwenden, dem System mit einem Benutzernamen und einem Kennwort bekannt sind, sollten Sie sftp verwenden, was ein spezieller Anwendungsfall von ssh ist. Da es auf ssh aufbaut, sind alle Austausche vollständig verschlüsselt und bieten sofort ein hochsicheres Authentifizierungssystem mit öffentlichem Schlüssel. Natürlich können einige Browser nicht mehr verwendet werden (Filezilla wird es dank @ dave_thompson_085 tun, um es zu bemerken), aber die Verwendung eines echten Passworts mit einem normalen FTP-Server über eine Internetverbindung ist hem ... schlecht Sicherheitspraxis, da es unverschlüsselt übergeben wird. Kurz gesagt, mach das nicht ! Auf jeden Fall finden Sie SFTP-GUI-Clients.

FTP wird immer noch häufig für öffentliche Dateiserver verwendet. Sie können solide Implementierungen finden, die stark getestet wurden (was bedeutet, dass Implementierungsfehler unwahrscheinlich sind) und nette Funktionen wie die Möglichkeit bieten, eine unterbrochene Übertragung neu zu starten, ohne das zu verlieren, was bereits heruntergeladen wurde. Aus diesem Grund sind alle wichtigen Linux- und BSD-Distributionen auf FTP-Servern zu finden. Aber ich habe seit Jahrzehnten keinen FTP-Server mehr auf meinen eigenen Computern ...

Und nur für die mögliche Erhöhung der Sicherheit bei der Verwendung eines nicht standardmäßigen Ports sollten Sie Ihre Illusionen vergessen: Ein Port-Scan könnte dies bald aufdecken, ohne von einem einfachen promiskuitiven Paketscanner irgendwo im Netzwerk zu sprechen. Was noch schlimmer ist, Anfänger-Administratoren könnten versucht sein, einen schnell konfigurierten FTP-Server auf einem nicht standardmäßigen Port für den eigenen Gebrauch zu installieren, der besagt, dass niemand ihn dort findet, sodass ich keine Zeit damit verbringe, ihn zu sichern . Das tatsächliche Ergebnis ist Folgendes:

• Ein einfacher Port-Scan kann dies anzeigen.
• Da der Datenverkehr unverschlüsselt ist, sieht jeder Computer auf dem Weg mit dem Promicuous-Mode-Scanner den Benutzer und das Kennwort ohne Jede Warnung => Stellen Sie sich vor, was passieren kann, wenn die Anmeldeinformationen Administratorrechte gewähren ...

Und das Ändern eines bekannten -Ports verbietet wahrscheinlich Benutzern hinter einem Unternehmen Proxy für den Zugriff auf Ihren Server.

WICHTIGER HINWEIS

Dieser Teil bezieht sich nicht direkt auf die Frage selbst, aber auf die allgemeine Bestätigung: FTP ist unsicher, verwenden Sie ihn nicht , was nicht korrekt ist.

FTP wurde vor ssh als sicheres Protokoll mit sicherer Authentifizierung verwendet. Es ist wahr, dass dies jetzt selten auf diese Weise verwendet wird, aber Einmalpasswort ist eine Möglichkeit, das Risiko gestohlener Anmeldeinformationen zu verringern. Natürlich kann jeder in einem Netzwerk das Passwort sehen, aber sobald es verwendet wurde, wird es sofort widerrufen. Ich habe das in den 80ern intensiv genutzt und wäre immer noch zuversichtlich in OPIE oder OTPW für eine sichere Verbindung über ungesicherte Leitungen. Auch wenn ich zustimmen muss, dass ich jetzt sftp und ssh anstelle von telnet + ftp + OPIE verwende :-)

Ich möchte sagen, dass FTP per se nicht unsicher ist und sicher verwendet werden kann. Eine einfache Verwendung von FTP ist im Allgemeinen unsicher.

Dies hängt vom Bedrohungsmodell ab.

Im Falle von Verkehrsschnüffeln macht das Ändern des Ports keinen Unterschied. Es hilft kaum gegen einen menschlichen Hacker, der versucht, die Schwachstellen des Systems zu analysieren.

Es hilft gegen automatische Mechanismen (Botnets, Würmer), da diese tendenziell Standardports annehmen.

Ihre Frage besteht eigentlich aus zwei Fragen. Zum einen geht es um die Sicherheit bei der Verwendung von FTP, zum anderen um die Vorteile des Änderns des Standardports für ein Netzwerkprotokoll.

Einige Leute werden argumentieren, dass das Ändern des Standardports ein Beispiel für Sicherheit durch Dunkelheit ist. Dies gilt jedoch nur, wenn dies die einzige Sicherheitskontrolle ist, die Sie eingerichtet haben. Das Ändern des Standardports kann eine legitime Sicherheitskontrolle sein, jedoch nur, wenn es auch mit anderen Sicherheitskontrollen kombiniert wird. Es ist wahr, dass es keine besonders starke Kontrolle ist und jeder mit einem moderaten Wissensstand wahrscheinlich den neuen Port finden wird, den Ihr Protokoll abhört. Es handelt sich jedoch um eine zusätzliche Schutzschicht, auch wenn nur eine dünne variiert, und bei der Sicherheit dreht sich alles um Schutzschichten. Es kann nicht verhindern, dass eine erfahrene Person versucht, in Ihr System einzudringen, aber es kann viele automatisierte oder einfache skriptbasierte Angriffe stoppen.

Der Nachteil einer solchen Vorgehensweise, dass sie sich auf die Benutzerfreundlichkeit auswirkt. Jeder legitime Benutzer des Dienstes muss nun den neuen Port kennen und muss wahrscheinlich zusätzliche Befehlszeilen- oder Konfigurationseinstellungen verwenden, um Ihren Dienst zu nutzen. In einigen Situationen mag dies in Ordnung sein, in anderen ist es nur unpraktisch oder verwirrend. Es hängt wirklich von Ihrer Situation und dem ab, was Sie schützen möchten.

Zum Beispiel werde ich meinen SSH-Dienst häufig von Port 22 auf einen anderen Port verschieben. Dies hat zwar nur minimale Auswirkungen auf die Sicherheit, hat jedoch den Vorteil, dass die große Anzahl automatisierter Skripts vermieden wird, die alle vereinfachten Versuche, auf mein System zuzugreifen, versuchen, das Rauschen in meinen Protokollen zu verringern und möglicherweise nur minimale Auswirkungen auf die Dienste (an einem Ort) haben Ich habe in gearbeitet und durchschnittlich 30.000 Versuche gesehen, mich an Port 22 pro Tag anzumelden. Da ich der einzige Benutzer war, der berechtigte Gründe hatte, SSH für die Verbindung mit diesem System zu verwenden, war das Ändern des Standardports mit minimalen Unannehmlichkeiten verbunden, und als ich zu dem anderen wechselte, Hafen, ich würde nur ein paar Versuche pro Woche sehen. Dies war jedoch bei SSH der Fall, das standardmäßig sicher ausgelegt ist. FTP ist eine andere Geschichte.

Wenn Sie im Fall von FTP nichts anderes tun, als den Standardport zu verschieben, ist dies Sicherheit durch Dunkelheit und hat nur geringe Auswirkungen auf die Gesamtsicherheit - sie nimmt ab Benutzerfreundlichkeit und nichts zu tun, um die fundamentalen Schwächen in FTP zu beheben. Die grundlegende Sicherheit Ihres Systems wird nicht wesentlich verbessert, da es trivial ist, einen Port-Scan durchzuführen und den neuen Port zu identifizieren, den der FTP-Dienst überwacht.

Wie in einigen anderen Beiträgen ausgeführt und Kommentare, das eigentliche Problem hier ist, dass FTP einfach ein unsicheres Protokoll ist. Es gibt eine Reihe von funktional äquivalenten Alternativen. Wenn Sie sich also Sorgen um die Sicherheit machen, ist es am besten, kein FTP zu verwenden. Es gibt Versionen von FTP und Möglichkeiten, FTP zu konfigurieren, die es sicherer machen können. In hohem Maße handelt es sich jedoch um "nachträgliche" Ergänzungen / Erweiterungen des Protokolls, die wahrscheinlich immer noch nicht als Protokoll sicher sind, in das Sicherheit integriert ist es von Anfang an. Wenn die Sicherheit ein Problem darstellt, sollten Sie also keine alten Protokolle wie FTP und Telnet verwenden. Verwenden Sie Dinge wie SCP oder sogar SFTP und SSH oder sogar HTTPS.

Wenn Sie die Frage beiseite lassen, ob das automatische Scannen reduziert wird (ja) und ob Sie in beiden Fällen Sicherheit von FTP erwarten können (nein), kann das Einrichten von FTP an einem nicht standardmäßigen Port sogar die Sicherheit von beeinträchtigen Ihr Gesamt-Setup.

Wenn Sie einen FTP-Server an einem nicht standardmäßigen Port auf demselben Host wie ein HTTP-Server ausführen, können Sie den FTP-Server verwenden, um in einigen Browsern XSS auf dem HTTP-Server auszuführen . Archivlink

IIRC Dies geschieht durch POSTEN der HTML + JS-Daten über HTTP an den FTP-Server, den der Browser zulässt, da sich der FTP-Server an einem nicht standardmäßigen Port befindet Der Browser weiß also nicht, dass es sich um FTP handelt, und sieht keinen Grund, dies nicht zuzulassen. Der FTP-Server antwortet dann mit Fehlermeldungen, die die ungültigen Daten enthalten, die veröffentlicht wurden. Die Antwort enthält keine HTTP-Header, aber dies führt nur dazu, dass der Browser davon ausgeht, dass es sich um eine HTTP / 0.9-Antwort handelt. Der Server hat Ihnen also nur eine Antwort gegeben, die die von Ihnen gesendeten Nutzdaten enthält. Zumindest ältere Versionen von IE ignorierten den Port wrt. Die Same-Origin-Richtlinie, damit Sie XSS in Ihren Händen haben, ohne auf der HTTP-Seite etwas falsch zu machen.

Ich bin mir nicht sicher, wie viel davon gemildert wurde (HTTP fallen lassen) /0.9-Unterstützung, Interpretation aller HTTP / 0.9-Antworten als Text / Plain, Behebung des Port-Problems im IE usw. usw.) in modernen Browsern, aber es zeigt definitiv, dass an anderer Stelle unbeabsichtigte Konsequenzen haben kann. (Und hat es immer noch, zumindest wenn ein Benutzer einen älteren IE verwendet)

Was das kleinere Übel betrifft, sind automatische Scans oder XSS für [zumindest] einige ältere Browser: Alter, lass einfach das Ganze hinter dir FTP-Sache schon :)

Ich denke, andere Antworten haben nicht klargestellt, dass in den allermeisten Fällen im Internet der Hacking-Verkehr von Bots stammt, die bekannte Ports nach bekannten Diensten (wie FTP-Port 21) durchsuchen und nur dann handeln, wenn der Scan durchgeführt wird gibt etwas Nützliches zurück (wie einen FTP-Server). Sie sollten sich wahrscheinlich keine Sorgen machen, es sei denn, Ihr Server ist wahrscheinlich das Ziel menschlicher Hacker.

Ist FTP im Allgemeinen sicher? Nein.

Sollten Sie es öffentlich zugänglich verwenden? Nein.

Wenn Sie es an Port 21 einer öffentlichen IP verwenden, stiehlt ein Bot Ihre Daten? Potenziell.

Wenn Sie es an einem nicht standardmäßigen Port einer öffentlichen IP-Adresse verwenden, stiehlt ein Hacker Ihre Daten oder gefährdet er Ihre Daten? Wahrscheinlich nicht.