Frage:
Ist es sicherer, einen anderen Port als 21 für FTP zu verwenden?
Kevin
2016-08-18 18:46:10 UTC
view on stackexchange narkive permalink

Normalerweise (soweit ich weiß) verwendet FTP Port 21.

Ist es sicherer, einen anderen Port zu verwenden, da dieser Port so oft für FTP verwendet wird? Ich vermute, wenn jemand mit böswilligen Absichten versucht, FTP-Konten zu brechen, versucht er es mit Port 21.

Wenn Sie Null mit einer beliebigen Zahl multiplizieren, ist das Ergebnis Null.
Ist das eine Metapher, die mir fehlt?
Kevin - techraf weist darauf hin, dass die Verwendung von FTP immer unsicher sein wird :-)
Streng genommen ist das Umschalten * eines * Dienstes auf einen nicht standardmäßigen Port immer sicherer in dem Sinne, dass die Wahrscheinlichkeit, dass die Anwendung von automatisierten Angriffstools angegriffen wird, drastisch verringert wird - insbesondere, wenn das System über das Internet erreichbar ist.Es wird den Dienst nicht vollständig unsichtbar machen und es wird sicherlich nicht * immun * gegen Angriffe sein, aber es macht es so, dass es * viel * weniger Angreifer geben wird, die darauf abzielen.Damit aus dem Weg ... *** FTP ist schlecht!Hör auf damit!***
@Iszi: Ich denke, "drastisch reduzieren" übertreibt den Fall.Automatisierte Tools können perfekt nach offenen Ports suchen. Wenn sie Ihren Datenverkehr abhören, können sie unverschlüsselte Anmeldungen über einen beliebigen Port und nicht nur über Port 21 erfassen. In gewisser Weise wäre es seltsam, wenn ein automatisiertes Tool nur auf Port 21 abzieltMöglicherweise gibt es Tools, die törichterweise nur Port 21 angreifen, oder der Benutzer könnte ihn dafür konfigurieren.Dadurch wird die Wahrscheinlichkeit eines Angriffs verringert, je nachdem, wie wahrscheinlich es ist, dass Ihre Angreifer nur diese Tools verwenden.
@SteveJessop Zumindest für ein über das Internet zugängliches System ist "drastische Reduzierung" der Fall wirklich * unterschätzt *.[Daniel Miessler] (https://danielmiessler.com/blog/security-and-obscurity-does-changing-your-ssh-port-lower-your-risk/) (und ich bin sicher, mehrere andere) haben es einmal getanEin Test, bei dem gezeigt wurde, dass ein SSH-Server an einem nicht standardmäßigen Port nur etwa fünfmal in derselben Zeitspanne getroffen wurde, in der ein Standard-SSH-Dienst mehr als 10.000 Mal getroffen wurde!
@Iszi: gut OK, aber wenn Ihr einziges Bedrohungsmodell zufällige Fremde sind, die versuchen, das Passwort zu erraten, ist FTP theoretisch fast gleichbedeutend mit SSH und in der Praxis möglicherweise sogar sicherer.Dies scheint ein unzureichendes Bedrohungsmodell zu sein ;-)
@SteveJessop Das Bedrohungsmodell hier geht nicht davon aus, dass alle Angreifer dumm sind.Aber es wird erkannt, dass die überwiegende Mehrheit der Angriffe in der realen Welt dumm ausgeführt wird, und es gibt einen * einfachen * Weg, um zu vermeiden, von ihnen angegriffen zu werden.Eine weitere Analogie (ich habe anscheinend kürzlich einige zu diesem Thema veröffentlicht): Wenn ich mit Vorwarnung in ein Feuergefecht gerate, können Sie sicher sein, dass ich eine kugelsichere Weste tragen werde.Aber wenn es eine einfache Möglichkeit gibt, die Anzahl der auf mich gerichteten Waffen von 10.000 auf nur 5 zu reduzieren, können Sie verdammt sicher sein, dass ich das auch tun werde.
Denken Sie daran, dass es hier nicht nur um das Erraten von Passwörtern geht.FTP-Dienste weisen (wie alle anderen auch) remote ausnutzbare Sicherheitslücken auf, für die keine Authentifizierung erforderlich ist.Kurz nachdem die Details veröffentlicht wurden, können Sie davon ausgehen, dass viele Botnets an Ihre Tür klopfen werden, um sie auszunutzen.Während Sie sicherstellen sollten, dass Ihre Anwendungen immer gepatcht sind, können Sie nicht immer sicher sein, dass Sie den Angreifern in diesem Punkt voraus sind oder dass Ihnen sogar früh genug ein Patch zur Verfügung steht.
Nehmen Sie die Botnetze aus der Gleichung heraus, indem Sie den Port ändern, auf dem Sie laufen, und Sie haben so viel mehr Raum zum Atmen, wann immer Sie es brauchen.
Da die Idee in Ordnung aussieht, gibt es keinen Beweis dafür, dass dies jemals bei etwas helfen könnte.Es fügt wirklich mehr Firewall-Probleme hinzu.
@Iszi: Ich würde wetten, dass es in jedem Apache + Mod_php-Server weitaus mehr Schwachstellen gibt, die sich in einem FTP-Server befinden können, da das FTP-Protokoll dumm ist.FTP hatte nur deshalb einen schlechten Ruf, weil es schwierig ist, über Proxys zu konfigurieren, und Anmeldeinformationen im Klartext übergeben werden.
Um Kerckhoffs zweiten Grundsatz zu zitieren: "Es sollte keine Geheimhaltung erfordern, und es sollte kein Problem sein, wenn es in feindliche Hände fällt."Während das ursprüngliche Prinzip für Kryptosysteme gilt, gilt es meiner Meinung nach auch für die Sicherheit im Allgemeinen.
Neun antworten:
#1
+63
yetdot
2016-08-18 19:12:17 UTC
view on stackexchange narkive permalink

Es ist nicht sicher, FTP über einen Port zu verwenden. Diejenigen, die eine böswillige Absicht haben, in Ihr Netzwerk oder System zu gelangen, scannen Ihr System nicht nach Port 21, sondern nach allen Ports und ermitteln den anderen Port praktisch in kürzester Zeit.

Mit sftp als Dateiübertragungstool sind Sie besser.

Andererseits haben Sie die Möglichkeit, Ihren FTP-Übertragungen und -Ports etwas Sicherheit hinzuzufügen, wenn Sie sie stattdessen über einen VPN-Tunnel ausführen.

Die Verwendung von SCP oder Rsync ist noch besser
Wie ist SCP besser als SFTP?
Bei Verwendung von SCP muss der Pfad des Zielverzeichnisses oder der Zieldatei angegeben werden, um sie auf der Clientseite herunterzuladen.Das ist mir bewusst, aber ich werde mir auch widersprechen.Ich habe gesehen, dass Tools wie Winscp genauso funktionieren, wenn sie über eine SFTP-Verbindung und eine SCP-Verbindung verwendet werden.Ich bin mir nicht sicher, wie das passiert.In beiden Fällen ist die Übertragung verschlüsselt und sicherer als Klartext-FTP.
Diese Antwort könnte von einer Erklärung profitieren, * warum * es nicht sicher ist, FTP über einen Port zu verwenden.
@TylerH Es sind weniger als 65535 Ports verfügbar, um einen Dienst einzurichten.Das Scannen aller Ports auf einem bestimmten Host ist ein triviales Unterfangen.Ich glaube, die meisten Benutzer in dieser SE haben das als gegeben.
@Mindwin Ihr Kommentar geht nicht auf meine Frage ein, deren Punkt speziell war, warum ** FTP ** nicht sicher zu verwenden ist, * nicht * ob es einen bestimmten / empfohlenen sicheren Port gibt.Die Tatsache, dass in der Antwort das Scannen von Ports als Angriffsvektor erwähnt wird, vermeidet jegliche Kommentare dazu.
@TylerH weil es nicht verschlüsselt ist?Das könnte man sicherlich aus dem Vorschlag von 2 verschlüsselten Diensten (VPN und SFTP) ableiten.
@silverpenguin Ich persönlich weiß bereits, warum FTP nicht sicher ist.Der Punkt meines Kommentars ist für diejenigen, die möglicherweise nicht wissen, warum, wenn sie die Antwort lesen.
Sie erwähnen bequemerweise nicht die Tatsache, dass die meisten Angreifer einfach in ein Netzwerk gelangen möchten, nicht in Ihr Netzwerk.Es ist wie bei einer Fahrradkette, wenn jemand * dein * Fahrrad will, kommt er mit Kettenschneidern, aber die meisten Diebe wollen nur * jedes * Fahrrad ...
@NajibIdrissi Nun, es ist gut, dass hier niemand mit der Sicherung von Fahrrädern beschäftigt ist, oder?Wir sprechen über Software.Verwenden Sie einfach scp (SFTP).
@Navin Sie haben meinen Standpunkt völlig verfehlt und wissen anscheinend nicht, was eine Analogie ist.
Es gibt auch ein FTPS-Protokoll, das FTP ist, aber gesichert.FTP! = Rsync oder scp oder SFTP.Es geht um den richtigen Server und die richtige Konfiguration, um ein sicheres FTP zu haben.
#2
+36
TTT
2016-08-18 19:39:35 UTC
view on stackexchange narkive permalink

Der Grund, warum FTP im Allgemeinen als unsicher angesehen wird, liegt darin, dass es nicht verschlüsselt ist. Wenn also jemand irgendwo im Netzwerkpfad Datenverkehr abhört, kann alles gelesen werden, was ihn durchquert. Dies umfasst den Benutzernamen, das Kennwort, alle übertragenen Daten, und den verwendeten Port .

Die Verwendung eines nicht standardmäßigen Ports erhöht die Sicherheit nicht, kann jedoch die Leistung verringern Die Anzahl der Bots, die versuchen, eine Verbindung herzustellen, die Ihre Netzwerkprotokolle ärgerlich füllen.

"... füllen Sie Ihre Netzwerkprotokolle ärgerlich aus" * und * haben die Chance, tatsächlich durchzukommen.Wenn die Wahrscheinlichkeit, Ihre Sicherheitsbarriere zu durchbrechen, 10.000 zu 1 beträgt, möchten Sie sich nicht an einen Ort versetzen, an dem jede Woche 30.000 Angriffe stattfinden.
Die Besorgnis der OP scheint jedoch Brute-Force zu sein. Nicht standardmäßige Ports, um das Protokollrauschen gering zu halten, sind fast die einzige Rechtfertigung.Es gibt [FTPS] (https://en.wikipedia.org/wiki/FTPS) zur Verschlüsselung (nicht empfohlen).Abgesehen von der Verschlüsselung besteht eine wesentliche Schwäche in der Verwendung dynamischer Ports (sprechen Sie mit einem Graubart über die Unterscheidung zwischen Pasv und Aktiv), die mit schwachen Paketfiltern / ACLs genutzt werden können.Ein [`nmap --source-port = 20`] (https://nmap.org/book/man-bypass-firewalls-ids.html#idm140159078066048) ist ein häufiger Trick (aktiver FTP verwendet Port 20).FTP an einem nicht standardmäßigen Port kann auch fragiles NAT beschädigen.
@Iszi - Einverstanden.Ich möchte (halb) scherzhaft sagen: Als Faustregel gilt: Wenn Sie unverschlüsseltes FTP im öffentlichen Internet verwenden, sollten Sie davon ausgehen, dass die Anmeldeinformationen in den sozialen Medien veröffentlicht werden.Wenn Sie diese Annahme treffen, können Sie die nächste Vorgehensweise bestimmen.
@Iszi - diese Bot-Angriffe sind jedoch dumm.Sie versuchen immer wieder die gleichen Kombinationen von Benutzername und Passwort.Wenn Sie sie den ersten Monat überlebt haben, werden Sie sie wahrscheinlich auf unbestimmte Zeit überleben.
#3
+12
Bryan Field
2016-08-18 19:18:24 UTC
view on stackexchange narkive permalink

    Wenn Ihr FTP-Server immer auf dem neuesten Stand ist, bedeutet dies normalerweise, dass keine Exploits für diese Anwendung bekannt sind. Wenn der Server jedoch veraltet ist, riskieren Sie Roboter, die nach bekannten Schwachstellen suchen, die sonst behoben worden wären.

  1. Wenn der FTP-Server schlecht ist Wenn Sie beispielsweise einen Standardbenutzernamen / ein Standardkennwort oder ein schwaches Kennwort für ein vernachlässigtes (oder privilegiertes) Konto haben, kann ein Brute-Force-Angriff möglicherweise problemlos durchgeführt werden.

  2. ol>

    Jetzt kennen Sie die beiden häufigsten Angriffe. Um Ihre Frage genau zu beantworten: Ja, eine nicht standardmäßige Portnummer verringert die Wahrscheinlichkeit eines solchen Angriffs, insbesondere bei Robotern, die das Internet nach Schwachstellen durchsuchen.

    Dies wird oft als Sicherheit durch Dunkelheit angesehen und ist aufgrund seiner begrenzten Wirkung verpönt. Sie können jedoch nicht leugnen, dass es Ihre Sicherheit in gewissem Maße verbessert, insbesondere gegenüber Scannern für Roboteranfälligkeiten. Wahrscheinlich nicht so sehr gegen einen gezielten Angriff.

    Vorschläge:

  • Das Ändern des Standardports ist eine einfache Sache, die Sie tun können, wenn Sie sich nicht sicher sind, wie die Sicherheit ist
  • Das Beste, was Sie mit einem FTP-Dienst tun können, ist, die IP-Adressen zu begrenzen, die darauf zugreifen können. Dies verhindert das Scannen von Sicherheitslücken. Beispielsweise gibt es wahrscheinlich nur bestimmte Gebäude auf der Welt, mit denen Sie auf den FTP-Server zugreifen würden. Sie müssen keinen Zugriff von einer anderen IP-Adresse aus zulassen.

  • Es wird dringend empfohlen, die Verwendung von FTP einzustellen und zu SFTP (SSH) zu wechseln. um Ihre Anmeldeinformationen vor dem Aussteigen zu schützen. FTP ist unverschlüsselt, und obwohl dies für Ihre Frage nicht zutreffend ist, ist es sehr riskant, eine unverschlüsselte Verbindung für alles andere als den LAN-Zugriff vor Ort zu verwenden.

  • Erwägen Sie auch die Verwendung ein VPN, mit dem Sie einen sicheren LAN-Remotezugriff erhalten.

Vielen Dank für Ihre Antwort.Ich dachte, FTP und SSH sind zwei verschiedene Dinge.Ich verwende FTP zum einfachen Durchsuchen und Ändern von Dateien mit FileZilla oder Atom.io und verwende SSH mit PuTTY, um remote auf die Befehlszeile meines Servers zuzugreifen.Kann ich SSH verwenden, um die Dateien auf meinem Server über eine grafische Oberfläche wie FileZilla oder CoreFTP zu durchsuchen und zu bearbeiten?
* "Kann ich SSH verwenden, um die Dateien auf meinem Server über eine grafische Oberfläche zu durchsuchen und zu bearbeiten?" * Absolut!Dies wird als SFTP bezeichnet.(SSH FTP) CoreFTP unterstützt SFTP.Es gibt viele andere Optionen, sowohl kostenlos als auch kommerziell.
@Kevin Sie können SFTP auf so ziemlich jedem Computer verwenden, auf dem SSH ohne zusätzliche Konfiguration aktiviert ist.Filezilla unterstützt auch SFTP.Geben Sie einfach sftp: // in das Server-IP-Feld ein oder geben Sie Port 22 in das Port-Feld ein und es wird automatisch zu SFTP gewechselt.Es ist nicht erforderlich, einen separaten SFTP-Dienst zu konfigurieren.es wird über SSH funktionieren.
"... wenn Sie sich nicht sicher sind, wie die Sicherheit ist ...", sollten Sie versuchen, das zu beheben, was mit der Sicherheit nicht stimmt - und sich nicht darauf verlassen, die Portnummer zu ändern.Die Verwendung eines alternativen Ports ist in der Tat eine effektive Verschleierungsschicht, die hinzugefügt werden muss. Die zugrunde liegenden Sicherheitsmechanismen sollten jedoch so solide sein, dass Sie nicht auf die Verschleierung angewiesen sind.
#4
+4
coteyr
2016-08-19 01:39:30 UTC
view on stackexchange narkive permalink

Ja, wenn auch nur in sehr geringem Umfang.

Bei jeder Risikobewertung gibt es den Faktor Kosten im Vergleich zur bereitgestellten Sicherheit.

Wenn Sie FTP auf eine Nicht-Sicherheit verschieben Standardport, reduzieren Sie die eingehenden Versuche mit niedrig hängenden Früchten. Mit anderen Worten, die Script Kiddies, die eine Wörterbuchliste nur auf Port 21 versuchen, werden nicht mehr als Angreifer betrachtet. Auf diese Weise ist es sicherer.

Die Kosten sind jedoch, dass möglicherweise alle Firewalls (einschließlich einiger außerhalb Ihrer Kontrolle) angepasst werden müssen. Für Kunden müssen die Einstellungen geändert werden, und Benutzer müssen ein nicht standardmäßiges Verfahren befolgen. Dies sind kleine Dinge, aber Ihr Gewinn ist gering.

Allein aufgrund dieser Verdienste, ohne alle anderen, ist es ein enger Anruf (bei der Frage lohnt es sich).

Das heißt Es gibt viel bessere Möglichkeiten, um eine bessere Sicherheit zu erreichen. Eine weiße Liste mit IP-Adressen ist billig und einfach. Es bietet mehr Sicherheit als Portwechsel. Der VPN-Zugriff für FTP ist ein weiterer "einfacher" Pfad, wenn Sie bereits VPNs eingerichtet haben.

Die Verwendung dieser oder anderer Methoden zum Sichern von FTP ist im Allgemeinen "billiger" und sicherer als nur das Wechseln von Ports.

GROSSER SUPER WICHTIGER HINWEIS

Obwohl FTP seine Verwendung hat, sollte es nicht als sicher angesehen werden. Verwenden Sie stattdessen SFTP.

#5
+2
Serge Ballesta
2016-08-18 20:50:00 UTC
view on stackexchange narkive permalink

Kurzgeschichte: Das Ändern des Ports ist nicht der richtige Weg, um einen Dateiübertragungsdienst zu sichern.

Nun zu einer ausführlicheren Erklärung. Wenn Sie keinen Grund haben, einen FTP-Server auf einem Computer zu haben, ist es am sichersten, keinen unabhängig vom Port zu haben. Ein FTP-Server ist bis auf einen öffentlichen Dateidienst nur selten erforderlich. Es gehört zu den ältesten Protokollen in der TCP / IP-Welt und zielt nur auf den Austausch von Dateien ab. Wenn Sie beide Enden der Verbindung steuern, anders gesagt, wenn alle Benutzer, die sie verwenden, dem System mit einem Benutzernamen und einem Kennwort bekannt sind, sollten Sie sftp verwenden, was ein spezieller Anwendungsfall von ssh ist. Da es auf ssh aufbaut, sind alle Austausche vollständig verschlüsselt und bieten sofort ein hochsicheres Authentifizierungssystem mit öffentlichem Schlüssel. Natürlich können einige Browser nicht mehr verwendet werden (Filezilla wird es dank @ dave_thompson_085 tun, um es zu bemerken), aber die Verwendung eines echten Passworts mit einem normalen FTP-Server über eine Internetverbindung ist hem ... schlecht Sicherheitspraxis, da es unverschlüsselt übergeben wird. Kurz gesagt, mach das nicht ! Auf jeden Fall finden Sie SFTP-GUI-Clients.

FTP wird immer noch häufig für öffentliche Dateiserver verwendet. Sie können solide Implementierungen finden, die stark getestet wurden (was bedeutet, dass Implementierungsfehler unwahrscheinlich sind) und nette Funktionen wie die Möglichkeit bieten, eine unterbrochene Übertragung neu zu starten, ohne das zu verlieren, was bereits heruntergeladen wurde. Aus diesem Grund sind alle wichtigen Linux- und BSD-Distributionen auf FTP-Servern zu finden. Aber ich habe seit Jahrzehnten keinen FTP-Server mehr auf meinen eigenen Computern ...

Und nur für die mögliche Erhöhung der Sicherheit bei der Verwendung eines nicht standardmäßigen Ports sollten Sie Ihre Illusionen vergessen: Ein Port-Scan könnte dies bald aufdecken, ohne von einem einfachen promiskuitiven Paketscanner irgendwo im Netzwerk zu sprechen. Was noch schlimmer ist, Anfänger-Administratoren könnten versucht sein, einen schnell konfigurierten FTP-Server auf einem nicht standardmäßigen Port für den eigenen Gebrauch zu installieren, der besagt, dass niemand ihn dort findet, sodass ich keine Zeit damit verbringe, ihn zu sichern . Das tatsächliche Ergebnis ist Folgendes:

  • Ein einfacher Port-Scan kann dies anzeigen.
  • Da der Datenverkehr unverschlüsselt ist, sieht jeder Computer auf dem Weg mit dem Promicuous-Mode-Scanner den Benutzer und das Kennwort ohne Jede Warnung => Stellen Sie sich vor, was passieren kann, wenn die Anmeldeinformationen Administratorrechte gewähren ...

Und das Ändern eines bekannten -Ports verbietet wahrscheinlich Benutzern hinter einem Unternehmen Proxy für den Zugriff auf Ihren Server.

WICHTIGER HINWEIS

Dieser Teil bezieht sich nicht direkt auf die Frage selbst, aber auf die allgemeine Bestätigung: FTP ist unsicher, verwenden Sie ihn nicht , was nicht korrekt ist.

FTP wurde vor ssh als sicheres Protokoll mit sicherer Authentifizierung verwendet. Es ist wahr, dass dies jetzt selten auf diese Weise verwendet wird, aber Einmalpasswort ist eine Möglichkeit, das Risiko gestohlener Anmeldeinformationen zu verringern. Natürlich kann jeder in einem Netzwerk das Passwort sehen, aber sobald es verwendet wurde, wird es sofort widerrufen. Ich habe das in den 80ern intensiv genutzt und wäre immer noch zuversichtlich in OPIE oder OTPW für eine sichere Verbindung über ungesicherte Leitungen. Auch wenn ich zustimmen muss, dass ich jetzt sftp und ssh anstelle von telnet + ftp + OPIE verwende :-)

Ich möchte sagen, dass FTP per se nicht unsicher ist und sicher verwendet werden kann. Eine einfache Verwendung von FTP ist im Allgemeinen unsicher.

Sicherheitsforscher haben Vergleichstests durchgeführt, die zeigen, dass Internetdienste, die auf Standardports ausgeführt werden, von viel mehr Angriffen betroffen sind - mehrere Größenordnungen mehr - als Dienste, die auf alternativen Ports ausgeführt werden.Obwohl dies den Dienst nicht undurchdringlich oder unsichtbar macht, bedeutet dies, dass viel weniger Leute damit herumspielen werden.
Nehmen wir an, Sie bauen irgendwo ein Haus für Ihre Familie.Sie haben die Mittel, um buchstäblich zu bauen, was immer Sie wollen, wo immer Sie wollen.Sie haben sich für das "Was" entschieden - genau wie das Haus aussehen wird, welche Sicherheitsmerkmale vorhanden sein werden usw. Wo immer Sie es einsetzen, wird das Haus genau so "sicher" (in Bezug auf die Durchlässigkeit) sein, wie es wäreirgendwo anders sein.Nun zum Wo.Sie haben auf der ganzen Welt nachgesehen und festgestellt, dass es einen Ort gibt, dessen Kriminalitätsrate zehntausende Male höher ist als an jedem anderen Ort.Denken Sie überhaupt darüber nach, Ihr Haus dort unterzubringen?
@Iszi Ich sage, wenn Sie einen FTP-Server an einem nicht standardmäßigen Port ausführen können, sollten Sie ihn besser überhaupt nicht ausführen.
Oh, ich bin nicht anderer Meinung, dass FTP schlecht ist.Es ist jedoch offensichtlich falsch zu sagen, dass es wenig bis gar keinen Vorteil hat, es auf einem nicht standardmäßigen Port auszuführen - wenn Sie es ausführen müssen.
@Iszi IMHO, der einzig akzeptable Anwendungsfall für einen FTP-Server ist ein öffentlicher.Und dann müssen Sie Port 21 verwenden.
Warum muss?Gibt es ein internationales Recht, das mir nicht bekannt ist?Nur weil ein Dienst öffentlich ist, müssen Sie nicht davon ausgehen, dass die beabsichtigte Zielgruppe nur den Standardport verwendet.Informieren Sie Ihre Zielgruppe darüber, wie Sie ihre Clients für einen nicht standardmäßigen Port konfigurieren und fertig sind.Sicher, dies bedeutet, dass Ihre Dunkelheitsschicht der Öffentlichkeit ausgesetzt ist.Die Obscurity-Schicht ist jedoch nicht dazu gedacht, sich gegen einen Angreifer zu verteidigen, der sich tatsächlich die Mühe macht, Ihr System zu untersuchen, bevor Skripte ausgeführt werden. Sie verteidigt sich gegen die Vielzahl von Botnetzen, die nur blind auf die Standardeinstellungen schießen.
Filezilla unterstützt SFTP und hat seit 2006 laut Changelog.
@dave_thompson_085: Danke, dass Sie es bemerkt haben.Beitrag bearbeitet ...
#6
+2
enkryptor
2016-08-18 21:38:01 UTC
view on stackexchange narkive permalink

Dies hängt vom Bedrohungsmodell ab.

Im Falle von Verkehrsschnüffeln macht das Ändern des Ports keinen Unterschied. Es hilft kaum gegen einen menschlichen Hacker, der versucht, die Schwachstellen des Systems zu analysieren.

Es hilft gegen automatische Mechanismen (Botnets, Würmer), da diese tendenziell Standardports annehmen.

#7
+2
Tim X
2016-08-19 03:37:04 UTC
view on stackexchange narkive permalink

Ihre Frage besteht eigentlich aus zwei Fragen. Zum einen geht es um die Sicherheit bei der Verwendung von FTP, zum anderen um die Vorteile des Änderns des Standardports für ein Netzwerkprotokoll.

Einige Leute werden argumentieren, dass das Ändern des Standardports ein Beispiel für Sicherheit durch Dunkelheit ist. Dies gilt jedoch nur, wenn dies die einzige Sicherheitskontrolle ist, die Sie eingerichtet haben. Das Ändern des Standardports kann eine legitime Sicherheitskontrolle sein, jedoch nur, wenn es auch mit anderen Sicherheitskontrollen kombiniert wird. Es ist wahr, dass es keine besonders starke Kontrolle ist und jeder mit einem moderaten Wissensstand wahrscheinlich den neuen Port finden wird, den Ihr Protokoll abhört. Es handelt sich jedoch um eine zusätzliche Schutzschicht, auch wenn nur eine dünne variiert, und bei der Sicherheit dreht sich alles um Schutzschichten. Es kann nicht verhindern, dass eine erfahrene Person versucht, in Ihr System einzudringen, aber es kann viele automatisierte oder einfache skriptbasierte Angriffe stoppen.

Der Nachteil einer solchen Vorgehensweise, dass sie sich auf die Benutzerfreundlichkeit auswirkt. Jeder legitime Benutzer des Dienstes muss nun den neuen Port kennen und muss wahrscheinlich zusätzliche Befehlszeilen- oder Konfigurationseinstellungen verwenden, um Ihren Dienst zu nutzen. In einigen Situationen mag dies in Ordnung sein, in anderen ist es nur unpraktisch oder verwirrend. Es hängt wirklich von Ihrer Situation und dem ab, was Sie schützen möchten.

Zum Beispiel werde ich meinen SSH-Dienst häufig von Port 22 auf einen anderen Port verschieben. Dies hat zwar nur minimale Auswirkungen auf die Sicherheit, hat jedoch den Vorteil, dass die große Anzahl automatisierter Skripts vermieden wird, die alle vereinfachten Versuche, auf mein System zuzugreifen, versuchen, das Rauschen in meinen Protokollen zu verringern und möglicherweise nur minimale Auswirkungen auf die Dienste (an einem Ort) haben Ich habe in gearbeitet und durchschnittlich 30.000 Versuche gesehen, mich an Port 22 pro Tag anzumelden. Da ich der einzige Benutzer war, der berechtigte Gründe hatte, SSH für die Verbindung mit diesem System zu verwenden, war das Ändern des Standardports mit minimalen Unannehmlichkeiten verbunden, und als ich zu dem anderen wechselte, Hafen, ich würde nur ein paar Versuche pro Woche sehen. Dies war jedoch bei SSH der Fall, das standardmäßig sicher ausgelegt ist. FTP ist eine andere Geschichte.

Wenn Sie im Fall von FTP nichts anderes tun, als den Standardport zu verschieben, ist dies Sicherheit durch Dunkelheit und hat nur geringe Auswirkungen auf die Gesamtsicherheit - sie nimmt ab Benutzerfreundlichkeit und nichts zu tun, um die fundamentalen Schwächen in FTP zu beheben. Die grundlegende Sicherheit Ihres Systems wird nicht wesentlich verbessert, da es trivial ist, einen Port-Scan durchzuführen und den neuen Port zu identifizieren, den der FTP-Dienst überwacht.

Wie in einigen anderen Beiträgen ausgeführt und Kommentare, das eigentliche Problem hier ist, dass FTP einfach ein unsicheres Protokoll ist. Es gibt eine Reihe von funktional äquivalenten Alternativen. Wenn Sie sich also Sorgen um die Sicherheit machen, ist es am besten, kein FTP zu verwenden. Es gibt Versionen von FTP und Möglichkeiten, FTP zu konfigurieren, die es sicherer machen können. In hohem Maße handelt es sich jedoch um "nachträgliche" Ergänzungen / Erweiterungen des Protokolls, die wahrscheinlich immer noch nicht als Protokoll sicher sind, in das Sicherheit integriert ist es von Anfang an. Wenn die Sicherheit ein Problem darstellt, sollten Sie also keine alten Protokolle wie FTP und Telnet verwenden. Verwenden Sie Dinge wie SCP oder sogar SFTP und SSH oder sogar HTTPS.

Jeder, der durch die anderen Ebenen gelangen kann, kann auch Ihre Ports scannen.
#8
+2
Aleksi Torhamo
2016-08-21 04:42:29 UTC
view on stackexchange narkive permalink

Wenn Sie die Frage beiseite lassen, ob das automatische Scannen reduziert wird (ja) und ob Sie in beiden Fällen Sicherheit von FTP erwarten können (nein), kann das Einrichten von FTP an einem nicht standardmäßigen Port sogar die Sicherheit von beeinträchtigen Ihr Gesamt-Setup.

Wenn Sie einen FTP-Server an einem nicht standardmäßigen Port auf demselben Host wie ein HTTP-Server ausführen, können Sie den FTP-Server verwenden, um in einigen Browsern XSS auf dem HTTP-Server auszuführen . Archivlink

IIRC Dies geschieht durch POSTEN der HTML + JS-Daten über HTTP an den FTP-Server, den der Browser zulässt, da sich der FTP-Server an einem nicht standardmäßigen Port befindet Der Browser weiß also nicht, dass es sich um FTP handelt, und sieht keinen Grund, dies nicht zuzulassen. Der FTP-Server antwortet dann mit Fehlermeldungen, die die ungültigen Daten enthalten, die veröffentlicht wurden. Die Antwort enthält keine HTTP-Header, aber dies führt nur dazu, dass der Browser davon ausgeht, dass es sich um eine HTTP / 0.9-Antwort handelt. Der Server hat Ihnen also nur eine Antwort gegeben, die die von Ihnen gesendeten Nutzdaten enthält. Zumindest ältere Versionen von IE ignorierten den Port wrt. Die Same-Origin-Richtlinie, damit Sie XSS in Ihren Händen haben, ohne auf der HTTP-Seite etwas falsch zu machen.

Ich bin mir nicht sicher, wie viel davon gemildert wurde (HTTP fallen lassen) /0.9-Unterstützung, Interpretation aller HTTP / 0.9-Antworten als Text / Plain, Behebung des Port-Problems im IE usw. usw.) in modernen Browsern, aber es zeigt definitiv, dass an anderer Stelle unbeabsichtigte Konsequenzen haben kann. (Und hat es immer noch, zumindest wenn ein Benutzer einen älteren IE verwendet)

Was das kleinere Übel betrifft, sind automatische Scans oder XSS für [zumindest] einige ältere Browser: Alter, lass einfach das Ganze hinter dir FTP-Sache schon :)

#9
+1
js441
2016-08-20 02:09:15 UTC
view on stackexchange narkive permalink

Ich denke, andere Antworten haben nicht klargestellt, dass in den allermeisten Fällen im Internet der Hacking-Verkehr von Bots stammt, die bekannte Ports nach bekannten Diensten (wie FTP-Port 21) durchsuchen und nur dann handeln, wenn der Scan durchgeführt wird gibt etwas Nützliches zurück (wie einen FTP-Server). Sie sollten sich wahrscheinlich keine Sorgen machen, es sei denn, Ihr Server ist wahrscheinlich das Ziel menschlicher Hacker.

Ist FTP im Allgemeinen sicher? Nein.

Sollten Sie es öffentlich zugänglich verwenden? Nein.

Wenn Sie es an Port 21 einer öffentlichen IP verwenden, stiehlt ein Bot Ihre Daten? Potenziell.

Wenn Sie es an einem nicht standardmäßigen Port einer öffentlichen IP-Adresse verwenden, stiehlt ein Hacker Ihre Daten oder gefährdet er Ihre Daten? Wahrscheinlich nicht.

"Wenn Sie es an einem nicht standardmäßigen Port einer öffentlichen IP verwenden, stiehlt ein Hacker Ihre Daten oder gefährdet er Ihre Daten?"Ja, mit ziemlicher Sicherheit.FTP ist unverschlüsselt und es dauert nicht lange, alle Ports zu scannen, um festzustellen, welcher FTP empfangsbereit ist.
@Navin Mein Punkt war, dass ein vollständiger Port-Scan auf einer zufälligen IP nicht sehr häufig vorkommt, es sei denn, die IP ist ein hochkarätiges Ziel.Ähnliches gilt für das Schnüffeln von Internetpaketen.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...