HET VERSCHIL TUSSEN ACTIEVE EN PASSIEVE FTP
FTP of te wel File Transfer Protocol is al erg oud maar het is nog steeds een
populair protocol om bestanden over een Netwerk te versturen. Er zijn echter
twee implementaties van FTP, active FTP en passive FTP en het verschil tussen
beiden is klein maar erg belangrijk voor de configuratie van de Firewall. Dit
artikel geeft hier enige uitleg over.
Om succesvol gebruik te maken van FTP is er een verbinding op twee poorten nodig
tussen de client en de FTP server. Hierbij gaat het over een command poort en
een data poort. Standaard wordt poort 21 gebruikt voor de command verbinding
voor de data verbinding hangt dat af van de keuze voor actieve FTP of passieve
FTP. Eerst wordt er een connect op de command poort opgezet en wanneer dit
succesvol was wordt er een verbinding op de data poort opgezet.
ACTIEVE FTP OF ACTIVE FTP:
1. De command verbinding: de client connect vanaf een willekeurige poort > 1024 (= n) naar de server op poort 21.
2. De data verbinding: de server connect vanaf poort 20 naar de client op poort n + 1.
PASSIEVE FTP OF PASSIVE FTP:
1. Command verbinding: de client connect vanaf een willekeurige cliënt poort > 1024 (= n) naar server poort 21 standaard.
2. Data verbinding: De client connect vanaf cliënt poort n + 1 naar de server op een willekeurige poort > 1024
EEN UITGEBREIDERE UITLEG:
Het grote probleem bij actieve FTP zit hem in 2. De server probeert een nieuwe
verbinding op te zetten met de client. iedere computer gebruiker die niet al te
groen is heeft een Personal Firewall aanstaan die, indien goed geconfigureerd,
geen inkomende verbindingen toelaat. Vanuit het standpunt van de server
beheerder is actieve FTP te prefereren, er hoetf namelijk maar één ingaande
poort naar de FTP server open gezet te worden.
Bij passive FTP begint zowel bij het opzetten van de eerste als bij de tweede
verbinding de connect bij de client zodat het probleem van de Personal Firewall
of NAT Router omzeild wordt. Vanuit het standpunt van de server beheerder is
passieve FTP nadelig omdat er een hele reeks poorten naar de Server open gezet
moeten worden.
DE FTP SERVER EN DE FIREWALL CONFIGURATIE
- BIJ DE ACTIEVE FTP CLIENT:
- Uitgaande communicatie toelaten naar Poort 21
- Inkomende communicatie toelaten op de Poorten boven de 1024
- BIJ DE ACTIEVE FTP SERVER:
- Inkomende Communicatie toelaten op Poort 21
- Uitgaande Communicatie toelaten naar de Poorten boven de 1024
- BIJ DE PASSIEVE FTP CLIENT:
- Uitgaande Communicatie toelaten naar Poort 21
- Uitgaande Communicatie toelaten naar de Poorten boven de 1024
- BIJ DE PASSIEVE SERVER:
- Inkomende Communicatie toelaten op Poort 21
- Inkomende Communicatie toelaten op de Poorten boven de 1024
DE CONCLUSIE:
Iedere systeem beheerder zou ogenblikkelijk voor een Actieve FTP kiezen gezien de lagere veiligheids risico's
door het beperkte aantal ingaande poorten slechts één van de Server die geopend dient te worden. Voor Publieke
FTP Servers is dit echter geen optie, slechts een minderheid van gebruikers zou succes vol een Connect kunnen
maken met de Server. Voor de Gebruikers is Actieve FTP heel nadelig door het aantal ingaande Poorten van de
Client dat toegankelijk moet zijn. Het is zeker af te raden om al die poorten te openen op de Personal
Firewall van de Client. Passieve FTP dus, niet veel aan te doen, en de Server Beheerder zal even op zijn of
haar lip moeten bijten bij het openen van al die Poorten of er zijn jammer genoeg bijna geen up of downloads.
Met dank aan:
Naam: Dajo Rybski
URL: http://www.rybski.be
|