Voer een zoektekst in:
Op het web Op Aesir.nl

INFORMATIE

Home

Download
   FloppyT (Mirrored)
   FloppyT modules (Mirrored)
   Overige Downloads

Documentatie
   FloppyT HOWTO
   RAID Gids
   Active vs Passive FTP
   SCSI Technieken
   Wireless Networking beveiliging

Artikelen
   Linux mythen en fabels
   Netwerkbeveiliging met FloppyT
   Review FloppyT 0.9

Vaste prik
   Dagboek van een Geek
   Geekworld

Resources
   FloppyT Forum
   FloppyT FAQ (Officieel)
   FloppyT FAQ (Onofficieel)
   FloppyT Links
   Links

Bazar
   Software
   Hardware
   Boeken
   Diversen

ACTIVE vs PASSIVE FTP APPENDIX 1

Active FTP versus Passive FTP, Appendix 1

Introductie

Deze appendix beschrijft methodes die gebruikt worden om verschillende populaire FTP servers om het aantal passieve poorten te beperken waarnaar geluisterd wordt. Zoals aangegeven in de hoofdtekst zullen FTP server admins vrijwel altijd passive FTP ondersteunen om zoveel mogelijk clients te kunnen ondersteunen. Om dit te doen zouden een behoorlijk aantal hoge poortnummers op een firewall opengezet moeten worden. Gelukkig kun je de meeste servers zo instellen dat er gebruik gemaakt kan worden van een kleine range poortnummers om hackers zo minmogelijk kansen te geven.

ProFTPd

ProFTPd, http://www.proftpd.net, is een steeds populairder wordende FTP server door zijn modulariteit en zijn configuratie instellingen in Apache stijl. ProFTPd ondersteund tevens virtual hosts "out of the box", waardoor het een van de meest gebruikte FTP server os door web hosting bedrijven.

Vanaf versie 1.20RC3 en later (de huidige versie op het moment van schrijven is 1.2.4), ondersteund ProFTPd een instelling genaamd PassivePorts. De PassivePorts instelling wordt meestal gebruikt in een globale context in het proftpd.conf bestand (de locatie hiervan hangt van de configuratie en installatie van ProFTPd af). PassivePorts heeft twee argumenten, een minimum poort en een maximum poort zoals in het voorbeeld hieronder is te zien: 

PassivePorts 51000 51999

De ProFTPd documentatie zegt het volgende over de PassivePorts instelling:

PassivePorts beperkt het aantal poorten die de server uitkiest wanneer hij het PASV commando van de cliënt ontvangt. De server kiest een willekeurig nummer uit van de range totdat een open poort is gevonden. Vindt hij geen open poorten dan valt de server terug op een door de kernel toegewezen poort en wordt er een bericht gelogged.

De poort range die geselecteerd wordt moet in de non-privileged range zijn (bv. groter dan of gelijk aan 1024); het wordt STERK AANGERADEN om de gekozen range zo groot mogelijk wordt gemaakt om een groot aantal passieve connecties te ondersteunen (bijvoorbeeld, 49152-65534, de IANA-geregistreerde kortstondige poort range).

Als je SSH port forwarding probeert te gebruikem om het FTP commando beveiligde over een kanaal te sturen (zodat wachtwoorden niet in ascii verzonden worden), moet je er zeker van zijn dat de AllowForeignAddress instelling op "on" staat in het proftpd.conf bestand. Zoniet dan wordt er door ProFTPd een bericht gelogd vergelijkbaar met het volgende: 

SECURITY VIOLATION: Passive connection from a.b.c.d rejected

Belangrijke notitie: Lees, en wees er zeker van dat je begrijpt wat je leest, de documentatie behorende bij de AllowForeignAddress instelling voor je het implementeert. De instelling, wanneer verkeerd toegepast, kan je FTP server open zetten voor bounce attacks. Het wordt sterk aangeraden om deze optie niet te gebruiken bij een als anonymous FTP server ingesteld systeem.

Vertaald uit het engels. Origineel (in het engels) is geschreven door Jay Ribak en is te vinden op zijn site: http://www.slacksite.com/
© 2003 Walther Ligtvoet. Powered by Linux, Apache, Perl and MySQL.