Стандарты протокола FTP
С точки зрения неаутентифицированного доступа, разрешенного для подключения к вашему FTP-серверу через открытый порт канала данных на прослушивающем FTP-сервере согласно RFC 959:
Сервер-PI
Интерпретатор протокола сервера "слушает" порт L для установления соединения от пользовательского PI и устанавливает управляющее соединение связи. Он получает стандартные команды FTP от пользователя-PI, отправляет ответы и управляет сервером-DTP.
Источник
Это означает, что прослушивающий FTP-сервер, как ожидается, будет следовать стандартному протоколу FTP-сервера, поэтому, если ваш FTP-сервер требует аутентификации, он разрешит подключение только через открытый пассивный порт, который он выбрал для подключения к каналу данных, после аутентификации PI-user Установлено.
контрольное соединение
Путь связи между USER-PI и SERVER-PI для обмена командами и ответами. Это соединение следует протоколу Telnet.
ЧИСЛО ПИ
Протокольный переводчик. Пользовательская и серверная стороны протокола имеют разные роли, реализованные в пользовательском PI и серверном PI.
Источник
FTP Безопасность
Использование простого FTP для связи и обмена данными небезопасно, поскольку все, что может прочитать пакеты, может видеть ваши данные, поэтому рассмотрите возможность использования SSH FTP или FTP SSL для добавления шифрования на этом уровне.
Кроме того, согласно RFC 959:
Протокол требует, чтобы управляющие соединения были открыты во время передачи данных. Пользователь несет ответственность за запрос на закрытие управляющих соединений после завершения использования службы FTP, в то время как действие выполняет сервер. Сервер может прервать передачу данных, если управляющие соединения закрыты без команды.
Источник
Поэтому убедитесь, что FTP-сервер настроен на короткий период ожидания, и это должно помочь быстрее отключить отключенные сеансы пользователей и порты каналов данных.
Безопасность порта
Подумайте об использовании большого диапазона портов, например 40000-45000
и настройте правила сетевого устройства брандмауэра, чтобы разрешить трафику только поступать на FTP-сервер и передавать все пакеты через сканер пакетов для обнаружения вторжений и т.д., Чтобы предотвратить обычную атаку. шаблоны и тому подобное.
Не используйте общие порты, если это возможно, и просмотрите список номеров портов TCP и UDP.
Убедитесь, что FTP-сервер еще более заблокирован для портов, доступ к которым разрешен из Интернета с помощью правил брандмауэра на уровне ОС, отключите ненужные службы и убедитесь, что вы не используете порты в пассивном диапазоне, который вы используете для других служб, которые слушаю на этом сервере.
FileZilla FTP Server Security
Прочитайте статью FTP-сервера Harden FileZilla и воспользуйтесь этими функциями безопасности.