next up previous contents
Next: Gopher Up: FTP - File Transfer Previous: Aktiver oder normaler Modus   Contents

Passiver Modus

Obwohl alle üblichen Firewalls eingehenden ftp-data Verbindungsaufbau richtig zuordnen können, bereitet dieser Ablauf einem sicherheitsbewussten Administrator Kopfschmerzen welche gelindert werden können. Und zwar kennt das FTP-Protokoll das Kommando PASV, weshalb der Passive Modus manchmal auch PASV-Modus genannt wird. Beim passiven Modus sendet der ftp-Client nach dem Aufbau des Kommandokanals das Kommando PASV und fordert den FTP-Server damit auf ein TCP-Port zu öffnen und dessen Nummer zurückzumelden. Sobald der Client die Zielportnummer (>1023) für die Serverseite des Datenkanals kennt, öffnet der Client seinerseits ein TCP-Port (>1023) und stellt die Verbindung zum Server her. Dadurch geht die Initiative für den Verbindungsaufbau sowohl beim Kommandokanal als auch beim Datenkanal vom Client aus und es muss kein Port für neue Verbindungen von außen zugelassen werden.

Glücklicherweise verwenden fast alle Browser (Netscape, Internet Explorer, ...) den passiven Modus. Damit aber auch andere FTP-Clients keine Probleme haben, ist es empfehlenswert, einen FTP-Proxy zu installieren. Dieser kann aus dem lokalen Netz sowohl aktive wie auch passive Verbindungen entgegennehmen, stellt aber bei entsprechender Konfiguration ins äußere Netz nur passive Verbindungen her. Ein weiterer Vorteil eines FTP-Proxy ist, dass alle Verbindungen inklusive Dateinamen und Kommandos protokolliert werden können, was mit einem reinen Paketfilter nicht möglich wäre. FTP-Proxies lassen meistens auch eine Einschränkung der zulässigen Kommandos zu. Voraussetzung für den Aufbau einer passiven Verbindung ist, dass dies auch der FTP-Server unterstützt.

Richtung Proto- Port
Status
Anmerkung
Client Server koll Quelle Ziel
 
         
 
>   TCP 1024: 21
NEW, ESTABLISHED
FTP Anfrage von Client zum Server
  < TCP 21 1024:
ESTABLISHED
Serverantwort auf Clientanfrage
>   TCP 1024: 1024:
NEW, ESTABLISHED
Öffnen eines Datenkanals für FTP Anfrage (PASV-Modus)
  < TCP 1024: 1024:
ESTABLISHED
Antworten im Datenkanal vom Client

Beim Einsatz von FTP-Servern ist äußerste Vorsicht geboten! Es muss darauf geachtet werden, dass FTP-Clients keinen Zugriff auf Dateien erhält, die sie nicht sehen sollen. Vor allem bei 'anonymous' FTP-Zugängen gilt dies. Muss Schreibzugriff gewährt werden, so muss sichergestellt werden, dass Clients nur schreiben, aber nicht mehr lesen können. Andernfalls ist Jenen Tür und Tor geöffnet, die diesen Mailserver für die Verbreitung von illegalen Daten missbrauchen wollen.

Im Zusammenhang mit FTP gibt es noch etwas zu sagen: Viele FTP-Server versuchen beim Verbindungsaufbau mittels 'ident' die Identität des Clients zu eruieren. Wird dieses Paket von der Firewall verworfen, so wartet der FTP-Server einige Zeit bis er weitermacht. Das kann unangenehme Zeitverzögerungen verursachen. Es ist nicht nötig, am Client einen ident-Server zu installieren um dieses Problem zu umgehen. Man muss die Firewall lediglich so konfigurieren, dass eingehende ident-Anfragen mit einem ICMP-Pakete des Typs 3 (Port unreachable) beantwortet werden. Man muss allerdings darauf achten, dass man dadurch nicht Portscannern die Arbeit erleichtert, indem auf alle ungeöffneten Ports so geantwortet wird.


next up previous contents
Next: Gopher Up: FTP - File Transfer Previous: Aktiver oder normaler Modus   Contents
Ernst Pisch 2003-05-17