Nächste Seite: FSP
Aufwärts: Dateitransfer
Vorherige Seite: TFTP
  Inhalt
  Index
FTP
Wie in Abschintt 2.15.3.2 beschrieben, benötigt FTP zwei TCP Verbindungen. FTP Server
verwenden die TCP-Ports 20 (data-channel) und 21 (command-channel). Die Client-Programme
arbeiten mit Portnummern
1023.
In Tabelle 3.7 sind die notwendigen Filterregeln die FTP zulassen aufgeführt.
Tabelle 3.7:
FTP-Filterregeln, Quelle: [BIF-96] S. 226
|
Durch diese Filterregeln ist man im normalen FTP-Modus (akive-mode) aber nicht vor
Bounce-Angriffen auf Portnummern
1023 geschützt. Dynamische Paketfilter
sind allerdings in der Lage FTP auch im aktive-mode abzusichern.
Wenn man nicht auf ein dynamisches Paketfiltersystem zurückgreifen kann,
empfiehlt sich der Einsatz eines FTP-Proxy-Servers.
Zusammenfassend geben Chapman und Zwicky in [BIF-96] folgende Empfehlungen zu FTP:
- Wenn die internen FTP-Clients passive mode unterstützen, dann kann
man ausgehende FTP-Verbindungen durch Paketfiler hindurch zulassen.
- Unterstützen die internen Clients nicht den passive mode, muß man
einen FTP-Proxy-Server einsetzen.
- Eine Kombination aus Paketfilter (für passive mode) und FTP-Proxy
(für active mode) stellt eine gute Lösung dar.
- Wenn eingehende FTP-Verbindungen zugelassen werden sollen, ist
darauf zu achten, daß nur der Bastion Host erreicht werden kann. Dazu
kann man einen Paketfilter entsprechend konfigurieren.
- Man sollte immer einen ,,up-to-date`` FTP-Server verwenden.
- Bei der Konfigurtion ist darauf zu achten, daß die Zugriffsrechte
korrekt gesetzt werden.
Nächste Seite: FSP
Aufwärts: Dateitransfer
Vorherige Seite: TFTP
  Inhalt
  Index
Klaus Bauer
1999-10-20