FTP, File Transfer Protocol, is zo oud als de straat maar het is op vandaag nog altijd een populair protocol om bestanden over een netwerk te versturen. Er zijn echter twee implementaties van FTP, active en passive, en het verschil tussen beiden is klein maar belangrijk voor de configuratie van de firewall. Dit artikel geeft een klein woordje uitleg.

Om succesvol te FTP-en (vergeef mij het on-the-fly creëren van een nieuw werkwoord) is er een verbinding op twee poorten nodig tussen de client en de FTP-server. Hierbij gaat het over een “Command”-poort en een “Data”-poort. Standaard wordt poort 21 gebruikt voor de commandverbinding; voor de dataverbinding, wel, dat hangt af van de keuze voor actieve of passieve FTP…

Eerst wordt er een connectie op de commandpoort opgezet en wanneer dit succesvol was wordt er een verbinding op de datapoort opgezet.

Actieve FTP, Active FTP

• Stap 1, de commandverbinding: de client connecteert vanaf een willekeurige poort > 1024 (= n) naar de server op poort 21.
• Stap 2, de dataverbinding: de server connecteert vanaf poort 20 naar de client op poort n + 1.

Passieve FTP, Passive FTP

• Stap 1, de commandverbinding: de client connecteert vanaf een willekeurige cliëntpoort > 1024 (= n) naar serverpoort 21 (standaard)
• Stap 2, de dataverbinding: de client connecteert vanaf cliëntpoort n + 1 naar de server op een willekeurige poort > 1024

Een woordje uitleg…

Het grote probleem bij actieve FTP zit ‘m in stap 2. De server probeert een nieuwe verbinding op te zetten met de client. Iedere computergebruiker die niet al te groen is heeft een personal firewall staan die, indien goed geconfigureerd, geen inkomende verbindingen toelaat. Vanuit het standpunt van de serverbeheerder is actieve FTP te prefereren, er moet namelijk maar één “”inbound”” poort naar de server open gezet worden.

Bij passive FTP begint zowel bij het opzetten van de eerste als bij de tweede verbinding de connectie bij de client zodat het probleem van de personal firewall of NAT-router omzeild wordt. Vanuit het standpunt van de serverbeheerder is passieve FTP nadeliger omdat er een hele resem “inbound” poorten naar de server open gezet moeten worden.

Firewall-configuratie

Actieve FTP
Client:
– uitgaande communicatie toelaten naar poort 21
– inkomende communicatie toelaten op poorten boven 1024
Server:
– inkomende communicatie toelaten op poort 21
– uitgaande communicatie toelaten naar poorten boven 1024

Passieve FTP
Client:
– uitgaande communicatie toelaten naar poort 21
– uitgaande communicatie toelaten naar poorten boven 1024
Server:
– inkomende communicatie toelaten op poort 21
– inkomende communicatie toelaten op poorten boven 1024

Besluit

Iedere systeembeheerder zou ogenblikkelijk voor actieve FTP kiezen gezien de lagere veiligheidsrisico’s door het beperkte aantal inbound poorten (slechts één) van de server dat geopend dient te worden. Voor publieke FTP-servers is dit echter bijna geen optie, slechts een minderheid van gebruikers zou succesvol kunnen connecteren naar de server. Voor de gebruikers is actieve FTP heel nadelig door het aantal inbound poorten van de client dat toegankelijk moet zijn. Het is zeker af te raden om al die poorten te openen op de personal firewall van de client.

Passieve FTP dus, niet veel aan te doen, en de serverbeheerder zal even op zijn of haar lip moeten bijten bij het openen van al die poorten of er zijn jammer genoeg geen up- of downloads…