Порт 21 для чего – Таблица описания номеров портов и работающих на них служб и протоколов.

Содержание

Порт 21 (tcp/udp/sctp) - Поиск TCP UDP Портов Online

  • Сервис

    Детали

    Источник

  • ftp

    FTP control.

    Apple
  •  

    FTP - control (command) (Official)

    WIKI
  • ftp

    File Transfer [Control]

    IANA
  • threat

    [threat] Cattivik FTP Server

    Bekkoame
  • threat

    [threat] CC Invader

    Bekkoame
  • threat

    [threat] Dark FTP

    Bekkoame
  • threat

    [threat] Doly Trojan

    Bekkoame
  • threat

    [threat] Fore

    Bekkoame
  • threat

    [threat] Invisible FTP

    Bekkoame
  • threat

    [threat] Juggernaut 42

    Bekkoame
  • threat

    [threat] Larva

    Bekkoame
  • threat

    [threat] MotIv FTP

    Bekkoame
  • threat

    [threat] Net Administrator

    Bekkoame
  • threat

    [threat] Ramen

    Bekkoame
  • threat

    [threat] Senna Spy FTP server

    Bekkoame
  • threat

    [threat] The Flu

    Bekkoame
  • threat

    [threat] Traitor 21

    Bekkoame
  • threat

    [threat] W32.Bobax

    Bekkoame
  • threat

    [threat] W32.Loxbot

    Bekkoame
  • threat

    [threat] W32.Mytob

    Bekkoame
  • threat

    [threat] WebEx

    Bekkoame
  • threat

    [threat] WinCrash

    Bekkoame
  • trojan

    [trojan] ADM worm. Worm / Rootkit / Backdoor. Works on Unix (Linux). Affects Linux RedHat 4.0 to 5.2. Aliases: ADM Inet w0rm, Linux.ADM.Worm

    Simovits
  • trojan

    [trojan] Back Construction. Remote Access / FTP server. Works on Windows 95 and 98. Aliases: Nightmare.B, Backdoor.Nightmare.B

    Simovits
  • trojan

    [trojan] Blade Runner. Remote Access. Works on Windows 95 and 98. The Client.zip-file also includes 32 WAV-files and 6 BMP-files. Aliases: Backdoor.BladeRunner

    Simovits
  • trojan

    [trojan] BlueFire. Remote Access / FTP server / Telnet trojan. Works on Windows. Aliases: Backdoor.BlueFire

    Simovits
  • trojan

    [trojan] Bmail. Remote Access. Works on Windows. Aliases: BackDoor.ABH, Backdoor.FTP.Bmail

    Simovits
  • trojan

    [trojan] Cattivik FTP Server. FTP server. Works on Windows 95, 98 and ME. Aliases: Senza, Backdoor.Senza

    Simovits
  • trojan

    [trojan] CC Invader. Remote Access / FTP server. Works on Windows 95, 98 and ME. Aliases: Backdoor.CCInvader, Backdoor.SysReg, SysReg

    Simovits
  • trojan

    [trojan] Dark FTP. Anti-protection trojan / Remote Access / FTP server / IRC trojan / Hacking tool. Works on Windows 95, 98, ME and NT, together with an IRC software and any FTP software. Aliases: Backdoor.KE

    Simovits
  • trojan

    [trojan] Doly Trojan. Remote Access / Keylogger / IRC trojan. Works on Windows 95, 98 and NT. Please note that not all versions work on NT. Dhacker.exe is a Doly 1.6 password cracker and Vbrun60.exe is only needed if you want to run it (written in Visual Basic 6). Aliases: Backdoor.AZ, Backdoor.Doly

    Simovits
  • trojan

    [trojan] FreddyK. Anti-protection trojan / Remote Access / FTP server / Downloading trojan. Works on Windows 95, 98 and ME. Aliases: Freddy 2001, Backdoor.FreddyK, TrojanDropper.Win32.Joiner.w

    Simovits
  • trojan

    [trojan] Invisible FTP. Downloading trojan / FTP server. Works on Windows 95, 98, ME, NT and 2000. Uses any FTP client as client, such as Cute FTP and Ws_ftp. Aliases: Win FTP, Zemac FTP, Backdoor.InvisibleFTP

    Simovits
  • trojan

    [trojan] KWM. Remote Access / Keylogger / Steals passwords / Downloading trojan. Works on Windows. Aliases: Backdoor.KWM

    Simovits
  • trojan

    [trojan] MscanWorm.

    Simovits
  • trojan

    [trojan] NerTe. Remote Access / Keylogger / Steals passwords. Works on Windows 95, 98, ME, NT and 2000. Aliases: Backdoor.NerTe, Backdoor.SG

    Simovits
  • trojan

    [trojan] NokNok. Anti-protection trojan / Remote Access / Steals passwords / IRC trojan / Port scanner. Works on Windows 95, 98, ME and 2000. Does NOT work on Windows NT. Aliases: Backdoor.FA, Troj_BckNokNok

    Simovits
  • trojan

    [trojan] Pinochet. Remote Access / Keylogger. Works on Windows.

    Simovits
  • trojan

    [trojan] Ramen. Worm / HTML trojan / HTTP server / Hacking tool / Destructive trojan. Works on Unix (Linux). Linux Red Hat 6.x and early versions of 7.0. May also work on other Unix dialects such as FreeBSD and Linux SuSE, Mandrake and Cladera. The mail addresses used are [email protected] and [email protected] Aliases: Linux.Ramen, Worm.Ramen, Elf.RamenSimovits
  • trojan

    [trojan] Reverse Trojan. Remote Access / Keylogger / IRC trojan / FTP server / LAN trojan. Works on Windows. Aliases: Backdoor.ReverseTrojan

    Simovits
  • trojan

    [trojan] RTB 666. Remote Access / FTP server / IP scanner. Works on Windows, together with MS Internet Explorer. Aliases: Backdoor.RTB

    Simovits
  • trojan

    [trojan] The Flu. FTP server. Works on Windows 95, 98 and ME. Any FTP client can be used. Aliases: Rux the Flu, Backdoor.TheFlu

    Simovits
  • trojan

    [trojan] WinCrash. Anti-protection trojan / Remote Access / Keylogger / Steals passwords / Network trojan / IP scanner. Works on Windows 95, 98, ME and NT. Aliases: BackDoor.M, Backdoor.Wincrash, W95/Backdoor.WinCrash

    Simovits
  • trojan

    [trojan] Voyager Alpha Force. Worm / Remote Access / Distributed DoS tool / SQL trojan / IRC trojan / Downloading trojan / FTP server. Works on Windows, together with MS SQL Server 6.5 and 7.0. Aliases: MS SQL worm, SQL worm, Cblade, W32.Cblade.Worm

    Simovits
  • threat

    [threat] Back Construction

    Bekkoame
  • threat

    [threat] Blade Runner

    Bekkoame
  • ru.adminsub.net

    Зачем в FTP нужны порты и как их "пробрасывать"

    Настройка FTP — несложный процесс, который имеет свои специфические особенности. Если вы сразу постараетесь во всем разобраться, то работа с сервером FTP со временем станет для вас одним наслаждением. Через такие сервера вы сможете скачивать музыку, фильмы, картинки и прочие файлы, а также содержать сайт с хостом, работающим через протокол передачи данных. Но для этого нужно хорошо понять, что к чему, а в особенности необходимо разобраться в том, что из себя представляет FTP порт, для чего он нужен и как его настроить. Именно об этом и пойдет речь в статье. Вы узнаете, какой порт стандартный, как изменить настройки по умолчанию для портов и разблокировать его в брандмауэре и роутере.

    Что из себя представляет порт и зачем он нужен

    Если разобраться, то все предельно просто. У операционной системы компьютера есть определенное ограниченное число портов. Они нужны для того, чтобы программы могли к ним подключаться через сеть. Это сделано для того, чтобы приложения не конфликтовали между собой во время попытки подсоединиться к сети. Порт — это лишь цифра транспортного протокола. Его можно сравнить с трассой. Если все программы запускать по одной и той же «трассе», то на ней быстро образуется пробка. Потому для каждого приложения должен быть выделен свой уникальный порт — то есть еще не занятое другими программами число.

    Разработчики операционных систем уже давно используют такой метод распределения программ по пронумерованным протоколам и он хорошо себя зарекомендовал. Ведь существует более шести тысяч портов, чего с головой хватит для любого компьютера!

    FTP — это протокол передачи данных. Он необходим для того, чтобы клиент и сервер могли быстро обмениваться различными файлами.

    Такой протокол удобен для тех людей, которым неважен web-интерфейс хранилища, а которые ценят скорость загрузки и количество файлов, которые можно хранить на сервере. Нет лучшего способа обмена объемными данными, чем через протокол FTP. И работает этот протокол через канал TCP. А для того, чтобы подключиться к этому каналу, необходим определенный порт. То есть чтобы открыть сервер, клиент должен зайти на его порт, и уже через него проникнуть на хост. В этом и кроется вся суть портов для FTP.

    Что такое активный и пассивный режим, и как они связаны с портами

    Дело в том, что есть два варианта развития сценария взаимодействия клиента с сервером. Первый вариант — это когда программа назначает порт, по которому ей удобно пользоваться. То есть на сервере установлен определенный номер порта, и система с этим соглашается, освобождая его. А второй вариант — это когда операционная система сама подбирает для программы порт для выхода в сеть.

    В FTP когда клиент пытается подключиться к серверу, активный режим проявляется в момент установки соединения для передачи данных. Если задан активный режим, то тогда клиент задает номер порта соединения, который должен открыть сервер. Получается, что клиент управляет ситуацией, а сервер подстраивается под него. А в пассивном режиме клиент выступает пассивно, то есть принимает от сервера сообщение с номером порта для соединения, и подключается по нему.

    Но дело в том, что в протоколе FTP есть два типа соединения:

    1. Управляющее.
    2. Соединение для передачи данных.

    Активность и пассивность клиента проявляется только во втором типе соединения. А первое необходимо для того, чтобы сервер и клиент могли общаться между собой. То есть чтобы сервер принимал команды от клиента, потому это соединение и называется управляющим. Такое соединение работает через стандартный порт, установленный по умолчанию.

    Как настроить порты по умолчанию, чтобы FTP-сервер заработал

    Многие, кто пытаются установить FTP-сервер в популярной операционной системе Windows, сталкиваются с проблемой закрытых портов. В результате, клиент не может открыть сервер, потому что тот недоступен для него — «трасса» перекрыта. Потому нужно уметь настраивать порты, и об этом далее пойдет речь в статье.

    По умолчанию в FTP настроены 20 и 21 порты. Наибольшее значение имеет 21 порт, который необходим для того, чтобы вы могли открыть сервер и передавать ему команды — то есть он нужен для управляющего соединения. А вот 20 порт нужен в основном для активного режима. В любом случае вам необходимо освоить навык проброса портов, чтобы обойти стандартные блокировки системы и роутера.

    Проблема в том, что далеко не все пользователи Windows решаются на затею создать у себя на компьютере FTP-сервер. Потому операционная система блокирует доступ инородных тел (удаленных компьютеров) на ПК через основные каналы транспортных протоколов. И, как правило, 21 и 20 порты также входят в список заблокированных для удаленных клиентов. А блокируют их со стороны компьютера — брандмауэр, и устройство-посредник для доступа к Интернету — роутер. Вам нужно научиться обходить эту двойную защиту, чтобы вы могли открывать не только 21 порт, но и другие, когда потребуется.

    Настройка проброса портов 21 и 20 начинается с изменения конфигураций брандмауэра. Вам необходимо открыть «Панель управления» через «Пуск». Далее отыщите вкладку «Система и безопасность» и внутри нее найдите раздел «Брандмауэр Windows». Далее вам необходимо добраться к «Дополнительным параметрам брандмауэра» в левом боковом меню настроек. Брандмауэр работает посредством правил, потому вам нужно лишь создать новые стандарты для этой службы, чтобы она не мешала работе FTP-сервера. Для этого нажмите «Правила для входящих подключений» и кнопку «Создать правило». Ничего прописывать не придется — это не написание программы, так как в Windows все работает через интуитивно понятный интерфейс. Вам нужно будет указать тип правила «Для порта». Потом выбрать «Протокол TCP» и указать в форме «Определенные локальные порты» число 21. Далее разрешаете подключение через порт 21, определяете уровень доступа для клиентов, прописываете название правила и сохраняете введенные настройки.

    Следующим шагом вам необходимо настроить правила для исходящих соединений. Ведь не только клиент будет загружать на сервере различные данные и отдавать команды, но и сервер неоднократно поделиться своими файлами и будет высылать данные удаленному компьютеру. Потому исходящие соединения вам также нужно одобрить. В целом, настройка правил для таких соединений ничем не отличается от выше описанной. Вам также нужно будет прописать порт 21 и везде активировать разрешение, которое по умолчанию заблокировано. Если вы используете активный режим, то можете в строке, куда нужно прописывать порт, указывать через запятую сразу две цифры: 21 и 20. Если понадобится на будущее, то можете в правиле прописать целый диапазон портов, для которых соединение будет разрешено — для этого пропишите цифры через дефис без пробелов.

    Иногда настройки одного брандмауэра недостаточно. К стандартным службам подобного плана относится еще и фаерволл. Его настраивать еще проще, чем брандмауэр. Вам не придется добавлять новое правило, а нужно будет лишь отметить галочку возле FTP-сервер для входящих и исходящих соединение. Firewall сам определит порты, через которые работает ваш сервер, и даст добро на их открытие.

    Куда сложнее обстоят дела с роутерами. Дело в том, что их сейчас большое множество. Потому открыть порты 21 и 20 через роутер каким-то универсальным способом не получится — у каждой марки и модели свои нюансы, в которых нужно разбираться. Если вы вообще никогда не влазили в настройки роутера, то лучше не спешите с этим. Почитайте на форумах, разберитесь в меню и функциях, и только затем пробуйте пробросить порт в роутере.

    Зачастую блокировка порта связана с несколькими опциями, которые установлены в роутере. К примеру, это может быть не проставленная галочка возле опции UPnP. Данная опция необходима для того, чтобы программы автоматически пробрасывали порты через роутер и вас не тревожили. Как правило, если в роутере есть такая функция, то она активирована, но бывает всякое, и вполне может быть, что в вашем маршрутизаторе она отключена. Тогда вам осталось найти такой пункт настроек и поставить возле него одобрительную галочку для включения.

    С другой стороны, порой порты нужно указывать в специальных пунктах настроек роутеров. Для этого вам нужно подключиться к роутеру через локальную сеть. Чтобы сделать это, посмотрите на нижней стороне маршрутизатора его IP-адрес, а затем введите его в адресную строку любого браузера. Перед вами откроется меню роутера, в котором нужно найти настройки подключения по локальной сети. В таких настройках, обычно, есть конфигурации семейств IP, которые могут подключаться к роутеру, а также порты, которые открыты для работы. Вам нужно указать диапазон портов, чтобы роутер их не блокировал. Не забудьте учесть диапазон, чтобы числа 20 и 21 вошли в него.

    Обязательно ли использовать 21 порт

    Люди, которые постоянно имеют дело с серверами и создают их, наслышаны о цифре 21. Для них она является знаковой, так как многие сервера и протоколы, не только FTP, используют 21 порт по умолчанию. И это плохо, если начать анализировать ситуацию. Ведь протокол передачи данных совсем не защищен от перехвата. В любой момент опытные хакеры могут напасть на ваш сервер и перехватить пароль и логин клиента. Затем они проникнут на сервер и украдут оттуда важные данные, либо спрячут в каталогах вредоносные программы и вирусы.

    Чтобы хоть как-то повысить уровень безопасности использования протокола FTP, рекомендуется сменить в настройках стандартный порт, который нужен для подключения. Сделать это несложно, но у каждого сервера данная опция настраивается по-своему. Единственный нюанс заключается в том, что потом при подключении клиенту необходимо будет указывать новый номер порта вместо цифры 21. В этом и суть защиты — хакеры не будут знать порт, по которому нужно перехватывать данные, потому не сумеют их украсть.

    Похожие статьи

    e-webmaster.ru

    FTP или порт 21 | pascom.ru

    FTP (File Transfer Protocol) — это протокол передачи файлов. Он используется для передачи файлов от сервера к клиенту и обратно. В нашем случае сервером является компьютер, к которому вы подключаетесь, а клиентом будете вы.

    Чтобы подключиться к FTP-серверу, вам нужно, чтобы софт FTP воспринимал вас, как клиента. Можно сказать, что FTP-серве- ры позволяют вам сгружать и загружать файлы.

    Список FTP-серверов:

    Unix FTPD

    Win9x WFTPD, Microsoft Frontpage Win NT IIS Mac FTPD

    Давайте рассмотрим процесс изнутри.

    FTP-клиент (то есть программа, которую вы запускаете на своем компьютере) подключается к демону FTP (службе, выполняемой в порте 21) выбранного сервера. Если сервер имеет демон FTP, то перед вами появляется экран приветствия, который называется баннером демона.

    В начале строки мы видим «код завершения». Сервер приветствует нас двумя кодами: 220, если нам разрешается подключение, или 421, если в подключении отказано.

    Кроме того, мы можем получить кое-какие сведения об операционной системе и службе, которая выполняется на данном узле. Это ценная информация.

    Помните правило: если мы хотим взломать FTP-сервер, нам необходимо отыскать «дыру».

    Для поиска «дыры» нам нужно знать тип операционной системы, ее версию, а также версию ОС на FTP-сервере данного узла.

    Например, FTP-сервер может использовать две версии: одну, которая работает на Windows, и вторую — на Unix. Если версия Unix имеет «дыру», то это не означает, что версия Windows также имеет эту «дыру». «Дыра» существует только для определенной комбинации сервера и ОС, установленных на узле.

    То есть, если ОС другая, а FTP-сервер тот же, «дыра» не работает. Поэтому перед поиском «дыр» на FTP-сервере вашей ISP обязательно запишите версию ОС и версию FTP-сервера.

    Многие демоны FTP не конфигурируются то есть системные администраторы позволяют существование «гостевых» или анонимных логинов.

    Это означает, что демон FTP позволяет вам вводить Guest или Anonymous в качестве имени пользователя.

    Если вы регистрируетесь с помощью гостевого аккаунта, у вас могут попросить ваше «мыло» (адрес электронной почты). Оно будет добавлено в логи (журнал) сервера, и в записи появится информация о том, что в определенное время вы посещали этот сайт и пользовались демоном FTP.

    Здесь вместо своего почтового адреса вы можете ввести любой придуманный адрес (главное, не забудьте «собаку» и индекс страны).

    pascom.ru

    Как SSH появился на 22 порту / Habr

    SSH по умолчанию работает на порту 22. Это не совпадение. Вот история, как ему достался этот порт.

    Когда я (Тату Илонен) впервые опубликовал эту историю в апреле 2017 года, она стала вирусной: её прочитали около 120 000 читателей за три дня.


    Я написал первую версию SSH (Secure Shell) весной 1995 года. В то время широко использовались Telnet и FTP.

    Но я всё равно разработал SSH для замены и telnet (порт 23) и ftp (порт 21). Порт 22 был свободен и удобно располагался между портами для telnet и ftp. Я подумал, что такой номер порта может стать одной из тех маленьких деталей, которые придадут некоторую ауру доверия SSH. Но как его получить? Я никогда не распределял порты, но я знал тех, кто этим занимается.

    В то время процесс выделения портов был довольно простым. Интернет был меньше, и мы находились на самых ранних стадиях интернет-бума. Номера портов выделяла организация IANA (Internet Assigned Numbers Authority). В то время это означало уважаемых первопроходцев интернета Джона Постела и Джойс К. Рейнольдс. Среди всего прочего, Джон являлся редактором таких незначительных протоколов, как IP (RFC 791), ICMP (RFC 792) и TCP (RFC 793). Возможно, кто-то из вас слышал о них.

    Меня откровенно пугал Джон как автор всех основных RFC для Интернета!

    Так или иначе, но перед анонсом ssh-1.0 в июле 1995 года я отправил в IANA такое электронное письмо:

    From ylo Mon Jul 10 11:45:48 +0300 1995
    From: Tatu Ylonen <[email protected]>
    To: Internet Assigned Numbers Authority <[email protected]>
    Subject: request for port number
    Organization: Helsinki University of Technology, Finland

    Уважаемый сэр,

    Я написал программу для безопасного входа с одной машины на другую по небезопасной сети. Это значительное улучшение безопасности по сравнению с существующими протоколами telnet и rlogin и их реализациями. В частности, она предотвращает спуфинг IP, DNS и маршрутизации. Мой план состоит в том, чтобы свободно распространять программу в интернете и обеспечить как можно более широкое её использование.

    Я хотел бы получить зарегистрированный привилегированный номер порта для программы. Желательно в диапазоне 1-255, чтобы его можно было использовать в поле WKS на нейм-серверах.

    Ниже прикладываю проект RFC для протокола. Программное обеспечение локально используется несколько месяцев и готово для публикации, за исключением номера порта. Если можно оперативно присвоить номер порта, я хотел бы выложить программу уже на этой неделе. В настоящее время в бета-тестировании я использую порт 22. Было бы отлично использовать этот номер (в настоящее время в списках он обозначен как «неприсвоенный»).

    Название сервиса для программного обеспечения — "ssh" (Secure Shell).

    С уважением,

    Тату Илонен <[email protected]>

    … затем следуют спецификации протокола ssh-1.0


    На следующий день в почтовом ящике лежало письмо от Джойс:
    Date: Mon, 10 Jul 1995 15:35:33 -0700
    From: [email protected]
    To: [email protected]
    Subject: Re: request for port number
    Cc: [email protected]

    Тату,

    Мы присвоили порт 22 для SSH, указав вас контактным лицом.

    Джойс


    У нас получилось! Теперь у SSH порт 22!!!

    12 июля 1995 года в 2:32 утра я анонсировал окончательную бета-версию для своих бета-тестеров в Хельсинкском технологическом университете. В 17:23 выслал тестерам пакеты ssh-1.0.0, а в 17:51 отправил объявление о SSH (Secure Shell) в список рассылки [email protected]. Я также продублировал анонс в несколько новостных групп, списков рассылки и непосредственно отдельным людям, которые обсуждали смежные темы в интернете.


    По умолчанию сервер SSH по-прежнему работает на порту 22. Однако бывает иначе. Одна из причин — тестирование. Другая — запуск нескольких конфигураций на одном хосте. Редко бывает, что сервер работает без рутовых привилегий, в этом случае он должен размещаться на непривилегированном порту (т. е. с номером 1024 или больше).

    Номер порта можно настроить, изменив директиву Port 22 в /etc/ssh/sshd_config. Он также указывается параметром -p <port> в sshd. Клиент SSH и программы sftp тоже поддерживают параметр -p <port>.


    Параметр -p <port> можно использовать для указания номера порта при подключении с помощью команды ssh в Linux. В SFTP и scp используется параметр -P <port> (примечание: заглавная P). Указание из командной строки переопределяет любое значение в файлах конфигурации.
    SSH является одним из немногих протоколов, которому часто разрешено работать через файрволы на исходящий доступ, особенно в небольших и технических компаниях. Входящий SSH обычно разрешён к одному или нескольким серверам.

    Исходящий SSH


    Настройка исходящего SSH в файрволе очень проста. Если есть ограничения на исходящий трафик вообще, просто создайте правило, разрешающее исходящие соединения по порту TCP 22. Вот и всё. Если требуется ограничить адреса назначения, можно создать соответствующее правило, разрешив доступ только к серверам вашей организации в облаке или к jump-серверу, который защищает доступ к облаку.

    Обратное туннелирование — это риск


    Однако неограниченный исходящий SSH может быть рискованным. Протокол SSH поддерживает туннелирование. Основная идея в том, что сервер SSH на внешнем сервере прослушивает подключения отовсюду, переправляет их в организацию и устанавливает соединение с каким-то внутренним сервером.

    В некоторых случаях это удобно. Разработчики и системные администраторы часто используют туннелирование, чтобы получить удалённый доступ из дома или с ноутбука во время путешествий.

    Но обычно туннелирование нарушает политику безопасности и отнимает контроль у администраторов файрвола и команды ИБ. Например, оно может нарушать правила PCI, HIPAA или NIST SP 800-53. Его могут использовать хакеры и спецслужбы, чтобы оставить бэкдоры в локальной сети.

    Программа CryptoAuditor контролирует туннелирование в файрволе или в точке входа в группу облачных серверов. Она работает в связке с Universal SSH Key Manager для получения доступа к ключам хоста, используя их для расшифровки сеансов SSH в брандмауэре и блокировки несанкционированного форвардинга.

    Входящий SSH


    Для входящего доступа есть несколько вариантов:
    • Настройте файрвол для пересылки всех подключений к порту 22 на определённый IP-адрес во внутренней сети или DMZ. Запустите по этому IP-адресу CryptoAuditor или jump-сервер, чтобы контролировать и проверять дальнейший доступ в организацию.
    • Используйте разные порты на файрволе для доступа к разным серверам.
    • Разрешайте доступ по SSH только после входа в систему с помощью VPN, обычно по протоколу IPsec.


    Iptables — это файрвол хоста, встроенный в ядро Linux. Обычно он настроен для защиты сервера, предотвращая доступ ко всем портам, которые не были явно открыты.

    Если на сервере включен iptables, следующие команды могут разрешить входящий доступа SSH. Их следует запускать из-под рута.

    iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

    Если хотите сохранить правила навсегда, то в некоторых системах это можно сделать командой:

    service iptables save

    habr.com

    FTPS: защищённое соединение по протоколу FTP — Техническая документация — Помощь

    FTPS (File Transfer Protocol + SSL) — это защищённый протокол передачи данных.

    В процессе передачи информации по протоколу FTPS используется криптографический протокол SSL (Secure Sockets Layer)

    Для чего же нужно шифрование?

    Используя протокол FTPS, вы сможете передавать или принимать данные через своего интернет провайдера в полной уверенности, что никто кроме вас не узнает, какие именно манипуляции вы производили со своими файлами.

    Существует два вида соединения FTPS

    • Explicit FTPS — порт 21. Команды FTP передаются без шифрования. Шифруются только данные.
    • Implicit FTPS — порт 990. Шифруются команды FTP и данные. (более старая версия протокола.)

    Рассмотрим подключение к вашей площадке с использованием FTPS на примерe программ:

    Настройка FTPS в программе Far Manager

    Для установки безопасного соединения с помощью программы Far Manager вам необходимо скачать и установить plugin Far Navigator.

    Для установки Far Navigator нужно сделать следующее:

    1. Закройте все копии менеджера FAR.
    2. Запустите Проводника Windows.
    3. Создайте подкаталог «ProxyFTP» в каталоге FAR\Plugin
    4. Скопируйте файлы из этого архива в созданный подкаталог.
    5. В файловой панели нажмите F11 и выберите «Far Навигатор».
    6. Нажмите SHIFT+F4 для создания нового подключения.

    В поле адреса сервера вводите:

    ftp://uXXXXX.ftp.masterhost.ru
    , где uXXXXX — имя вашей площадки.

    В поле Имя пользователя введите FTP-логин вашей площадки, в поле Пароль — пароль FTP-площадки.

    Для создания FTPS соединения нужно нажать на фразу «Параметры для FTP-соединения», в открывшемся окне отметить строку «Encrypt data transfers with TSL/SSL». После этого нажмите на слово «Сохранить» и можете соединяться со своей площадкой.

    Если у вас не установлены библиотеки SSL, тогда вам нужно их скачать и установить.

    В директории C:\WINDOWS\system\ должны находиться два файла: libssl32.dll и libeay32.dll.

    На этом настройка FTP клиента Far Manager завершена.

    Настройка FTPS в программе FileZilla.

    Для начала нужно скачать и установить FileZilla FTP клиент.

    После установки нужно добавить новый хост.

    В меню нажимаете «Файл» и выбираете стоку «Менеджер хостов».

    Даёте название новому хосту.

    В поле адреса вводите:

    uXXXXX.ftp.masterhost.ru
    где uXXXXX — имя вашей площадки.

    Порт — 21, Тип сервера — нужно выбрать FTPES, Тип входа — нужно выбрать «Нормальный».

    В поле Пользователь вводите FTP-логин вашей площадки, в поле Пароль пароль FTP-площадки.

    На закладке «Настройка передачи» нужно указать Режим передачи — «Активный».

    Настройка клиента FileZilla на этом завершена, нажимаем на кнопку «Соединиться». При установке соединения всплывет окно с предложением доверять сертификату, нужно нажать кнопку «OK».

    Теперь вы можете работать в защищённом режиме со своей площадкой используя протокол FTPS в защищённом режиме простым перетаскиванием файлов мышью между окнами.

    Настройка FTPS в программе SmartFTP

    Для начала нужно скачать и установить SmartFTP-клиент.

    При первом запуске программы необходимо выбрать режим шифрования передачи файлов с помощью SSL, так как по умолчанию SmartFTP работает по стандартному протоколу FTP.

    В поле адреса вводите

    uXXXXX.ftp.masterhost.ru
    где uXXXXX имя вашей площадки.

    В поле Login вводите FTP-логин вашей площадки, в поле Password — пароль FTP-площадки.

    Для соединения с сервером можно нажать комбинацию клавиш CTRL+G или кликнуть левой кнопкой мыши на зелёную иконку.

    Если вы ввели все координаты правильно — произойдёт соединение с сервером, и вы увидите все домены, размещённые на площадке.

    Обратите внимание на стоки: «Session Clipher: 128 bit RC4» и «TLS encrypted session established». Это значит, что вы соединились с сервером и используете потоковое шифрование с длинной ключа равной 128 bit.

    Нажав на ссылку «Open a Local Browser» вы сможете открыть проводник и работать в защищённом режиме со своей площадкой используя протокол FTPS в защищённом режиме простым перетаскиванием файлов мышью между окнами.

    masterhost.ru

    FTP: активный/пассивный режим - myNetNotes — ЖЖ

    Режимы FTP

    При работе по протоколу FTP между клиентом и сервером устанавливается два соединения - управляющее (по нему идут команды) и соединение передачи данных (по нему передаются файлы). Управляющее соединение одинаково для Активного и Пассивного режима. Клиент инициирует TCP-соединение с динамического порта (1024-65535) к порту номер 21 на FTP-сервере и говорит "Привет! Я хочу подключится к тебе. Вот мое имя и мой пароль". Дальнейшие действия зависят от того, какой режим FTP (Активный или Пассивный) выбран.

    В Активном режиме, когда клиент говорит "Привет!" он так же сообщает серверу номер порта (из динамического диапазона 1024-65535) для того, чтобы сервер мог подключиться к клиенту для установки соединения для передачи данных. FTP-сервер подключается к заданному номеру порта клиента используя со своей стороны номер TCP-порта 20 для передачи данных. Для клиента такое соединение является входящим, так что зачастую работа в активном режиме клиентов, находящихся за файрволлом или NAT затруднена или требует дополнительных настроек.

    В Пассивном режиме, после того как клиент сказал "Привет!", сервер сообщает клиенту номер TCP-порта (из динамического диапазона 1024-65535), к которому можно подключится для установки соединения передачи данных. При этом, как легко заметить, порты в таком соединении как со стороны клиента, так и со стороны сервера оказываются произвольными. В пассивном режиме клиент легко может работать с сервером сквозь свой файрволл, но зачастую для поддержки пассивного режима сервером требуется соответствующая настройка файрволла уже на стороне сервера.

    Главное отличие между Активным режимом FTP и Пассивным режимом FTP - это сторона, которая открывает соединение для передачи данных. В Активном режиме клиент должен суметь принять это соединение от FTP-сервера. В Пассивном режиме клиент всегда инициирует это соединение сам, и принять его должен уже сервер.

    http://help.vth.ru/wiki/index.php/Режимы_FTP

    ***

    FTP это служба, основанная исключительно на TCP (Протокол управления передачей). FTP необычна в том, что она использует два порта, порт «данных» и порт «команд» (также известный как порт управления). Традиционно это порт 21 для команд и порт 20 для данных. Однако зависимо от режима, порт данных не всегда будет 20.

    В активном режиме FTP клиент соединяется с произвольного непривилегированного порта (N > 1024) к FTP серверному командному порту 21. Затем, клиент начинает слушать порт N+1 и посылать FTP команду PORT N+1 на FTP сервер. В ответ, сервер соединяется с указанным портом данных клиента из своего локального порта данных 20.

    В пассивном режиме FTP клиент инициирует оба соединения с сервером, решая проблему с файрволами, которые фильтруют входящий порт данных клиента. При открытии FTP соединения, клиент локально открывает два непривилегированных порта (N > 1024 и N+1). Первый порт контактирует с сервером на порт 21, но вместо того, чтобы затем выдать команду PORT и позволить серверу в ответ соединиться с его портом данных, клиент выдает команду PASV. В результате сервер открывает произвольный непривилегированный порт (P > 1024) и посылает клиенту команду PORT P. Затем, для передачи данных, клиент инициирует соединение от порта N+1 к порту P на сервере.

    http://www.netpromoter.ru/linkutility/help/ftp.html

    ***

    FTP is a TCP based service exclusively. There is no UDP component to FTP. FTP is an unusual service in that it utilizes two ports, a 'data' port and a 'command' port (also known as the control port). Traditionally these are port 21 for the command port and port 20 for the data port. The confusion begins however, when we find that depending on the mode, the data port is not always on port 20.

    Active FTP

    In active mode FTP the client connects from a random unprivileged port (N > 1023) to the FTP server's command port, port 21. Then, the client starts listening to port N+1 and sends the FTP command PORT N+1 to the FTP server. The server will then connect back to the client's specified data port from its local data port, which is port 20.

    From the server-side firewall's standpoint, to support active mode FTP the following communication channels need to be opened:
    FTP server's port 21 from anywhere (Client initiates connection)
    FTP server's port 21 to ports > 1023 (Server responds to client's control port)
    FTP server's port 20 to ports > 1023 (Server initiates data connection to client's data port)
    FTP server's port 20 from ports > 1023 (Client sends ACKs to server's data port)

    In step 1, the client's command port contacts the server's command port and sends the command PORT 1027. The server then sends an ACK back to the client's command port in step 2. In step 3 the server initiates a connection on its local data port to the data port the client specified earlier. Finally, the client sends an ACK back as shown in step 4.

    The main problem with active mode FTP actually falls on the client side. The FTP client doesn't make the actual connection to the data port of the server--it simply tells the server what port it is listening on and the server connects back to the specified port on the client. From the client side firewall this appears to be an outside system initiating a connection to an internal client--something that is usually blocked.

    Passive FTP

    In order to resolve the issue of the server initiating the connection to the client a different method for FTP connections was developed. This was known as passive mode, or PASV, after the command used by the client to tell the server it is in passive mode.

    In passive mode FTP the client initiates both connections to the server, solving the problem of firewalls filtering the incoming data port connection to the client from the server. When opening an FTP connection, the client opens two random unprivileged ports locally (N > 1023 and N+1). The first port contacts the server on port 21, but instead of then issuing a PORT command and allowing the server to connect back to its data port, the client will issue the PASV command. The result of this is that the server then opens a random unprivileged port (P > 1023) and sends the PORT P command back to the client. The client then initiates the connection from port N+1 to port P on the server to transfer data.

    From the server-side firewall's standpoint, to support passive mode FTP the following communication channels need to be opened:
    FTP server's port 21 from anywhere (Client initiates connection)
    FTP server's port 21 to ports > 1023 (Server responds to client's control port)
    FTP server's ports > 1023 from anywhere (Client initiates data connection to random port specified by server)
    FTP server's ports > 1023 to remote ports > 1023 (Server sends ACKs (and data) to client's data port)

    Summary

    The following chart should help admins remember how each FTP mode works:
    Active FTP :
    command : client >1023 -> server 21
    data : client >1023 <- server 20

    Passive FTP :
    command : client >1023 -> server 21
    data : client >1023 -> server >1023

    A quick summary of the pros and cons of active vs. passive FTP is also in order:

    Active FTP is beneficial to the FTP server admin, but detrimental to the client side admin. The FTP server attempts to make connections to random high ports on the client, which would almost certainly be blocked by a firewall on the client side. Passive FTP is beneficial to the client, but detrimental to the FTP server admin. The client will make both connections to the server, but one of them will be to a random high port, which would almost certainly be blocked by a firewall on the server side.

    Luckily, there is somewhat of a compromise. Since admins running FTP servers will need to make their servers accessible to the greatest number of clients, they will almost certainly need to support passive FTP. The exposure of high level ports on the server can be minimized by specifying a limited port range for the FTP server to use. Thus, everything except for this range of ports can be firewalled on the server side. While this doesn't eliminate all risk to the server, it decreases it tremendously.

    http://slacksite.com/other/ftp.html

    mynetnotes.livejournal.com

    Большинство атак приходится порты 22, 80 и 443 — «Хакер»

    Специалисты компании Alert Logic проанализировали более 5000 атак (совершенных в течение шести месяцев, с ноября 2018 года по апрель 2019 года) на 4000 своих компаний-клиентов малого и среднего бизнеса и перечислили в своем отчете основные слабые стороны компаний.

    Так, оказалось, что наиболее используемыми портами для проведения атак являются 22, 80 и 443, которые соответствуют SSH (Secure Shell), HTTP (Hypertext Transfer Protocol) и HTTPS (Hypertext Transfer Protocol Secure). По данным аналитиков, 65% атак были связаны с этими портами, что вполне логично, ведь они должны быть открыты для общения.

    На четвертом месте находится RDP, отвечающий за удаленную связь между компьютерами. В этом году RDP привлек к себе много внимание из-за множества исправлений для уязвимостей, ведущих к удаленному выполнению кода (CVE-2019-1181 ,  CVE-2019-1182 и  CVE-2019-0708).

    Также серьезный риск представляют FTP-порты 20 и 21. Активные серверы были выявлены на многих принтерах, камерах и источниках бесперебойного питания.

    Кроме того, безопасность организаций часто подрывают к слабое шифрование и устаревшее ПО, на долю которых приходится соответственно 66% и 75% проблем, замеченных Alert Logic у своих клиентов. К примеру, более 66% хостов работали под управлением Windows 7, чья поддержка будет прекращена в январе 2020 года.  Хуже того, Windows XP, финальная версия которой вышла в далеком  2008 году, а поддержка была прекращена в 2014 году, тоже используется во множестве компаний. Хотя странно пенять на Windows XP, если в сетях своих клиентов эксперты Alert Logic обнаружили даже системы Windows NT (выпущенные в 1993 году).

    Почти половина всех изученных Linux-систем работала тоже с устаревшим ядром, а точнее  они использовали версию 2.6, которая не поддерживается в течение последних трех лет и имеет более 65 известных уязвимостей.

    xakep.ru

    Отправить ответ

    avatar
      Подписаться  
    Уведомление о