Portar

Port 20: FTP data

Äldre FTP datakanal i aktivt läge. Ofta blockerad på moderna nätverk.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 20 är traditionellt FTP dataporten i aktivt läge. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd. En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar.

Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda. Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket.

FTP är ovanlig eftersom den använder två separata TCP-anslutningar: en kontrollsession på port 21 för kommandon och svar, och en separat dataanslutning för kataloglistor och filinnehåll. I aktivt läge berättar klienten för servern vilken klientport som ska anslutas tillbaka till, och servern initierar dataanslutningen från sin lokala port 20 till den klientporten.

I passivt läge väljer servern istället en hög port och klienten ansluter till den, varför FTP är känt för att vara knepigt med brandväggar och NAT. Så när du ser port 20, tänk på aktiva lägesöverföringar och det bredare faktum att FTP öppnar extra anslutningar bortom den ursprungliga inloggningskanalen.

Hur det fungerar i stora drag

  1. Klienten ansluter till serverkontrolltjänsten på port 21 och förhandlar om en aktiv överföring (PORT eller EPRT).
  2. Servern öppnar en ny TCP-anslutning från dess port 20 till en klientspecifik adress och port.
  3. Dataanslutningen bär filen eller listan och stängs sedan medan kontrollanslutningen förblir uppe.

Konkret exempel

En äldre byggserver hämtar fortfarande artefakter från en FTP-värd. Kontrollsessionen är den 21, men själva filen anländer på en separat anslutning skapad av servern, varför brandväggen behöver en explicit regel för det aktiva dataflödet.

Varför det är viktigt

När du ser port 20 öppen betyder det vanligtvis att äldre FTP är i spel, eller att en brandväggsregel är alltför tillåtande. Det spelar roll eftersom FTP designades innan kryptering var standard, och designen med två kanaler skapar ofta brandvägg och NAT överraskningar.

Säkerhetsperspektiv

  • Föredrar SFTP eller HTTPS baserade överföringar för internet. Om FTP måste finnas, begränsa det till interna nätverk.
  • Inaktivera aktivt läge om du inte har ett starkt skäl och en explicit brandväggspolicy för det.
  • Övervaka för anonym åtkomst och oväntade upp- och nedladdningar.

Vanliga fallgropar

  • Förutsatt att port 20 alltid bär data. Många FTP-distributioner använder passivt läge där data använder en servervald hög port istället.
  • NAT och brandväggar släpper den serverinitierade anslutningen i aktivt läge.
  • Behandla FTP som en porttjänst och glömma det extra dataflödet.