Portar

Port 21: FTP control

Klassisk FTP kommandokanal. Dataflödet är separat och använder ofta andra portar.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 21 är den klassiska FTP kontrollporten. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd.

En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar. Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda.

Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket. En FTP-server lyssnar på port 21 för kontrollsessionen där klienten loggar in och skickar kommandon som lista, ändra katalog och begära en filöverföring.

Kontrollanslutningen är inte där fildata normalt färdas. När en överföring startar skapar FTP en andra TCP-anslutning för den faktiska datan, antingen serverinitierad i aktivt läge eller klientinitierad till en servervald port i passivt läge.

Att tvåkanalsdesign är den praktiska anledningen till att port 21 ofta dyker upp tillsammans med andra portar i brandväggsregler. Ur säkerhetssynpunkt innebär en exponerad FTP-kontrollport vanligtvis att autentiseringsuppgifter och filöverföringsbeteende kan nås från nätverket, och det är ett attraktivt mål för brute force och felkonfiguration.

Hur det fungerar i stora drag

  1. Klienten öppnar en TCP-anslutning till port 21 och utbyter kommandon och svar.
  2. För varje överföring skapar FTP en separat dataanslutning (aktivt läge använder serverport 20, passivt läge använder en servervald hög port).
  3. Servern upprätthåller behörigheter och filsystemåtgärder och stänger sedan dataanslutningen efter varje överföring.

Konkret exempel

Du kör en sårbarhetssökning och ser port 21 öppen. En snabb kontroll i en paketinsamling visar USER och PASS i klartext, vilket är en tydlig signal för att migrera arbetsflödet till SFTP eller för att genomdriva TLS.

Varför det är viktigt

Port 21-exponering är ett vanligt fynd vid skanningar. Det spelar roll eftersom klassiska FTP skickar autentiseringsuppgifter och data i klartext om den inte är inpackad i TLS, och eftersom den separata datakanalen kan slå hål genom brandväggar om den är felkonfigurerad.

Säkerhetsperspektiv

  • Föredrar SFTP eller HTTPS. Om du måste använda FTP, använd explicit FTPS med stark TLS och inaktivera klartextinloggningar.
  • Begränsa till IP och kräver starka inloggningsuppgifter och revision.
  • Hårda servern och inaktivera anonym åtkomst om du inte verkligen behöver det.

Vanliga fallgropar

  • Lämnar vanlig FTP tillgänglig från opålitliga nätverk.
  • Att glömma passivt läge kräver ett förutsägbart portintervall för att tillåtas genom brandväggar.
  • Förutsatt stark autentisering. Många FTP-servrar är konfigurerade med svaga eller delade konton.