Portar

Port 989: FTPS data

Implicit FTPS datakanal. Mindre vanligt än explicit FTPS den 21 med förhandlade TLS.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 989 är associerad med datakanalen för implicit FTPS i vissa distributioner. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd. En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar.

Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda. Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket.

FTPS är FTP med TLS, men FTP behåller sin klassiska design med två anslutningar: en kanal för kontrollkommandon och en annan för data. I äldre implicita FTPS-inställningar använde kontrollkanalen port 990 och datakanalen använde port 989, med TLS förväntad omedelbart på dessa portar.

Många moderna miljöer föredrar explicit FTPS på port 21 där TLS förhandlas, eller SFTP på port 22, eftersom det förenklar brandväggen och minskar antalet rörliga delar. Den verkliga implikationen är att även när kryptering finns, kan FTP-stil dataanslutningar fortfarande kräva extra portar och försiktig NAT hantering, så att se 989 öppen bör utlösa en kontroll att överföringsmetoden fortfarande är nödvändig och korrekt begränsad.

Hur det fungerar i stora drag

  1. Klient och server upprättar en TLS-skyddad kontroll- och datarelation enligt läget FTPS som används.
  2. Dataöverföringar sker över en dedikerad anslutning som kan använda port 989 i implicita inställningar.
  3. Brandväggar måste fortfarande tillåta de förhandlade dataflödena, ofta över dynamiska intervall.

Konkret exempel

En partner insisterar på implicit FTPS. Ditt brandväggsteam måste tillåta en förutsägbar uppsättning portar och bekräfta att datakanalen verkligen förhandlar som förväntat, annars misslyckas överföringar periodvis.

Varför det är viktigt

Den här porten är viktig eftersom FTPS fortfarande ärver FTPs separata datakanalbeteende. Även när det är krypterat kan det vara smärtsamt med brandväggar och NAT. När du ser 989 öppen, validera om tjänsten krävs och om en enklare överföringsmetod skulle minska attackytan.

Säkerhetsperspektiv

  • Föredra SFTP eller HTTPS baserade överföringar för enkelhet och färre brandväggsöverraskningar.
  • Om FTPS krävs, dokumentera och begränsa portintervallen och upprätthålla stark TLS.
  • Övervaka för brute force och ovanliga överföringsmönster.

Vanliga fallgropar

  • Förutsatt att FTPS är en enda porttjänst och glömmer den extra dataanslutningen.
  • Felkonfigurerad TLS som tillåter gamla versioner eller svaga chiffer.
  • Lämnar äldre implicit FTPS öppen när moderna klienter använder explicit FTPS eller SFTP.