Por lo general (hasta donde sé), FTP usa el puerto 21.
Ya que este puerto se usa para FTP tan a menudo, ¿es más seguro usar otro puerto? Supongo que si alguien con intenciones maliciosas intenta romper las cuentas de FTP, intentará con el puerto 21.
No es seguro usar ftp en ningún puerto. Aquellos que tengan una intención maliciosa de ingresar a su red o sistema no escanearán su sistema en busca del puerto 21 sino de todos los puertos, y determinarán el otro puerto prácticamente en ningún momento.
Usted es mejor con sftp como su herramienta de transferencia de archivos.
Por otro lado, tienes la opción de agregar algo de seguridad a tus transferencias ftp y puertos si lo ejecutas en un túnel VPN en su lugar.
La razón por la que FTP generalmente se considera inseguro es porque no está cifrado, lo que significa que si alguien está olfateando el tráfico en cualquier lugar de la ruta de la red, se puede leer todo lo que lo atraviesa. Esto incluye el nombre de usuario, la contraseña, todos los datos que se transfieren, y el puerto que se está utilizando .
El uso de un puerto no estándar no aumentará la seguridad, pero podría reducir la cantidad de bots que intentan conectarse a él, lo que llenará sus registros de red de manera molesta.
Si su servidor FTP siempre se mantiene actualizado, generalmente eso significa que no habrá ninguna vulnerabilidad conocida contra esa aplicación. Por otro lado, si el servidor está desactualizado, se arriesga a robots que analizan vulnerabilidades conocidas que de otra forma se hubieran solucionado.
Si el servidor FTP está mal configurado, por ejemplo, tiene un nombre de usuario / contraseña predeterminado o una contraseña débil en una cuenta desatendida (o privilegiada), entonces un ataque de fuerza bruta puede pasar fácilmente.
Ahora que conoce los dos ataques más comunes, para responder a su pregunta específicamente, sí, un número de puerto no predeterminado reducirá la probabilidad de tal ataque, especialmente en lo que respecta a los robots que están explorando Internet en busca de vulnerabilidades.
Esto a menudo se considera Seguridad a través de la oscuridad y está mal visto debido a su efecto limitado, pero no se puede negar que mejora su seguridad hasta cierto punto, especialmente contra los escáneres de vulnerabilidad de robots. Probablemente no tanto contra un ataque dirigido.
Sugerencias:
Lo mejor que puede hacer con un servicio de FTP es limitar las direcciones IP que pueden acceder a él. Esto evita la exploración de vulnerabilidades. Por ejemplo, es probable que solo haya ciertos edificios en el mundo que usaría para acceder al servidor FTP. No es necesario que permita el acceso desde ninguna otra dirección IP.
Se recomienda altamente que deje de usar FTP y cambie a SFTP (SSH) para evitar que salgan sus credenciales. FTP no está cifrado y, si bien eso no es aplicable a su pregunta, es muy arriesgado utilizar una conexión no cifrada para cualquier cosa, excepto el acceso a la LAN en el sitio.
También considere usar una VPN, que le brinda acceso remoto seguro a la LAN.
Sí, aunque solo de una manera muy menor.
Con cualquier evaluación de riesgos existe el factor de costo frente a la seguridad provista.
Cuando mueva el FTP a un puerto no estándar, reducirá los intentos entrantes de obtener resultados bajos. En otras palabras, los script kiddies que prueban una lista de diccionarios solo en el puerto 21 ya no serán considerados atacantes. De esta manera es más seguro.
Sin embargo, el costo es que todos los cortafuegos (incluidos algunos fuera de su control) deben ajustarse. Los clientes necesitarán cambiar la configuración y los usuarios deberán seguir un procedimiento no estándar. Estas son cosas pequeñas, pero tu ganancia es pequeña.
Solo por estos méritos, en ausencia de todos los demás, es una llamada cercana (en la pregunta de que vale la pena).
Dicho esto, hay formas mucho mejores de lograr una mejor seguridad. Una lista blanca de direcciones IP es barata y fácil. Proporciona más seguridad que el cambio de puerto. El acceso VPN para FTP es otra ruta "fácil" si ya tiene configurada una VPN.
El uso de esos u otros métodos para proteger FTP es generalmente "más barato" y más seguro que simplemente cambiar de puerto.
GRAN SUPER NOTA IMPORTANTE
Aunque FTP tiene sus usos, no debe considerarse seguro. Utilice SFTP .
En caso de que el tráfico detecte un cambio en el puerto, no hay ninguna diferencia. Apenas ayuda contra un hacker humano, tratando de analizar las vulnerabilidades del sistema.
Ayudará contra los mecanismos automáticos (botnets, gusanos), ya que tienden a asumir puertos estándar.
Historia corta: cambiar de puerto no es el camino a seguir para asegurar un servicio de transferencia de archivos.
Ahora para una explicación más detallada. Si no tiene motivos para tener un servidor FTP en una máquina, lo más seguro es que no tenga cualquiera que sea el puerto . Y un servidor FTP rara vez es necesario, excepto para un servicio de archivos públicos. Es uno de los protocolos más antiguos en el mundo TCP / IP y solo está destinado a intercambiar archivos. Si controla ambos extremos de la conexión, dicho de manera diferente si todos los usuarios que lo usarán son conocidos por el sistema con un nombre de usuario y contraseña, entonces debe usar sftp, que es un caso de uso especial de ssh. Como se construye sobre ssh, todos los intercambios están totalmente encriptados y proporciona un sistema de autenticación de clave pública altamente seguro. Por supuesto, algunos navegadores ya no serán utilizables (Filezilla, gracias a @ dave_thompson_085 por notarlo), pero usar una contraseña real con un servidor FTP normal a través de una conexión a Internet es ... pobre Práctica de seguridad porque se pasa sin cifrar. En resumen, no hagas eso ! De todos modos puedes encontrar clientes GUI sftp.
FTP todavía se usa mucho para servidores de archivos públicos. Puede encontrar implementaciones sólidas que han sido probadas en gran medida (lo que significa que las fallas de implementación son poco probables) y vienen con buenas características como la capacidad de reiniciar una transferencia interrumpida sin perder lo que ya se ha descargado. Todas las principales distribuciones de Linux y BSD se pueden encontrar en servidores FTP, debido a eso. Pero ya no tengo un servidor FTP en mis propias máquinas durante décadas ...
Y solo por el posible aumento de seguridad del uso de un puerto no estándar, olvídese de sus ilusiones: un escaneo de puerto podría revelarlo pronto, sin hablar de un simple escáner de paquetes promiscuo en cualquier lugar de la red. Lo que es aún peor, los administradores principiantes podrían verse tentados al instalar un servidor FTP configurado rápidamente en un puerto no estándar para su propio uso, diciendo que nadie lo encontrará allí, así que no perderé tiempo en asegurarlo . El resultado real es que:
Y es probable que el cambio de un puerto conocido prohíba a los usuarios que se encuentran detrás de un proxy corporativo acceder a su servidor.
Esta parte no está directamente relacionada con la pregunta en sí misma, pero en la afirmación común: FTP no es seguro, no lo use , lo cual no es correcto.
FTP se usó como un protocolo seguro con autenticación segura antes de ssh. Es cierto que ahora se usa raramente de esa manera, pero contraseña de un solo uso es una manera de mitigar el riesgo de credenciales robadas. Por supuesto, cualquier persona en una red puede ver la contraseña, pero tan pronto como se ha utilizado, se revoca inmediatamente. Utilicé intensamente eso en los 80 ', y todavía tendría confianza en OPIE u OTPW para una conexión segura a través de líneas no seguras. Incluso si debo aceptar que ahora uso sftp y ssh en lugar de telnet + ftp + OPIE :-)
Lo que quiero decir es que el FTP no es inseguro per se y se puede usar de manera segura. El uso simplemente trivial de FTP generalmente no es seguro.
Dejando de lado la cuestión de si se reducirá el escaneo automático (sí), y si puede esperar cualquier seguridad de FTP en cualquier caso (no), configurar FTP en un puerto no estándar puede incluso perjudicar la seguridad de su configuración general.
Si está ejecutando un servidor FTP en un puerto no estándar en el mismo host que un servidor HTTP, se puede usar el servidor FTP para realizar XSS en el servidor HTTP en algunos navegadores. enlace del archivo
IIRC esto funciona mediante la POSTACIÓN de los datos HTML + JS utilizando HTTP al servidor FTP, que el navegador permite porque el servidor FTP está en un puerto no estándar, por lo que el navegador no sabe que es FTP y no ve ninguna razón para rechazar esto. El servidor FTP responde con mensajes de error que contienen los datos no válidos que se publicaron. La respuesta no contiene encabezados HTTP, pero esto solo hace que el navegador asuma que es una respuesta HTTP / 0.9. Por lo tanto, el servidor simplemente le dio una respuesta que contiene la carga útil que le envió. Al menos las versiones anteriores de IE ignoraron el puerto wrt. La política del mismo origen, así que tienes XSS en tus manos, sin hacer nada mal en el lado HTTP de las cosas.
No estoy seguro de cuánto de esto se ha mitigado (eliminando el soporte HTTP / 0.9, interpretando todas las respuestas HTTP / 0.9 como texto / sin formato, corrigiendo el problema del puerto en IE, etc.) en los navegadores modernos, pero definitivamente muestra que puede tener consecuencias involuntarias en otros lugares. (Y todavía lo tiene, al menos si un usuario está utilizando un IE más antiguo)
En cuanto a cuál es el mal menor, las exploraciones automáticas o XSS para [al menos] algunos navegadores más antiguos: Amigo, simplemente deshazte de todo lo relacionado con FTP :)
Tu pregunta es realmente dos preguntas. Una es sobre la seguridad de usar FTP. y el otro es sobre los beneficios de cambiar el puerto predeterminado para una red protocolo.
Algunas personas argumentarán que cambiar el puerto predeterminado es un ejemplo de seguridad a través de la oscuridad. Sin embargo, esto solo es cierto si esta es la única seguridad control que pones en su lugar. Cambiar el puerto predeterminado puede ser legítimo Control de seguridad, pero solo si también se combina con otra seguridad. controles Es cierto que no es un control particularmente fuerte y cualquiera con un nivel de conocimiento moderado probablemente encontrará el nuevo puerto de su protocolo está escuchando. Sin embargo, es una capa adicional de protección, aunque solo sea una versión delgada y seguridad tiene que ver con capas de protección. No puede parar una persona experimentada que intenta entrar en su sistema, pero puede detenerse Muchos ataques automatizados o simples basados en scripts.
La desventaja con tales enfoques Es que sí tiene un impacto en la usabilidad. Cualquier usuario legítimo del servicio. ahora tendrá que conocer el nuevo puerto y probablemente tendrá que usar más línea de comandos o ajustes de configuración para usar su servicio En algunas situaciones, Esto puede estar bien, pero en otros, será inconveniente o confuso. Eso Realmente depende de tu situación y de lo que estás tratando de proteger. en contra.
Por ejemplo, a menudo moveré mi servicio SSH del puerto 22 a una puerto diferente Si bien esto solo tiene un impacto mínimo en la seguridad, tiene la beneficio de evitar la gran cantidad de scripts automatizados que veo que intento intentos muy simplistas de acceder a mi sistema, reduce el "ruido" en mis registros y posiblemente tenga un impacto mínimo en los servicios (en una ubicación en la que estaba trabajando, estaba viendo un promedio de 30k intentos de inicio de sesión en el puerto 22 al día). Como yo era el único usuario con motivos legítimos para utilizar SSH para conectarse a este sistema, cambiando el puerto predeterminado tenía un mínimo inconveniente y una vez que me moví a los diferentes Puerto, solo vería un par de intentos a la semana. Sin embargo, esto fue con SSH, que está diseñado para ser seguro por defecto. FTP es una historia diferente.
En el caso de FTP, si no hace nada más que mover el puerto predeterminado, entonces es la seguridad a través de la oscuridad y tendrá poco impacto variado en Seguridad general: disminuirá la facilidad de uso y no hará nada para abordar el problema. Debilidades fundamentales en el FTP. La seguridad básica de su sistema no será mejorado por cualquier cantidad significativa, ya que es trivial hacer un escaneo de puertos y identificar el nuevo puerto en el que el servicio FTP está escuchando.
Como lo señalaron algunas de las otras publicaciones y comentarios, el problema real aquí es Ese FTP es simplemente un protocolo inseguro. Hay una serie de funcionalmente alternativas equivalentes. Por lo tanto, si te preocupa la seguridad, lo mejor. curso de acción es simplemente no utilizar FTP. Hay versiones de FTP y formas de configure FTP, que puede hacerlo más seguro, pero en gran medida, estos son "después del hecho" las adiciones / extensiones al protocolo y es probable que todavía no sean tan seguro como un protocolo que tenía seguridad incorporada desde el principio. Entonces el La respuesta real si la seguridad es una preocupación es simplemente no usar protocolos antiguos como FTP y telnet. Utilice elementos como SCP o incluso SFTP y SSH o incluso HTTPS.
Creo que algo que otras respuestas no han podido dejar en claro es que en la gran mayoría de los casos en Internet, el tráfico de piratería proviene de robots que exploran puertos conocidos en busca de servicios conocidos (como el puerto 21 de FTP) y solo actúan si el escaneo Devuelve algo útil (como un servidor FTP). A menos que su servidor sea el objetivo de los hackers humanos, probablemente no debería preocuparse.
¿Es FTP generalmente seguro? No.
¿Deberías usarlo de manera pública? No.
Si lo usa en el puerto 21 en una IP pública, ¿un robot robará sus datos? Posiblemente.
Si lo usa en un puerto no estándar en una IP pública, ¿un pirata informático robará sus datos o pondrá en peligro sus datos? Probablemente no.