大学のネットワーク上のウェブサイトへのFTPアクセスができませんでした。 (大学には、サイバロムに囲まれたファイアウォールがあります)。それ以外の場合、ディレクトリリストが表示される時点で失敗します。後で、大学がデフォルトでFTPポートをブロックしていることがわかりました。私はITスタッフに行き、FTPサイト(21と22)のWebサイトへのブロックを解除するよう依頼しました。彼らは、セキュリティ上の懸念を引き起こす可能性のある推論を否定しました。
では、サードパーティのWebサイトへのFTPアクセスを許可する場合、ネットワークに実際にリスクはありますか? FTPを介してリモートでnewtworkを侵害することはできますか?抜け穴はありますか?
考えられるすべてのセキュリティ問題を検討するのに時間をかけたくないと思われるため、リクエストは拒否されました。ネットワーク管理者は、未知の脅威に対して安全なネットワークを維持するという大きなプレッシャーにさらされています。
ポート80または443を介して接続できるが、トラフィックを21、22に転送するサーバーまたはサービスの使用を検討する必要があります。
FTPは動的ポートを使用するため、見苦しいプロトコルです。FTPは、広く開かれたファイアウォールまたはFTPクライアント内の特定の構成を必要とします。また、デフォルトでクリアなログイン情報を送信し、暗号化されたバージョンのFTPSはファイアウォールでさらに多くの問題を引き起こします。これらのことから、ファイアウォール管理者はプロトコルを嫌い、セキュリティ上の理由から許可するためにリクエストを拒否する方が良いでしょう。
それとは別に、ポート21、22のリクエストは間違っていました。ポート21はFTP制御接続ですが、ポート22はSSH用であり、FTPとは関係ありません。ただし、SSHの上にファイル転送であるSFTPがあります。これは、SSLを有効にしたFTPであるFTPSとはまったく異なります。
ただし、ポート21はFTPを通過させるのに十分ではありません。 FTPアクティブモードでは、サーバーポート20からクライアントへのany接続を許可する必要があり、FTPパッシブモードでは、クライアントのanyポートからの接続を許可する必要があります- anyサーバー上のポート。ファイアウォールには、これを回避し、より制限的なポリシーを取得するためのFTPプロキシまたはヘルパーがありますが、使用が制限され、通常はFTPSでは機能しないため、パスワードはプレーンテキストで転送されます。
この説明から、FTPプロトコルが安全ではないと見なされ、ファイアウォール管理者に嫌われているのはなぜでしょうか。代わりにSSH/SFTP(ポート22のみが必要)に移動するか、WebDAVを使用する(デフォルトのHTTP/HTTPSポートで動作する)ことをお勧めします。
ところで、セキュリティに関する質問がある場合は、security.stackexchange.comでより良い回答を得ることができます。