Il n'est pas sûr d'utiliser ftp sur n'importe quel port. Ceux qui ont une intention malveillante d'entrer dans votre réseau ou votre système n'analyseront pas votre système pour le port 21 mais pour tous les ports, et trouveront l'autre port en un rien de temps.

Vous êtes mieux avec sftp comme outil de transfert de fichiers.

D'un autre côté, vous avez la possibilité d'ajouter une certaine sécurité à vos transferts et ports ftp si vous l'exécutez via un tunnel VPN à la place.

La raison pour laquelle FTP est généralement considéré comme non sécurisé est qu'il n'est pas chiffré, ce qui signifie que si quelqu'un renifle du trafic n'importe où dans le chemin réseau, alors tout ce qui le traverse peut être lu. Cela inclut le nom d'utilisateur, le mot de passe, toutes les données transférées, et le port utilisé .

L'utilisation d'un port non standard n'augmentera pas la sécurité, mais cela pourrait réduire le nombre de robots qui tentent de s'y connecter, ce qui remplit de manière ennuyeuse vos journaux réseau.

1. Si votre serveur FTP est toujours mis à jour, cela signifie généralement qu'il n'y aura pas d'exploits connus contre cette application. D'un autre côté, si le serveur est obsolète, vous risquez des robots qui recherchent des vulnérabilités bien connues qui autrement auraient été corrigées.

2. Si le serveur FTP est mal configuré, par exemple avec un nom d'utilisateur / mot de passe par défaut, ou un mot de passe faible sur un compte négligé (ou privilégié), alors une attaque par force brute peut facilement passer.

Vous connaissez maintenant les deux attaques les plus courantes, pour répondre spécifiquement à votre question, oui, un numéro de port autre que celui par défaut réduira la probabilité d'une telle attaque, en particulier en ce qui concerne les robots qui recherchent des vulnérabilités sur Internet.

Ceci est souvent considéré comme la sécurité par l'obscurité et est mal vu en raison de son effet limité, mais vous ne pouvez pas nier que cela améliore votre sécurité dans une certaine mesure, en particulier contre les scanners de vulnérabilité des robots. Probablement pas tant contre une attaque ciblée.

Suggestions:

• Changer le port par défaut est une chose simple que vous pouvez faire si vous n'êtes pas sûr de la sécurité telle quelle .

• La meilleure chose à faire avec un service FTP est de limiter les adresses IP qui peuvent y accéder. Cela empêche l'analyse des vulnérabilités. Par exemple, il est probable qu'il n'y ait que certains bâtiments dans le monde que vous utiliseriez pour accéder au serveur FTP. Vous n'avez pas besoin d'autoriser l'accès à partir d'une autre adresse IP.

• Il est fortement recommandé d'arrêter d'utiliser FTP et de passer à SFTP (SSH) pour protéger vos informations d'identification de sortir. Le FTP n'est pas chiffré et, bien que cela ne s'applique pas à votre question, il est très risqué d'utiliser une connexion non chiffrée pour autre chose que l'accès LAN sur site.

• Pensez également à utiliser un VPN, qui vous donne un accès LAN distant sécurisé.

Oui, mais seulement de manière très mineure.

Avec toute évaluation des risques, il y a le facteur coût par rapport à la sécurité fournie.

Lorsque vous déplacez FTP vers un non- port standard, vous réduirez les tentatives entrantes de fruits à portée de main. En d'autres termes, les script kiddies essayant une liste de dictionnaires uniquement sur le port 21 ne seront plus considérés comme des attaquants. De cette façon, c'est plus sûr.

Le coût est cependant que tous les pare-feu (y compris certains hors de votre contrôle) devront peut-être être ajustés. Les clients devront modifier les paramètres et les utilisateurs devront suivre une procédure non standard. Ce sont de petites choses, mais votre gain est faible.

Sur ces seuls mérites, en l'absence de tous les autres, c'est un appel proche (sur la question en vaut-il la peine).

Cela dit , il existe de bien meilleurs moyens d'améliorer la sécurité. Une liste blanche d'adresses IP est simple et bon marché. Il offre plus de sécurité que le changement de port. L'accès VPN pour FTP est un autre chemin "facile" si vous avez déjà configuré des VPN.

Utiliser ces méthodes ou d'autres pour sécuriser FTP est généralement "moins cher" et plus sûr que simplement changer de port.

GRANDE NOTE SUPER IMPORTANTE

Bien que FTP ait ses utilisations, il ne doit pas être considéré comme sécurisé. Utilisez plutôt SFTP.

Petite histoire: changer de port n'est pas la solution pour sécuriser un service de transfert de fichiers.

Maintenant, pour une explication plus approfondie. Si vous n'avez aucune raison d'avoir un serveur FTP sur une machine, le plus sûr est de n'en avoir aucun quel que soit le port . Et un serveur FTP est rarement nécessaire, sauf pour un service de fichiers public. Il fait partie des protocoles les plus anciens du monde TCP / IP et ne vise que l'échange de fichiers. Si vous contrôlez les deux extrémités de la connexion, dit différemment si tous les utilisateurs qui l'utiliseront sont connus du système avec un nom d'utilisateur et un mot de passe, alors vous devriez utiliser sftp qui est un cas d'utilisation spécial de ssh. Comme il est construit au-dessus de ssh, tous les échanges sont entièrement cryptés et il fournit prêt à l'emploi un système d'authentification à clé publique hautement sécurisé. Bien sûr, certains navigateurs ne seront plus utilisables (Filezilla le sera, grâce à @ dave_thompson_085 pour l'avoir remarqué), mais utiliser un vrai mot de passe avec un serveur FTP normal sur une connexion Internet est hém ... médiocre pratique de sécurité car il est transmis non chiffré. Bref, ne faites pas ça ! Quoi qu'il en soit, vous pouvez trouver des clients sftp GUI.

FTP est encore largement utilisé pour les serveurs de fichiers publics. Vous pouvez trouver des implémentations solides qui ont été fortement testées (ce qui signifie que les défauts d'implémentation sont peu probables) et qui sont livrées avec des fonctionnalités intéressantes comme la possibilité de redémarrer un transfert interrompu sans perdre ce qui a déjà été téléchargé. Toutes les principales distributions Linux et BSD peuvent être trouvées sur des serveurs FTP, à cause de cela. Mais je n'ai plus de serveur FTP sur mes propres machines depuis des décennies ...

Et juste pour l'augmentation possible de la sécurité de l'utilisation d'un port non standard, oubliez vos illusions: un scan de port pourrait bientôt le révéler, sans parler d'un simple scanner de paquets promiscuous n'importe où sur le réseau. Pire encore, les administrateurs débutants pourraient être tentés d'installer un serveur FTP rapidement configuré sur un port non standard pour leur propre usage en disant que personne ne le trouvera là-bas donc je ne passerai pas de temps à le sécuriser . Le résultat réel est que:

• un simple scan de port peut le révéler
• car le trafic n'est pas chiffré, toute machine en route utilisant un scanner en mode promicuous verra l'utilisateur et le mot de passe sans any alert => imaginez simplement ce qui peut arriver si les identifiants donnent des privilèges d'administrateur ...

Et changer un port bien connu est susceptible d'interdire les utilisateurs derrière une entreprise proxy pour accéder à votre serveur.

NOTE IMPORTANTE

Cette partie n'est pas directement liée à la question elle-même, mais sur l'affirmation commune: FTP est dangereux, ne l'utilisez pas , ce qui n'est pas correct.

FTP était utilisé comme protocole sécurisé avec une authentification sécurisée avant ssh. Il est vrai qu'il est désormais rarement utilisé de cette façon, mais le mot de passe à usage unique est un moyen d'atténuer le risque de vol d'informations d'identification. Bien sûr, n'importe qui sur un réseau peut voir le mot de passe, mais dès qu'il a été utilisé, il est immédiatement révoqué. J'ai utilisé intensivement cela dans les années 80 et je serais toujours confiant en OPIE ou OTPW pour une connexion sécurisée sur des lignes non sécurisées. Même si je dois accepter que j'utilise maintenant sftp et ssh au lieu de telnet + ftp + OPIE :-)

Ce que je veux dire, c'est que FTP n'est pas non sécurisé en soi et qu'il peut être utilisé en toute sécurité. Une utilisation simple de FTP est généralement dangereuse.

Cela dépend du modèle de menace

En cas de sniffering de trafic, changer le port ne fait aucune différence. Cela aide à peine contre un pirate humain, essayant d'analyser les vulnérabilités du système.

Cela aidera contre les mécanismes automatiques (botnets, vers), car ils ont tendance à assumer des ports standard.

Votre question se compose en fait de deux questions. L'un concerne la sécurité de l'utilisation de FTP et l'autre les avantages de changer le port par défaut d'un protocole réseau.

Certains diront que changer le port par défaut est un exemple de sécurité par l'obscurité. Cependant, cela n'est vrai que s'il s'agit du seul contrôle de sécurité que vous avez mis en place. Changer le port par défaut peut être un contrôle de sécurité légitime, mais seulement s'il est également combiné avec d'autres contrôles de sécurité. Il est vrai que ce n'est pas un contrôle particulièrement puissant et quiconque ayant un niveau de connaissances modéré trouvera probablement le nouveau port sur lequel votre protocole écoute. Cependant, il s'agit d'une couche de protection supplémentaire, même si seulement une couche mince et la sécurité est une question de couches de protection. Cela n'empêche peut-être pas une personne expérimentée d'essayer de pénétrer dans votre système, mais cela peut arrêter de nombreuses attaques automatisées ou simples basées sur des scripts.

L'inconvénient d'une telle approche a un impact sur la convivialité. Tout utilisateur légitime du service devra maintenant connaître le nouveau port et devra probablement utiliser une ligne de commande ou des paramètres de configuration supplémentaires pour utiliser votre service. Dans certaines situations, cela peut être acceptable, mais dans d'autres, ce sera simplement gênant ou déroutant. Cela dépend vraiment de votre situation et de ce que vous essayez de protéger.

Par exemple, je déplacerai souvent mon service SSH du port 22 vers un autre port. Bien que cela n'ait qu'un impact minimal sur la sécurité, cela a l'avantage d'éviter le grand nombre de scripts automatisés que je vois qui tentent des tentatives très simplistes d'accéder à mon système, réduit le `` bruit '' dans mes journaux et a éventuellement un impact minimal sur les services (en un seul endroit) Je travaillais, je voyais en moyenne 30 000 tentatives de connexion sur le port 22 par jour). Comme j'étais le seul utilisateur avec des raisons légitimes d'utiliser SSH pour me connecter à ce système, changer le port par défaut présentait un inconvénient minime et une fois que je suis passé port, je ne verrais que quelques tentatives par semaine. Cependant, c'était avec SSH, qui est conçu pour être sécurisé par défaut. Le FTP est une histoire différente.

Dans le cas du FTP, si vous ne faites rien d'autre que de déplacer le port par défaut, alors c'est la sécurité par l'obscurité et aura peu d'impact sur la sécurité globale - cela diminuera et ne rien faire pour remédier aux faiblesses fondamentales du FTP. La sécurité de base de votre système ne sera pas améliorée de manière significative car il est trivial de faire une analyse de port et d'identifier le nouveau port sur lequel le service FTP écoute.

Comme indiqué par certains des autres articles et commentaires, le vrai problème ici est que FTP est simplement un protocole non sécurisé. Il existe un certain nombre d'alternatives fonctionnellement équivalentes. Par conséquent, si vous êtes préoccupé par la sécurité, la meilleure solution consiste simplement à ne pas utiliser FTP. Il existe des versions de FTP et des moyens de configurer FTP qui peuvent le rendre plus sécurisé, mais dans une large mesure, il s'agit d'ajouts / extensions "après coup" au protocole et susceptibles de ne pas être encore sécurisé en tant que protocole qui avait une sécurité intégrée depuis le début. Donc, la vraie réponse si la sécurité est une préoccupation est simplement de ne pas utiliser d'anciens protocoles comme FTP et Telnet. Utilisez des éléments comme SCP ou même SFTP et SSH ou même HTTPS.

Laissant de côté la question de savoir si cela réduira l'analyse automatique (oui), et si vous pouvez vous attendre à une sécurité de FTP dans les deux cas (non), la configuration de FTP sur un port non standard peut même nuire à la sécurité de votre configuration générale.

Si vous exécutez un serveur FTP sur un port non standard sur le même hôte qu'un serveur HTTP, on peut utiliser le serveur FTP pour exécuter XSS sur le serveur HTTP sur certains navigateurs . Lien d'archive

IIRC cela fonctionne en POSTANT les données HTML + JS en utilisant HTTP sur le serveur FTP, ce que le navigateur autorise car le serveur FTP est sur un port non standard, et donc le navigateur ne sait pas que c'est FTP et ne voit aucune raison de l'interdire. Le serveur FTP répond ensuite avec des messages d'erreur contenant les données non valides qui ont été publiées. La réponse ne contient pas d'en-têtes HTTP, mais cela amène simplement le navigateur à supposer qu'il s'agit d'une réponse HTTP / 0.9. Ainsi, le serveur vient de vous donner une réponse contenant la charge utile que vous lui avez envoyée. Au moins les anciennes versions d'IE ignoraient le port wrt. la politique de même origine, vous avez donc XSS entre vos mains, sans rien faire de mal du côté HTTP des choses.

Je ne sais pas dans quelle mesure cela a été atténué (abandonner HTTP /0.9, interpréter toutes les réponses HTTP / 0.9 comme du texte / brut, réparer le port sur IE, etc. etc.) dans les navigateurs modernes, mais cela montre clairement que cela peut avoir des conséquences inattendues ailleurs. (Et a toujours, au moins si un utilisateur utilise un ancien IE)

Pour ce qui est du moindre mal, des scans automatiques ou XSS pour [au moins] certains navigateurs plus anciens: Mec, laisse tomber le tout Chose FTP déjà :)

Je pense que quelque chose que d'autres réponses n'ont pas réussi à clarifier est que dans la grande majorité des cas sur Internet, le trafic de piratage provient de bots qui analysent les ports connus pour des services connus (comme le port FTP 21) et n'agissent que si l'analyse renvoie quelque chose d'utile (comme un serveur FTP). À moins que votre serveur ne soit susceptible d'être la cible de pirates humains, vous ne devriez probablement pas vous inquiéter.

Le FTP est-il généralement sécurisé? Non

Devez-vous l'utiliser d'une manière accessible au public? Non

Si vous l'utilisez sur le port 21 sur une adresse IP publique, un bot vous volera-t-il vos données? Potentiellement.

Si vous l'utilisez sur un port non standard sur une adresse IP publique, un pirate va-t-il voler vos données ou compromettre vos données? Probablement pas.