[bglug] Installazione server FTP

[Federico Iezzi]

Ciao Michele,

Quello che dici è solo in parte corretto. "Tralasciando" il discorso
sicurezza del protocollo in se, si può mettere senza alcun problema un
firewall davanti ad un server su cui vi è l'FTP. Con iptables, ad esempio,
basta utilizzare il modulo ftp_conntrack. Questo dinamicamente aggiungerà
regole temporanee nel firewall on-board analizzando i segmenti TCP ed i
pacchetti IP. Quando la sessione verrà chiusa da un handshake (fin - fin
ack) oppure per un timeout (wincoz) la regola verrà rimossa. Anche in altri
ambienti (BSD) con pf vi sono tecniche simili.
Lasciare migliaia di porte, potenzialmente esposte, non ha molta logica ;-)

Il giorno 28/feb/2012, alle ore 22:53, Michele Mazzotta <
michele.mazzotta@gmail.com> ha scritto:

Ciao Manuel,
è abbastanza semplice, ma per capirlo devi aver chiaro il funzionamento di
FTP. Tenendo presente che FTP ha due canali di comunicazione (comandi e
dati) FTP può funzionare sostanzialmente in due modalità: attiva e passiva.
Nel primo caso, il client contatta il server sulla porta 21, i due
contrattano una porta sulla quale il client sia raggiungibile, e dopodiche
il server contatta il client dalla porta 20 ad un'altra porta sul client >
1023. Il problema quindi risulta chiedere al client di aprire una porta in
entrata (porta che peraltro non essendo fissa può variare tra 1023 e
65535).
E' appunto una richiesta impegnativa (equivarrebbe al dare accesso libero
da parte del client ad ogni sorta di porcheria che viaggia su internet) e
per questo motivo il protocollo è stato "girato", facendo si che una volta
stabilita la connessione sulla porta 21, il client –e non più il – si
collega ad una porta > 1023 sul server. A questo punto è il server ad avere
il problema, ma è in un certo modo piu accettabile che l'inverso, perche si
dovrebbe configurare una ed una sola macchina (pur a condizioni di
sicurezza molto basse).

Questo è uno dei motivi per cui FTP non viene considerato un protocollo
sicuro, al di la delle altre falle che ha. Certo che se devi far vedere a
tuo fratello come funziona l'upload di un sito mediante FTP, non è un
problema... ben altra cosa è se vuoi fare tutto questo attraverso internet
lasciando effettivamente una macchina collegata ad internet con 64512 porte
raggiungibili.

Spero di non averti complicato le idee ;)


–Michele
---------------
Questo indirizzo e-mail è ad uso personale. Si chiede la cortesia di non
usarlo per catene di e-mails, pubblicità e di non cederlo a terzi previa
autorizzazione. Ricordo inoltre che è ILLEGALE trasmettere dati personali
senza esplicita autorizzazione, e che vi sono sanzioni amministrative e
penali per chi viola la legge. Il ricevente, se diverso dal destinatario, è
avvertito che qualsiasi utilizzazione, divulgazione o copia di questa
comunicazione, nonché di eventuali suoi allegati, comporta la violazione
delle disposizioni di Legge sulla tutela dei dati personali (D.Lgs
196/2003). Qualora il messaggio fosse ricevuto per errore, si prega di
cancellarlo e distruggere eventuali copie o stampe e di darne informazione
immediata al mittente.

On Feb 28, 2012, at 9:20 PM, Manuel wrote:

Il 28 febbraio 2012 18:56, enzo <enzo.arlati@libero.it> ha scritto:

Ciao

Ovviamente una connessione ftp non lo fai passare da nessun firewall.


riesci a spiegare meglio questa frase? Così scritta mi sembra
concettualmente sbagliata....

Grazie,
Manuel

--
Sito BgLUG: http://www.bglug.it
Mailing list: http://lists.linux.it/listinfo/bglug



--
Sito BgLUG: http://www.bglug.it
Mailing list: http://lists.linux.it/listinfo/bglug
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/bglug/attachments/20120228/20d62f04/attachment.htm>