HOME»ネットワークスペシャリスト掲示板»FTPについて
投稿する
»[0423] H27午後1問1設問4(2) ループバックIF 投稿数:12
»[0422] R3 PM1 問3 設問4(5) 投稿数:3
FTPについて [0425]
初心者さんさん(No.1)
FTPのモードについて質問があります。
とあるサイトで「FTPパッシブモードのACL」について、
「FTPのアクティブモードの場合、FTPサーバからクライアントにデータコネクションの接
続開始を行うことから、ファイアウォール環境下では、外部からの接続開始となりセキュ
リティ上問題になることがあります。」
とあります。
アクティブモードにしようがパッシブモードにしようが、結局はFWに通信を許可するように接続しないといけないため、アクティブモードだけがセキュリティ上問題になるというのが理解できないです。
「外部からの接続開始となり」とありますが、クライアントからFTPにコマンドを送り、レスポンスとしてデータが返ってきてそれをクライアントが受け取るようにするためにFWにその通信を許可するよう設定するはずなので、
どちらのモードにせよセキュリティ上危ないと思うのですが。。
これはなぜアクティブモードだと危ないのでしょうか?
とあるサイトで「FTPパッシブモードのACL」について、
「FTPのアクティブモードの場合、FTPサーバからクライアントにデータコネクションの接
続開始を行うことから、ファイアウォール環境下では、外部からの接続開始となりセキュ
リティ上問題になることがあります。」
とあります。
アクティブモードにしようがパッシブモードにしようが、結局はFWに通信を許可するように接続しないといけないため、アクティブモードだけがセキュリティ上問題になるというのが理解できないです。
「外部からの接続開始となり」とありますが、クライアントからFTPにコマンドを送り、レスポンスとしてデータが返ってきてそれをクライアントが受け取るようにするためにFWにその通信を許可するよう設定するはずなので、
どちらのモードにせよセキュリティ上危ないと思うのですが。。
これはなぜアクティブモードだと危ないのでしょうか?
2024.04.02 20:35
あおえさん(No.2)
FWがステートフルインスペクションを有効にしている前提で、、、
上記の点ですが、FWにフィルタリングで追加すべきルールはこのようになると思います。
パッシブモード:クライアントから外部のFTPサーバへのTCPコネクションを許可
アクティブモード:外部のFTPサーバからクライアントへのTCPコネクションを許可
※戻りの通信はステートフルインスペクションにより、どちらも定義不要
このためサイトに記載されている内容は問題ないかと思います。
>クライアントからFTPにコマンドを送り、レスポンスとしてデータが返ってきてそれをクライアントが受け取るようにするためにFWにその通信を許可するよう設定するはず
上記の点ですが、FWにフィルタリングで追加すべきルールはこのようになると思います。
パッシブモード:クライアントから外部のFTPサーバへのTCPコネクションを許可
アクティブモード:外部のFTPサーバからクライアントへのTCPコネクションを許可
※戻りの通信はステートフルインスペクションにより、どちらも定義不要
このためサイトに記載されている内容は問題ないかと思います。
2024.04.04 23:18
初心者さんさん(No.3)
ご解説ありがとうございます。
FWの説明を聞いて納得できました!
FWの説明を聞いて納得できました!
2024.04.05 18:25
その他のスレッド
»[0424] 平成21年秋期 午前Ⅱ 問6 投稿数:3»[0423] H27午後1問1設問4(2) ループバックIF 投稿数:12
»[0422] R3 PM1 問3 設問4(5) 投稿数:3