FTPについて
初心者さんさん
(No.1)
FTPのモードについて質問があります。
とあるサイトで「FTPパッシブモードのACL」について、
「FTPのアクティブモードの場合、FTPサーバからクライアントにデータコネクションの接
続開始を行うことから、ファイアウォール環境下では、外部からの接続開始となりセキュ
リティ上問題になることがあります。」
とあります。
アクティブモードにしようがパッシブモードにしようが、結局はFWに通信を許可するように接続しないといけないため、アクティブモードだけがセキュリティ上問題になるというのが理解できないです。
「外部からの接続開始となり」とありますが、クライアントからFTPにコマンドを送り、レスポンスとしてデータが返ってきてそれをクライアントが受け取るようにするためにFWにその通信を許可するよう設定するはずなので、
どちらのモードにせよセキュリティ上危ないと思うのですが。。
これはなぜアクティブモードだと危ないのでしょうか?
とあるサイトで「FTPパッシブモードのACL」について、
「FTPのアクティブモードの場合、FTPサーバからクライアントにデータコネクションの接
続開始を行うことから、ファイアウォール環境下では、外部からの接続開始となりセキュ
リティ上問題になることがあります。」
とあります。
アクティブモードにしようがパッシブモードにしようが、結局はFWに通信を許可するように接続しないといけないため、アクティブモードだけがセキュリティ上問題になるというのが理解できないです。
「外部からの接続開始となり」とありますが、クライアントからFTPにコマンドを送り、レスポンスとしてデータが返ってきてそれをクライアントが受け取るようにするためにFWにその通信を許可するよう設定するはずなので、
どちらのモードにせよセキュリティ上危ないと思うのですが。。
これはなぜアクティブモードだと危ないのでしょうか?
2024.04.02 20:35
あおえさん
(No.2)
FWがステートフルインスペクションを有効にしている前提で、、、
上記の点ですが、FWにフィルタリングで追加すべきルールはこのようになると思います。
パッシブモード:クライアントから外部のFTPサーバへのTCPコネクションを許可
アクティブモード:外部のFTPサーバからクライアントへのTCPコネクションを許可
※戻りの通信はステートフルインスペクションにより、どちらも定義不要
このためサイトに記載されている内容は問題ないかと思います。
>クライアントからFTPにコマンドを送り、レスポンスとしてデータが返ってきてそれをクライアントが受け取るようにするためにFWにその通信を許可するよう設定するはず
上記の点ですが、FWにフィルタリングで追加すべきルールはこのようになると思います。
パッシブモード:クライアントから外部のFTPサーバへのTCPコネクションを許可
アクティブモード:外部のFTPサーバからクライアントへのTCPコネクションを許可
※戻りの通信はステートフルインスペクションにより、どちらも定義不要
このためサイトに記載されている内容は問題ないかと思います。
2024.04.04 23:18
初心者さんさん
(No.3)
ご解説ありがとうございます。
FWの説明を聞いて納得できました!
FWの説明を聞いて納得できました!
2024.04.05 18:25
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。