Porta FTP: FTP attivo e passivo a confronto

Le porte FTP sono punti di co­mu­ni­ca­zio­ne che con­sen­to­no il tra­sfe­ri­men­to di file tra un di­spo­si­ti­vo finale e un server. Le sessioni FTP si dif­fe­ren­zia­no in base alla modalità, che può essere attiva o passiva. Tuttavia, il pro­to­col­lo non risulta par­ti­co­lar­men­te sicuro.

Porte FTP nel pro­to­col­lo di tra­sfe­ri­men­to file

FTP (File Transfer Protocol) è un pro­to­col­lo di rete che opera sul livello di ap­pli­ca­zio­ne del modello ISO/OSI ed è definito nella RFC 959. Il pro­to­col­lo, definito ori­gi­na­ria­men­te nel 1971, consente di tra­sfe­ri­re dati ri­pe­tu­ta­men­te tra un di­spo­si­ti­vo finale e un server ed è costruito su un’ar­chi­tet­tu­ra client-server, che può essere uti­liz­za­ta per caricare e scaricare file nonché creare cartelle.

FTP funziona in base al principio di richiesta e risposta. Av­va­len­do­si infatti di programmi FTP, come FileZilla e di comandi FTP, i dati vengono richiesti e (se ne­ces­sa­rio) mo­di­fi­ca­ti. Il tra­sfe­ri­men­to avviene quindi tramite un canale dati che utilizza delle porte FTP per garantire che il di­spo­si­ti­vo possa stabilire una con­nes­sio­ne sicura con il server.

A cosa servono le porte FTP?

Le porte FTP sono punti di co­mu­ni­ca­zio­ne che ga­ran­ti­sco­no la con­nes­sio­ne tra un di­spo­si­ti­vo finale e un server FTP. Vengono uti­liz­za­te per iden­ti­fi­ca­re le ap­pli­ca­zio­ni e i servizi a cui si desidera accedere e uti­liz­za­no numeri da 0 a 65535. È possibile stabilire una con­nes­sio­ne sicura solo se si conosce il numero di porta FTP per­ti­nen­te. Una volta ottenuto il numero di porta FTP corretto, è possibile avviare il tra­sfe­ri­men­to dei file. È possibile tra­sfe­ri­re file binari come immagini e programmi o file di testo in modalità ASCII.

Come fun­zio­na­no le porte FTP?

Per garantire un tra­sfe­ri­men­to senza intoppi, nor­mal­men­te vengono uti­liz­za­te due porte FTP per il pro­to­col­lo di tra­sfe­ri­men­to file. Il primo passo consiste nello stabilire una con­nes­sio­ne tra il server e il client sulla porta standard FTP 21, ovvero il canale di comando o di controllo. Suc­ces­si­va­men­te, il client sta­bi­li­sce una con­nes­sio­ne con la porta TCP 20, definita canale dei dati.

Ci si potrebbe chiedere perché sia ne­ces­sa­rio uti­liz­za­re due porte FTP: la risposta sta nel ruolo delle due porte. Il canale di controllo è usato solo per inviare i comandi FTP. Il client invia comandi al server e il server risponde a ogni comando con un codice di stato. Per uti­liz­za­re questa porta FTP è so­li­ta­men­te richiesta l’au­ten­ti­ca­zio­ne con nome utente e password.

I tra­sfe­ri­men­ti di dati vengono avviati o in­ter­rot­ti uti­liz­zan­do il canale di controllo. Tuttavia, i dati stessi vengono inviati e ricevuti uti­liz­zan­do un secondo canale: il canale dei dati. Il tra­sfe­ri­men­to può avvenire nella direzione da server a client o da client a server, a seconda dei comandi impartiti. È anche possibile inviare elenchi di directory tramite questa porta FTP.

L’uso di due canali separati assicura che il contatto tra client e server sia possibile in qualsiasi momento. I problemi nel tra­sfe­ri­men­to dei dati vengono co­mu­ni­ca­ti con un codice di stato e possono essere risolti con un nuovo comando.

Qual è la dif­fe­ren­za tra la modalità passiva e la modalità attiva delle porte FTP?

Le porte FTP si di­stin­guo­no tra attive e passive. In breve, la dif­fe­ren­za tra le due modalità risiede nel com­por­ta­men­to del server: nella modalità attiva, il server avvia la con­nes­sio­ne; nella modalità passiva, il server lascia che il client sta­bi­li­sca la con­nes­sio­ne e si limita a con­fer­mar­la. Di seguito vi spie­ghe­re­mo cosa si nasconde dietro queste due diverse modalità e perché la modalità passiva è talvolta ne­ces­sa­ria, ma prima il­lu­stre­re­mo come stabilire le con­nes­sio­ni FTP passive e attive. Come vedrete, i due processi sono re­la­ti­va­men­te simili.

Con­fi­gu­ra­zio­ne di una porta standard FTP attiva

Una con­nes­sio­ne FTP attiva viene stabilita con i seguenti passaggi:

1. In­nan­zi­tut­to, il client invia una richiesta di con­nes­sio­ne alla porta FTP 21. A questo scopo, utilizza una porta FTP compresa tra 1024 e 65535.
2. Se la con­nes­sio­ne è possibile, il server risponde con una porta client tem­po­ra­nea.
3. Il client risponde alla risposta del server e conferma la con­nes­sio­ne attiva.
4. Ora il client invia un comando FTP PORT. Questo conferma l’uso di una porta FTP attiva, il suo indirizzo IP e il numero esatto della porta FTP con cui il server deve con­net­ter­si.
5. Se tutte le in­for­ma­zio­ni sono corrette, il server con­fer­me­rà il comando con un codice di stato.
6. A questo punto il client indica al server di uti­liz­za­re il pro­to­col­lo FTP.
7. Qui inizia la parte attiva: il server crea una con­nes­sio­ne dati e invia una richiesta dalla porta FTP 20 (il canale dati) alla porta FTP il cui numero è già stato fornito dal client.
8. Il client conferma al server che la con­nes­sio­ne dati è attiva e priva di errori.
9. Anche il server invia una conferma e dà al client il permesso di tra­sfe­ri­re i dati.
10. Ora la porta FTP può essere uti­liz­za­ta per ri­chie­de­re e inviare o ricevere dati.

Con­fi­gu­ra­zio­ne di una porta FTP in modalità passiva

I passaggi citati sono molto simili a quelli usati per stabilire una con­nes­sio­ne FTP in modalità passiva. Solo alla fine si notano dif­fe­ren­ze si­gni­fi­ca­ti­ve. Il processo si presenta così:

1. Come per la modalità attiva, il client invia una richiesta da una porta FTP tem­po­ra­nea compresa tra 1024 e 65535 alla porta FTP 21 del server.
2. Il server risponde alla richiesta e invia una conferma alla porta che ha inviato la richiesta.
3. Il client conferma la con­nes­sio­ne.
4. A questo punto, invece di inviare il comando FTP PORT, il client invia un comando PASV, che richiede un pro­to­col­lo passivo.
5. Il server conferma la richiesta e invia il proprio indirizzo IP e il numero di porta FTP compreso tra 1024 e 65535, con cui il client dovrà con­net­ter­si.
6. Il client invia quindi una richiesta di con­nes­sio­ne alla porta FTP inviata dal server.
7. Se tutto ha fun­zio­na­to cor­ret­ta­men­te, il server con­fer­me­rà la con­nes­sio­ne.
8. Il client sta­bi­li­sce ora la con­nes­sio­ne con il server uti­liz­zan­do le porte FTP indicate.
9. Infine, il client invia un comando di tra­sfe­ri­men­to dalla sua porta di controllo alla porta FTP 21 del server. Il tra­sfe­ri­men­to dei dati ha ora inizio e la porta FTP 20 non è più ne­ces­sa­ria.

Come si fa a capire se una con­nes­sio­ne è attiva o passiva?

So­li­ta­men­te per i tra­sfe­ri­men­ti FTP viene uti­liz­za­ta la modalità attiva. In caso contrario, il vostro servizio di hosting vi informerà che siete passati alla modalità passiva. Per ve­ri­fi­ca­re quale modalità è in uso, potete provare a creare una con­nes­sio­ne. Se ciò non dovesse fun­zio­na­re, passate all’altra modalità.

Al momento della con­fi­gu­ra­zio­ne del server avete la pos­si­bi­li­tà di decidere se uti­liz­za­re la modalità attiva o passiva. Questo vale anche se in­stal­la­te un server FTP su Debian o un server FTP su Ubuntu. Inoltre, per la sicurezza del sistema, si consiglia di eseguire re­go­lar­men­te un port scanning.

A cosa serve la modalità passiva per le porte FTP?

Ci si potrebbe chiedere perché la modalità passiva della porta FTP sia utile. La ragione prin­ci­pa­le ha a che fare con un problema che può pre­sen­tar­si con il firewall. Ciò perché quando il client si trova dietro un firewall che svolge cor­ret­ta­men­te il proprio lavoro, il firewall blocca le con­nes­sio­ni attive che cercano di accedere al client dall’esterno. Nel caso di una porta FTP attiva, questo include il server. È possibile aggirare il problema uti­liz­zan­do la porta FTP in modalità passiva, in modo che sia il client a iniziare la con­nes­sio­ne. In questo modo non si attivano le difese del firewall e il tra­sfe­ri­men­to dei dati può avvenire come previsto.

È sempre ne­ces­sa­rio uti­liz­za­re la porta FTP 21?

Mentre la porta FTP 20 non è ne­ces­sa­ria per la modalità passiva, la 21 è ob­bli­ga­to­ria per entrambe le modalità. Poiché la porta 20 viene uti­liz­za­ta solo per il tra­sfe­ri­men­to dei dati, la con­nes­sio­ne viene in­ter­rot­ta al termine del tra­sfe­ri­men­to. La porta FTP 21, invece, è sempre attiva, poiché viene uti­liz­za­ta per il canale di controllo e gestisce i vari tra­sfe­ri­men­ti. Può essere scol­le­ga­ta solo con un comando dell’utente o di­sat­ti­va­ta au­to­ma­ti­ca­men­te dopo un timeout. Questo fatto, oltre al tra­sfe­ri­men­to non criptato di nomi utente e password, rende questa tec­no­lo­gia una via po­ten­zial­men­te pe­ri­co­lo­sa per l’accesso non au­to­riz­za­to.

Qual è la dif­fe­ren­za tra FTP e SFTP?

Arrivati fin qui, entra in gioco SSH File Transfer Protocol (SFTP). Già dal nome è chiaro sin da subito che vi sono delle so­mi­glian­ze tra SFTP e la porta FTP standard, ma vi sono anche dif­fe­ren­ze si­gni­fi­ca­ti­ve tra i due pro­to­col­li, al punto che i server SFTP e i client standard non possono co­mu­ni­ca­re tra loro. Le dif­fe­ren­ze più im­por­tan­ti tra i due pro­to­col­li sono le seguenti:

• Crit­to­gra­fia: a dif­fe­ren­za delle porte FTP standard, le porte SFTP sono crit­to­gra­fa­te. Questo vale sia per i nomi utente e le password che per i file tra­sfe­ri­ti. È quindi molto più difficile ottenere un accesso non au­to­riz­za­to per le seconde.
• Numero di porta: mentre FTP utilizza la porta 21, SFTP usa la porta 22.
• Origine: mentre FTP viene messo a di­spo­si­zio­ne dal pro­to­col­lo TCIP/IP, SFTP fa parte del pro­to­col­lo SSH.

Con­clu­sio­ne: le porte FTP sono utili ma non sicure

Le porte FTP sono un’in­ven­zio­ne im­por­tan­te e utile per il tra­sfe­ri­men­to di file su internet. Anche la modalità passiva di FTP è stata un passo im­por­tan­te nella giusta direzione. Tuttavia, il più grande difetto di FTP, così come di Trivial File Transfer Protocol (TFTP), è la mancanza di crit­to­gra­fia. Usare una porta SFTP è quindi la scelta migliore per tra­sfe­ri­re file in modo sicuro.