FTP-Port: Passives und aktives FTP im Überblick

FTP-Ports sind Kom­mu­ni­ka­ti­ons­punk­te, die die Über­tra­gung zwischen Endgerät und Server über das FTP-Protokoll er­mög­li­chen. Dabei wird zwischen FTP-Ports im Passive Mode und im Active Mode un­ter­schie­den. Das Protokoll ist al­ler­dings ver­gleichs­wei­se unsicher.

FTP  ist ein Netz­werk­pro­to­koll, das auf der An­wen­dungs­ebe­ne des OSI-Modells agiert und im RFC 959 spe­zi­fi­ziert ist. Das Protokoll, das bereits 1971 ein­ge­führt wurde, er­mög­licht den Da­ten­trans­fer von einem Endgerät zu einem Server und zurück. Dafür nutzt es den Client-Server-Ansatz, mit dem Dateien hoch- und run­ter­ge­la­den und Ver­zeich­nis­se angelegt werden können. FTP funk­tio­niert über das Anfrage-Antwort-Prinzip. Über FTP-Programme wie z. B. FileZilla und FTP-Befehle werden Daten an­ge­for­dert und bei Bedarf geändert. Die ei­gent­li­che Über­tra­gung wird dann über einen Da­ten­ka­nal durch­ge­führt. Damit ein Gerät eine sichere Ver­bin­dung zu einem Server aufbauen kann, werden FTP-Ports verwendet.

FTP-Ports sind Kom­mu­ni­ka­ti­ons­end­punk­te, die si­cher­stel­len, dass eine Ver­bin­dung zwischen einem be­stimm­ten Endgerät und einem ein­ge­rich­te­ten FTP-Server zustande kommt. Ein FTP-Port iden­ti­fi­ziert die Apps und Dienste, die auf dem Server an­ge­steu­ert werden sollen. Dafür verwendet der FTP-Port stan­dard­mä­ßig eigene Nummern, die klar zu­zu­ord­nen sind. Diese reichen von 0 bis 65535. Nur wenn die Nummer des je­wei­li­gen FTP-Ports bekannt ist, ist auch eine sichere Ver­bin­dung möglich. Mit der richtigen Be­zeich­nung kann dann der Da­ten­trans­fer ziel­ge­rich­tet gestartet werden. Es ist dabei möglich, Text­da­tei­en im ASCII-Modus oder binäre Daten wie z. B. Bilder oder Programme zu über­tra­gen.

Um eine funk­tio­nie­ren­de Über­tra­gung zu ge­währ­leis­ten, werden beim File Transfer Protocol meistens zwei FTP-Ports verwendet. Im ersten Schritt wird der FTP-Standard-Port 21 vom Server zum Client aufgebaut. Diesen be­zeich­net man als Steue­rungs­ka­nal. Im zweiten Schritt wird der TCP-Port 20 zwischen den beiden Parteien angelegt. Dieser ist als Da­ten­ka­nal bekannt. Die Not­wen­dig­keit für zwei FTP-Ports erklärt sich durch ihre Aufgaben. Der Steue­rungs­ka­nal wird aus­schließ­lich dafür verwendet, die FTP-Kommandos zu ver­schi­cken. Diese werden vom Client an den Server gesendet, der jedes Kommando mit einem Status-Code be­ant­wor­tet. Für die Nutzung dieses FTP-Ports ist in der Regel eine Au­then­ti­fi­zie­rung mit Nut­zer­na­me und Passwort nötig.

So wird ein Da­ten­trans­fer initiiert oder ab­ge­bro­chen, und auch die Ver­bin­dung kann über diesen Weg beendet werden. Die Daten selbst werden dann al­ler­dings über den zweiten Kanal gesendet oder empfangen. Der Transfer kann vom Server zum Client oder in die um­ge­kehr­te Richtung durch­ge­führt werden, je nachdem, welche Befehle erteilt wurden. Auch Ver­zeich­nis­lis­ten werden über diesen FTP-Port versendet. Die Un­ter­tei­lung der beiden Kanäle stellt sicher, dass sämtliche Kom­mu­ni­ka­ti­ons­mög­lich­kei­ten auf­recht­erhal­ten werden und so der Kontakt zwischen Server und Client zu jeder Zeit möglich ist. Probleme mit der Da­ten­über­tra­gung werden über einen Status-Code über­mit­telt und dann durch einen neuen Befehl idea­ler­wei­se behoben.

Man un­ter­schei­det außerdem zwischen aktiven FTP-Ports und FTP-Ports im Passive Mode. Kurz gesagt liegt der Un­ter­schied zwischen den beiden Mög­lich­kei­ten im Verhalten des Servers begründet: Im Active Mode initiiert dieser die Ver­bin­dung. Wird die Ver­bin­dung mit dem FTP-Port im Passive Mode durch­ge­führt, wird der Server selbst nicht aktiv, sondern überlässt dem Client die Er­stel­lung einer Ver­bin­dung und bestätigt diese lediglich. Warum dieses Vorgehen möglich und in einigen Fällen nötig ist, be­ant­wor­ten wir weiter unten. Zunächst erklären wir aber, wie Sie überhaupt FTP-Ports im Passive Mode oder Active Mode verbinden. Das jeweilige Vorgehen ähnelt sich.

Eine aktive Ver­bin­dung zwischen Client und Server wird fol­gen­der­ma­ßen aufgebaut:

1. Im ersten Schritt sendet der Client eine Ver­bin­dungs­an­fra­ge an den FTP-Standard-Port 21. Dafür nutzt er selbst einen FTP-Port zwischen 1024 und 65535.
2. Ist die Ver­bin­dung möglich, antwortet der Server auf einem tem­po­rä­ren Client-Port.
3. Der Client erwidert dann sei­ner­seits die Antwort des Servers und bestätigt den Aufbau einer aktiven Ver­bin­dung.
4. Nun sendet der Client einen FTP-PORT-Befehl. Dieser bestätigt die Ver­wen­dung eines aktiven FTP-Ports, seine IP-Adresse und die exakte Nummer des FTP-Ports, mit dem sich der Server verbinden soll.
5. Sind alle Angaben richtig, bestätigt der Server den Command mit einem Status-Code.
6. Nun weist der Client den Server an, FTP zu verwenden.
7. An dieser Stelle kommt der aktive Part: Der Server selbst erstellt eine Da­ten­ver­bin­dung und sendet dafür eine Anfrage vom FTP-Port 20 (dem Da­ten­ka­nal) an den­je­ni­gen FTP-Port, dessen Nummer der Client ihm bereits mit­ge­teilt hat.
8. Der Client bestätigt dem Server, dass die Da­ten­ver­bin­dung aktiv und feh­ler­frei ist.
9. Auch der Server sendet eine Be­stä­ti­gung der er­folg­rei­chen Ver­bin­dung und gibt dem Client die Erlaubnis für den Da­ten­trans­fer.
10. Nun können die FTP-Ports zum Anfordern und Versenden bzw. Empfangen der un­ter­schied­li­chen Daten genutzt werden.

Soll ein FTP-Port im Passive Mode genutzt werden, sind die einzelnen Schritte in der Kom­mu­ni­ka­ti­on zwischen Server und Client zunächst sehr ähnlich. Lediglich am Ende kommt es zu be­deu­ten­den Un­ter­schie­den. So sieht das genau aus:

1. Auch beim passiven Ansatz sendet der Client eine Anfrage von seinem tem­po­rä­ren FTP-Port zwischen 1024 und 65535 an den Standard-FTP-Port 21 des Servers.
2. Der Server antwortet auf die Anfrage und schickt seine Be­stä­ti­gung an den Absende-Port.
3. Der Client bestätigt den Ver­bin­dungs­auf­bau.
4. Im nächsten Schritt sendet der Client al­ler­dings statt des FTP-PORT-Befehls einen PASV-Befehl. Mit diesem Command wird ein passives Protokoll an­ge­for­dert.
5. Nun bestätigt der Server diese Auf­for­de­rung. Dann sendet er seine IP-Adresse und seine FTP-Port-Nummer zwischen 1024 und 65535. Mit dieser soll sich der Client verbinden.
6. Jetzt schickt der Client eine Ver­bin­dungs­an­fra­ge an den FTP-Port, den der Server ihm mit­ge­teilt hat.
7. Ist alles in Ordnung, bestätigt der Server die Ver­bin­dung.
8. Der Client erstellt nun die Ver­bin­dung zum Server über die an­ge­ge­be­nen FTP-Ports.
9. Im letzten Schritt sendet der Client einen Über­tra­gungs­be­fehl über seinen Steue­rungs-Port zum FTP-Port 21 des Servers. Der Da­ten­trans­fer kann nun beginnen. Dabei wird der FTP-Port 20 nicht mehr benötigt.

In der Regel wird der aktive Modus bei der Über­tra­gung mit FTP-Ports genutzt. Ist dies nicht der Fall, wird Ihr Hoster Sie nor­ma­ler­wei­se über den Wechsel in den Passive Mode des FTP-Ports in­for­mie­ren. Um den Modus selbst zu testen, können Sie versuchen, eine Ver­bin­dung auf­zu­bau­en. Gelingt dies nicht, wechseln Sie in den anderen Modus.

Beim Aufsetzen eines Servers können Sie selbst ent­schei­den, ob Sie den aktiven oder den passiven Modus verwenden möchten. Das gilt ebenfalls, wenn Sie einen eigenen Debian-FTP-Server ein­rich­ten oder einen Ubuntu-FTP-Server in­stal­lie­ren. Aus Si­cher­heits­grün­den ist ein re­gel­mä­ßi­ger Port-Check emp­feh­lens­wert.

Stellt sich die Frage, warum ein FTP-Port überhaupt einen Passive Mode benötigt. Grund ist ein Problem, das unter Umständen mit einer Firewall auftreten kann. Wenn der Client hinter einer Firewall po­si­tio­niert ist und diese ihren Job nach Vor­schrift ver­rich­tet, un­ter­bin­det sie sämtliche aktive Ver­bin­dun­gen, die von außerhalb auf den Client zugreifen wollen. Das wäre im Fall eines aktiven FTP-Ports eben auch der Server. Nutzt man hingegen einen FTP-Port im Passive Mode, geht die In­itia­ti­ve vom Client aus. Dagegen hat auch die Firewall keine Einwände und lässt den Da­ten­trans­fer zu.

Während der FTP-Port 20 bei einer passiven Nutzung nicht benötigt wird, ist die Nutzung des FTP-Ports 21 ob­li­ga­to­risch. Da Port 20 nur für den Da­ten­trans­fer verwendet wird, wird die Ver­bin­dung nach der Über­tra­gung einfach wieder gekappt. Der FTP-Port 21 ist hingegen durch­ge­hend aktiv. Er ist eine Kon­troll­in­stanz und steuert sämtliche Über­tra­gun­gen. Er kann höchstens durch den Nutzer bzw. die Nutzerin mit einem Command getrennt werden oder wird nach einem Timeout au­to­ma­tisch ab­ge­stellt. Nicht nur diese Tatsache ist ge­fähr­lich; auch die offene Über­tra­gung von Nut­zer­na­men und Pass­wör­tern macht die Technik zu einem Ein­falls­tor für un­er­laub­te Zugriffe.

Abhilfe schafft das SSH File Transfer Protocol (SFTP). Der Name zeigt bereits, dass es gewisse Ähn­lich­kei­ten zwischen SFTP und dem her­kömm­li­chen FTP-Port gibt. Dennoch gibt es zwischen den beiden Pro­to­kol­len auch be­deu­ten­de Un­ter­schie­de, wodurch keine Kom­mu­ni­ka­ti­on zwischen SFTP-Servern und Standard-Clients möglich ist. Die wich­tigs­ten Un­ter­schie­de zwischen den beiden Pro­to­kol­len sind diese:

• Ver­schlüs­se­lung: Im Gegensatz zum Standard-FTP-Port sind SFTP-Ports ver­schlüs­selt. Das betrifft zum einen die Nut­zer­na­men und Pass­wör­ter und zum anderen die Über­tra­gung selbst. Ein un­er­laub­ter Zugriff ist daher nicht ohne weiteres möglich.
• Port­num­mer: Statt des FTP-Ports 21 nutzt SFTP in der Regel den Port mit der Nummer 22.
• Herkunft: Während FTP von TCIP/IP be­reit­ge­stellt wird, gehört SFTP zum SSH-Protokoll.

FTP-Ports sind eine wichtige und immer noch sehr nützliche Erfindung, die den Da­ten­trans­fer im Internet überhaupt erst er­mög­licht. Auch die Im­ple­men­tie­rung eines passiven Modus für FTP-Ports war ein wichtiger Schritt. Das große Manko von FTP ist al­ler­dings wie beim Trivial File Transfer Protocol (TFTP) die fehlende Ver­schlüs­se­lung. Für die sichere Über­tra­gung ist die Nutzung eines SFTP-Ports daher deutlich emp­feh­lens­wer­ter.