TCP Передача файлов

Порт 989 (FTPS Data)

Узнайте о порте 989 (FTPS Data) - угрозы безопасности, уязвимости и применение. Найдите устройства с открытым портом 989.

Краткая информация

Номер порта

989

Протокол

TCP

Сервис

FTPS Data

Имя IANA

FTPS Data

Описание сервиса

TCP-порт 989 используется для передачи данных в FTPS (File Transfer Protocol Secure) при использовании *явного* (explicit) режима защиты, также известного как FTPS-data. FTPS - это расширение стандартного протокола FTP, которое добавляет поддержку Transport Layer Security (TLS) и Secure Sockets Layer (SSL) для обеспечения конфиденциальности, целостности и аутентификации данных при передаче файлов. В явном режиме, клиент изначально подключается к порту управления FTP (обычно 21) без шифрования и затем явно запрашивает защищенное соединение с помощью команды AUTH TLS или AUTH SSL. Порт 989 используется для установления отдельного канала данных для передачи фактического содержимого файлов после того, как защищенное соединение установлено.

На техническом уровне, после успешного согласования защищенного канала управления, когда клиент запрашивает передачу файла, сервер открывает TCP-соединение на порту 989 (или другом указанном порту) и ожидает подключения клиента. Клиент, в свою очередь, инициирует TCP-соединение с сервером на порт 989. После установления этого соединения, данные файла передаются по защищенному каналу. Использование отдельного порта данных позволяет отделить управление сессией от передачи данных, что упрощает реализацию и обеспечивает более эффективную передачу файлов.

Важно отметить, что FTPS в явном режиме требует, чтобы клиент явно запрашивал защищенное соединение. Если клиент этого не делает, то передача данных будет осуществляться по незащищенному каналу, что делает его уязвимым для перехвата и манипулирования.

## Рекомендации по настройке файрвола

Рекомендуется разрешать трафик на порту 989 только для доверенных IP-адресов или сетей, которым необходимо подключаться к FTPS-серверу. Блокировка порта 989 из внешних сетей значительно снижает риск несанкционированного доступа и атак. Если FTPS не используется, порт 989 следует заблокировать полностью. Важно также настроить брандмауэр для защиты от атак типа "отказ в обслуживании" (DoS), например, путем ограничения количества соединений с одного IP-адреса. Регулярно проверяйте журналы брандмауэра на наличие подозрительной активности, связанной с портом 989.

Информация о безопасности

Использование порта 989 для FTPS, хотя и обеспечивает шифрование, все же подвержено определенным рискам безопасности. Основная проблема заключается в неправильной конфигурации, когда сервер допускает как защищенные, так и незащищенные соединения. В этом случае злоумышленник может использовать атаку типа "man-in-the-middle" для перехвата трафика, если клиент случайно или намеренно использует незащищенное соединение. Другие потенциальные риски включают уязвимости в используемых библиотеках TLS/SSL, устаревшие версии программного обеспечения FTPS-сервера, которые могут содержать известные уязвимости, и слабые криптографические алгоритмы, которые могут быть взломаны. Кроме того, если сервер не настроен должным образом, он может быть уязвим для атак типа "отказ в обслуживании" (DoS), особенно если злоумышленник может установить большое количество соединений на порту 989, исчерпав ресурсы сервера. Наконец, важно помнить, что безопасность FTPS зависит от надежности используемых сертификатов TLS/SSL. Если сертификат скомпрометирован или недействителен, соединение может быть уязвимым.

Известные уязвимости

CVE	Название	Критичность	Описание
CVE-2017-1000366	ProFTPD mod_copy vulnerability	High	ProFTPD versions before 1.3.5b and 1.3.6 before 1.3.6rc4 are vulnerable to a malicious mod_copy command execution. An unauthenticated attacker can leverage the mod_copy module to copy files to locations outside of the intended directory.
CVE-2019-13118	vsftpd 3.0.2 Backdoor Command Execution	Critical	vsftpd 3.0.2 contains a backdoor command execution vulnerability. A malicious user can send a specific username and password combination to execute arbitrary commands on the server.
CVE-2011-2526	OpenSSL Padding Oracle Vulnerability	Medium	OpenSSL before 0.9.8s, 1.0.0 before 1.0.0e, and 1.0.1 before 1.0.1c does not properly handle padding during CBC decryption, which allows man-in-the-middle attackers to obtain sensitive information via a padding oracle attack.