FTP-Port: Passives und aktives FTP im Überblick

FTP-Ports sind Kommunikationspunkte, die die Übertragung zwischen Endgerät und Server über das FTP-Protokoll ermöglichen. Dabei wird zwischen FTP-Ports im Passive Mode und im Active Mode unterschieden. Das Protokoll ist allerdings vergleichsweise unsicher.

FTP  ist ein Netzwerkprotokoll, das auf der Anwendungsebene des OSI-Modells agiert und im RFC 959 spezifiziert ist. Das Protokoll, das bereits 1971 eingeführt wurde, ermöglicht den Datentransfer von einem Endgerät zu einem Server und zurück. Dafür nutzt es den Client-Server-Ansatz, mit dem Dateien hoch- und runtergeladen und Verzeichnisse angelegt werden können. FTP funktioniert über das Anfrage-Antwort-Prinzip. Über FTP-Programme wie z. B. FileZilla und FTP-Befehle werden Daten angefordert und bei Bedarf geändert. Die eigentliche Übertragung wird dann über einen Datenkanal durchgeführt. Damit ein Gerät eine sichere Verbindung zu einem Server aufbauen kann, werden FTP-Ports verwendet.

FTP-Ports sind Kommunikationsendpunkte, die sicherstellen, dass eine Verbindung zwischen einem bestimmten Endgerät und einem eingerichteten FTP-Server zustande kommt. Ein FTP-Port identifiziert die Apps und Dienste, die auf dem Server angesteuert werden sollen. Dafür verwendet der FTP-Port standardmäßig eigene Nummern, die klar zuzuordnen sind. Diese reichen von 0 bis 65535. Nur wenn die Nummer des jeweiligen FTP-Ports bekannt ist, ist auch eine sichere Verbindung möglich. Mit der richtigen Bezeichnung kann dann der Datentransfer zielgerichtet gestartet werden. Es ist dabei möglich, Textdateien im ASCII-Modus oder binäre Daten wie z. B. Bilder oder Programme zu übertragen.

Um eine funktionierende Übertragung zu gewährleisten, werden beim File Transfer Protocol meistens zwei FTP-Ports verwendet. Im ersten Schritt wird der FTP-Standard-Port 21 vom Server zum Client aufgebaut. Diesen bezeichnet man als Steuerungskanal. Im zweiten Schritt wird der TCP-Port 20 zwischen den beiden Parteien angelegt. Dieser ist als Datenkanal bekannt. Die Notwendigkeit für zwei FTP-Ports erklärt sich durch ihre Aufgaben. Der Steuerungskanal wird ausschließlich dafür verwendet, die FTP-Kommandos zu verschicken. Diese werden vom Client an den Server gesendet, der jedes Kommando mit einem Status-Code beantwortet. Für die Nutzung dieses FTP-Ports ist in der Regel eine Authentifizierung mit Nutzername und Passwort nötig.

So wird ein Datentransfer initiiert oder abgebrochen, und auch die Verbindung kann über diesen Weg beendet werden. Die Daten selbst werden dann allerdings über den zweiten Kanal gesendet oder empfangen. Der Transfer kann vom Server zum Client oder in die umgekehrte Richtung durchgeführt werden, je nachdem, welche Befehle erteilt wurden. Auch Verzeichnislisten werden über diesen FTP-Port versendet. Die Unterteilung der beiden Kanäle stellt sicher, dass sämtliche Kommunikationsmöglichkeiten aufrechterhalten werden und so der Kontakt zwischen Server und Client zu jeder Zeit möglich ist. Probleme mit der Datenübertragung werden über einen Status-Code übermittelt und dann durch einen neuen Befehl idealerweise behoben.

Man unterscheidet außerdem zwischen aktiven FTP-Ports und FTP-Ports im Passive Mode. Kurz gesagt liegt der Unterschied zwischen den beiden Möglichkeiten im Verhalten des Servers begründet: Im Active Mode initiiert dieser die Verbindung. Wird die Verbindung mit dem FTP-Port im Passive Mode durchgeführt, wird der Server selbst nicht aktiv, sondern überlässt dem Client die Erstellung einer Verbindung und bestätigt diese lediglich. Warum dieses Vorgehen möglich und in einigen Fällen nötig ist, beantworten wir weiter unten. Zunächst erklären wir aber, wie Sie überhaupt FTP-Ports im Passive Mode oder Active Mode verbinden. Das jeweilige Vorgehen ähnelt sich.

Eine aktive Verbindung zwischen Client und Server wird folgendermaßen aufgebaut:

1. Im ersten Schritt sendet der Client eine Verbindungsanfrage an den FTP-Standard-Port 21. Dafür nutzt er selbst einen FTP-Port zwischen 1024 und 65535.
2. Ist die Verbindung möglich, antwortet der Server auf einem temporären Client-Port.
3. Der Client erwidert dann seinerseits die Antwort des Servers und bestätigt den Aufbau einer aktiven Verbindung.
4. Nun sendet der Client einen FTP-PORT-Befehl. Dieser bestätigt die Verwendung eines aktiven FTP-Ports, seine IP-Adresse und die exakte Nummer des FTP-Ports, mit dem sich der Server verbinden soll.
5. Sind alle Angaben richtig, bestätigt der Server den Command mit einem Status-Code.
6. Nun weist der Client den Server an, FTP zu verwenden.
7. An dieser Stelle kommt der aktive Part: Der Server selbst erstellt eine Datenverbindung und sendet dafür eine Anfrage vom FTP-Port 20 (dem Datenkanal) an denjenigen FTP-Port, dessen Nummer der Client ihm bereits mitgeteilt hat.
8. Der Client bestätigt dem Server, dass die Datenverbindung aktiv und fehlerfrei ist.
9. Auch der Server sendet eine Bestätigung der erfolgreichen Verbindung und gibt dem Client die Erlaubnis für den Datentransfer.
10. Nun können die FTP-Ports zum Anfordern und Versenden bzw. Empfangen der unterschiedlichen Daten genutzt werden.

Soll ein FTP-Port im Passive Mode genutzt werden, sind die einzelnen Schritte in der Kommunikation zwischen Server und Client zunächst sehr ähnlich. Lediglich am Ende kommt es zu bedeutenden Unterschieden. So sieht das genau aus:

1. Auch beim passiven Ansatz sendet der Client eine Anfrage von seinem temporären FTP-Port zwischen 1024 und 65535 an den Standard-FTP-Port 21 des Servers.
2. Der Server antwortet auf die Anfrage und schickt seine Bestätigung an den Absende-Port.
3. Der Client bestätigt den Verbindungsaufbau.
4. Im nächsten Schritt sendet der Client allerdings statt des FTP-PORT-Befehls einen PASV-Befehl. Mit diesem Command wird ein passives Protokoll angefordert.
5. Nun bestätigt der Server diese Aufforderung. Dann sendet er seine IP-Adresse und seine FTP-Port-Nummer zwischen 1024 und 65535. Mit dieser soll sich der Client verbinden.
6. Jetzt schickt der Client eine Verbindungsanfrage an den FTP-Port, den der Server ihm mitgeteilt hat.
7. Ist alles in Ordnung, bestätigt der Server die Verbindung.
8. Der Client erstellt nun die Verbindung zum Server über die angegebenen FTP-Ports.
9. Im letzten Schritt sendet der Client einen Übertragungsbefehl über seinen Steuerungs-Port zum FTP-Port 21 des Servers. Der Datentransfer kann nun beginnen. Dabei wird der FTP-Port 20 nicht mehr benötigt.

In der Regel wird der aktive Modus bei der Übertragung mit FTP-Ports genutzt. Ist dies nicht der Fall, wird Ihr Hoster Sie normalerweise über den Wechsel in den Passive Mode des FTP-Ports informieren. Um den Modus selbst zu testen, können Sie versuchen, eine Verbindung aufzubauen. Gelingt dies nicht, wechseln Sie in den anderen Modus.

Beim Aufsetzen eines Servers können Sie selbst entscheiden, ob Sie den aktiven oder den passiven Modus verwenden möchten. Das gilt ebenfalls, wenn Sie einen eigenen Debian-FTP-Server einrichten oder einen Ubuntu-FTP-Server installieren. Aus Sicherheitsgründen ist ein regelmäßiger Port-Check empfehlenswert.

Stellt sich die Frage, warum ein FTP-Port überhaupt einen Passive Mode benötigt. Grund ist ein Problem, das unter Umständen mit einer Firewall auftreten kann. Wenn der Client hinter einer Firewall positioniert ist und diese ihren Job nach Vorschrift verrichtet, unterbindet sie sämtliche aktive Verbindungen, die von außerhalb auf den Client zugreifen wollen. Das wäre im Fall eines aktiven FTP-Ports eben auch der Server. Nutzt man hingegen einen FTP-Port im Passive Mode, geht die Initiative vom Client aus. Dagegen hat auch die Firewall keine Einwände und lässt den Datentransfer zu.

Während der FTP-Port 20 bei einer passiven Nutzung nicht benötigt wird, ist die Nutzung des FTP-Ports 21 obligatorisch. Da Port 20 nur für den Datentransfer verwendet wird, wird die Verbindung nach der Übertragung einfach wieder gekappt. Der FTP-Port 21 ist hingegen durchgehend aktiv. Er ist eine Kontrollinstanz und steuert sämtliche Übertragungen. Er kann höchstens durch den Nutzer bzw. die Nutzerin mit einem Command getrennt werden oder wird nach einem Timeout automatisch abgestellt. Nicht nur diese Tatsache ist gefährlich; auch die offene Übertragung von Nutzernamen und Passwörtern macht die Technik zu einem Einfallstor für unerlaubte Zugriffe.

Abhilfe schafft das SSH File Transfer Protocol (SFTP). Der Name zeigt bereits, dass es gewisse Ähnlichkeiten zwischen SFTP und dem herkömmlichen FTP-Port gibt. Dennoch gibt es zwischen den beiden Protokollen auch bedeutende Unterschiede, wodurch keine Kommunikation zwischen SFTP-Servern und Standard-Clients möglich ist. Die wichtigsten Unterschiede zwischen den beiden Protokollen sind diese:

• Verschlüsselung: Im Gegensatz zum Standard-FTP-Port sind SFTP-Ports verschlüsselt. Das betrifft zum einen die Nutzernamen und Passwörter und zum anderen die Übertragung selbst. Ein unerlaubter Zugriff ist daher nicht ohne weiteres möglich.
• Portnummer: Statt des FTP-Ports 21 nutzt SFTP in der Regel den Port mit der Nummer 22.
• Herkunft: Während FTP von TCIP/IP bereitgestellt wird, gehört SFTP zum SSH-Protokoll.

FTP-Ports sind eine wichtige und immer noch sehr nützliche Erfindung, die den Datentransfer im Internet überhaupt erst ermöglicht. Auch die Implementierung eines passiven Modus für FTP-Ports war ein wichtiger Schritt. Das große Manko von FTP ist allerdings wie beim Trivial File Transfer Protocol (TFTP) die fehlende Verschlüsselung. Für die sichere Übertragung ist die Nutzung eines SFTP-Ports daher deutlich empfehlenswerter.