호스팅 TIP > 시스템보안 > 헷갈리는 FTP (Active FTP / Passive FTP)

호스팅 TIP

보안

시스템

프로그래밍

시스템보안

월간 인기 게시물

	게시물 111건

헷갈리는 FTP (Active FTP / Passive FTP)

글쓴이 : 최고관리자 날짜 : 2009-11-30 (월) 22:22 조회 : 6565

글주소 :

FTP 요놈은 파일송수신에는 엄청 편리하게 써먹는 녀석이나 방화벽과 연결되는 부분을 확인하면 개념잡기가 힘들다.
2개의 전송모드에 차이점은 무엇이며 어떠한 원리를 가지고 접속되는지 알아보자.

1. FTP

먼저 FTP 서버가 사용하는 포트는 2개 이다.
하나는 로그인과 디렉토리 검색을 하기위해 사용되는 정보포트와 실제적으로 데이터를 업다운로드하는데 쓰이는 데이터 포트 이다.

FTP 서비스는 패시브모드(Passive-mode)와 액티브모드(Active-mode) 2가지를 지원한다.

간단히 말하자면 연결요청을 어느누가 할것인가에 차이이다.

Active-mode 는 클라이언트 기반 접속으로 클라이언트에 선점되지 않은(1024이상)의 포트에서 웹서버쪽에 21번 포트로 FTP를 접속한다.
클라이언트에서 서버쪽으로 port 명령어를 보내는것으로 랜덤포트를 이용하여 서버 포트로 접속하는 것으로 서버포트는 항상 21번 포트로 접속된다.

따라서 Active 모드 접속시에 문제점이 발생되는 경우는 대부분이 클라이언트측에 있다.
FTP 클라이언트는 서버의 데이터포트로 실제 연결을 생성하지 않고 단지 서버에게 자신이 리스닝하는 포트를 이야기하고 서버 클라이언트가 이야기한 포트로 연결을 맺는다.

만일 자신이 공유기나 마스커레이드를 통해서 FTP를 접속을 시도하게 되면 서버로의 접속후에 클라이언트쪽으로 접속을 요청할때 사설아이피를 못찾아서 실패하는 경우이다.

이는 서버에 Passive 모드접속을 허용하지 않게끔 설정두어서 생기게되는 경우로 서버설정에 변경없이 꼭접속을 하기를 원한다면 공유기를 떼고 다이렉트로 접속해 보면 된다.

이에 공유기나 마스커레이드 같은 사설사용자들을 위해 생겨난 방식이 Passive 모드이다.

Passive-mode 는 서버쪽 21번 포트로 접속시, 클라이언트의 랜덤포트가 아니라 서버쪽 랜덤포트를 이용하게 된다.
서버는 클라언트에게 pasv 명령어를 보내며, 클라이언트는 승인하게 된다.

문제는, 패시브모드의 경우 서버쪽에 1024 에서 65535 포트 사이를 랜덤하게 할당하며, 네트워크 세션이 있을때마다 신규포트를 이용하게 된다.

이때, 서버쪽에 방화벽을 운영하거나 대량접속서비스가 운영중일때는 네트워크 자원이 부족하게 되어 접속장애가 있을수 있다.

FTP를 통한 실제세션은 어떠한지 한번 확인해보자.

아래는 FileZilla를 통해서 FTP 서버로 접속해서 특정 동영상파일을 다운로드하는 과정이다.

# Active-mode 상태로의 FTP 접속

응답: 220 (vsFTPd 2.0.5)
명령: USER mojily
응답: 331 Please specify the password.
명령: PASS **********
응답: 230 Login successful.
명령: SYST
응답: 215 UNIX Type: L8
명령: FEAT
응답: 211-Features:
응답: EPRT
응답: EPSV
응답: MDTM
응답: SIZE
응답: TVFS
응답: 211 End
상태: 접속되었습니다
상태: /DVDRip.XviD.CD1-XXXXX.avi 다운로드 시작 중
명령: PWD
응답: 257 "/"
명령: TYPE I
응답: 200 Switching to Binary mode.
명령: PORT 218,236,115,239,12,13
응답: 200 PORT command successful.
명령: RETR DVDRip.XviD.CD1-XXXXX.avi
응답: 150 Opening BINARY mode data connection for DVDRip.XviD.CD1-XXXXX.avi (162157784 bytes).
응답: 226 File send OK.
상태: 다운로드 완료
명령: PWD
응답: 257 "/"
명령: TYPE A
응답: 200 Switching to ASCII mode.
명령: REST 0
응답: 350 Restart position accepted (0).

접속과정을 통해서 보면 PORT 명령의 옵션으로 6가지의 숫자가 사용되는데 처음 4가지의 숫자는 IP주소를 의미하고 마지막 2가지의 숫자는 포트번호이다.

포트번호의 (첫번재 숫자 * 256) + 두번째 숫자를 계산해보면 실제 포트번호를 얻을수 있다.

PORT 218,236,115,239,12,13

(12 * 256) + 13 = 3085

실제 시스템에서의 포트사용번호를 비교해보면 일치한다.

[root@mojily src]# netstat -atnp |grep vsftpd
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      21414/vsftpd
tcp        0      0 218.236.115.222:21          218.236.115.239:3082        ESTABLISHED 21461/vsftpd
tcp        0 127424 218.236.115.222:20          218.236.115.239:3085        ESTABLISHED 21472/vsftpd
tcp        0      0 218.236.115.222:21          218.236.115.239:3084        ESTABLISHED 21470/vsftpd

패시브모드를 설정하고 확인해보면 이 반대의 결과인 서버쪽에 포트가 변경되서 접속됨이 확인이 가능할 것이다.

따라서 방화벽을 사용하게 되면 접속및 데이터 송수신포트자체가 고정적이지 못할경우에는 문제점이 많다.

이럴대는 서버쪽에 포트를 고정하는 방식(패시브모드)으로 수정해서 사용하면 된다.

이제는 방화벽 설정을 사용하기 위해 패시브 포트를 고정하는 방법을 확인해 보자.

2. Passive-Mode를 사용하기 위한 포트 고정방법

1) Window 시스템

원문 : http://www.newagedigital.com/cgi-bin/newagedigital/articles/ms-firewall-ftp.html

Windows 2000 Server 및 Windows Server 2003 모두 PassivePortRange 값을 이용하여 조정이 가능하다.

Windows Server 2003 의 경우는 메타베이스를 수정

1. 인터넷 정보 서비스 관리] - [로컬 컴퓨터] - [속성 ] - [메타베이스 직접 편집 허용]에 체크

2. C:\WINDOWS\system32\inetsrv 밑에 metabase.xml 을 메모장으로 연다.

3. 고정해야될 패시브 데이타 포트항목을 아래 라인과 같이 추가한다.

PassivePortRange="5001-5001"

..................................................................................

..................................................................................
..................................................................................
<IIsFtpService Location ="/LM/MSFTPSVC"
  AdminACL="XXXXXXXX"
  AllowAnonymous="TRUE"
  AnonymousOnly="FALSE"
  AnonymousUserName="IUSR_SERVER-X62W0LSZ"
  AnonymousUserPass="XXXXXXXXX"
  ConnectionTimeout="120"
  DownlevelAdminInstance="1"
  ExitMessage=" "
  LogAnonymous="FALSE"
  LogExtFileFlags="XXXXXXXXX"
  LogFileDirectory="C:\WINDOWS\system32\LogFiles"
  LogFilePeriod="1"
  LogFileTruncateSize="20971520"
  LogNonAnonymous="FALSE"
  LogOdbcDataSource="TSLOG"
  LogOdbcPassword="XXXXXXXXXX"
  LogOdbcTableName="FTPLog"
  LogOdbcUserName="InternetAdmin"
  LogPluginClsid="{FF160663-DE82-11CF-BC0A-00AA006111E0}"
  LogType="1"
  MSDOSDirOutput="TRUE"
  MaxClientsMessage=" "
  MaxConnections="100000"
  PassivePortRange="5001-5001"
>
</IIsFtpService>
..................................................................................
..................................................................................
..................................................................................

4. 편집한 metabase.xml 파일을 저장한다

5. IIS 를 다시한번 재시작한다.

6. Ipsec 이나 방화벽이 설정되어있다면 tcp 5001을 추가한다.

Windows 2000 Server 의 경우는 레지스트리 값을 추가

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Msftpsvc\Parameters\
에서 REG_SZ 타입의 PassivePortRange 값이름을 추가한다.
값으로는, 5500-5700 을 설정한다.

2) Linux 시스템

먼저 패시브 모드를 사용하기 위해서는 서버에 ip_conntrack 모듈이 있어야 한다.
ip_conntrack 은 연결추적 모듈이다. 몇번 IP 가 몇번 포트를 통해서 접속했는지에 대한 정보가 담겨있다.

정보가 담겨있는 위치는 /proc/net/ip_conntrack 이다.

[root@smileserv ~]# cat /proc/net/ip_conntrack

........................................................................................................................

udp      17 27 src=219.78.47.179 dst=111.111.111.241 sport=7957 dport=8630 packets=1 bytes=90 src=111.111.111.241 dst=219.78.47.179 sport=8630 dport=7957 packets=1 bytes=81 mark=0 use=1
udp      17 7 src=58.172.208.159 dst=111.111.111.241 sport=55210 dport=8630 packets=2 bytes=306 src=111.111.111.241 dst=58.172.208.159 sport=8630 dport=55210 packets=2 bytes=411 [ASSURED] mark=0 use=1
udp      17 114 src=111.111.111.1111 dst=222.222.222.22 sport=33181 dport=161 packets=34 bytes=2692 src=222.222.222.22 dst=111.111.111.236 sport=161 dport=33181 packets=34 bytes=2875 [ASSURED] mark=0 use=1

패시브 모드를 사용하기 위한 vsftp.conf 설정

[root@smileserv ~]# vi /etc/vsftpd/vsftpd.conf
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
........................................................................................................................

........................................................................................................................

## 데이터 전송을 위해서 Passive mode를 사용할 것인지 설정 (기본값 = YES)
## => Active Mode로 접근할 수 없는 사용자들을 위해 활성화
pasv_enable=YES

## 패시브 모드로 연결시 할당될 최대 및 최소 포트를 설정 (기본값 = 0)
## => 일반적으로 50000~60000 포트를 지정 (기본값 = 0)
## 기본값인 0은 well-known port를 제외한 무작위 포트를 이용하게 됩니다.
pasv_min_port=50000
pasv_max_port=50001

.......................................................................................................................

........................................................................................................................

패시브 모드를 사용하기 위한 proftpd.conf

AllowForeignAddress on

# 30000 ~ 32000 Port 를 사용해서 패시브 포트 지정

PassivePorts 50000 50001

실제로 바뀐부분이 적용되는지를 확인해 본다.

[root@smileserv ~]# netstat -atnp |grep vsftpd ==> FTP 접속전
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 21363/vsftpd

[root@mojily ~]# netstat -atnp |grep vsftpd   ==> FTP 접속중
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      21363/vsftpd
tcp        0      0 218.236.115.222:21          220.90.215.4:3621           ESTABLISHED 21374/vsftpd
tcp        0      0 218.236.115.222:21          220.90.215.4:3622           ESTABLISHED 21377/vsftpd

[root@mojily ~]# netstat -atnp |grep vsftpd ==> PASV 고정전 데이타 전송중

tcp        0      0 218.236.115.222:34795       0.0.0.0:*                   LISTEN      21427/vsftpd
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      21414/vsftpd
tcp        0      0 218.236.115.222:21          220.90.215.4:1090           ESTABLISHED 21422/vsftpd
tcp        0      0 218.236.115.222:21          220.90.215.4:1091           ESTABLISHED 21425/vsftpd
tcp        0 87765 218.236.115.222:34795       220.90.215.4:1106           ESTABLISHED 21427/vsftpd

[root@mojily ~]# netstat -atnp |grep vsftpd ==> PASV 고정후 데이타 전송중

tcp        0      0 218.236.115.222:50001        0.0.0.0:*                   LISTEN      21379/vsftpd
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      21363/vsftpd
tcp        0 116800 218.236.115.222:50001        220.90.215.4:3666           ESTABLISHED 21379/vsftpd
tcp        0      0 218.236.115.222:21          220.90.215.4:3621           ESTABLISHED 21374/vsftpd
tcp        0      0 218.236.115.222:21          220.90.215.4:3622           ESTABLISHED 21377/vsftpd

설정된 정보가 잘 반영되는것이 확인된다.

주의 ) 익스플로러를 통해서 FTP 접속은 패시브 모드방식이다.

따라서 패시브 모드 접속이 안되는 사설아이피같은 경우는 익스플로러에서는 접속이 불가능하다. 이럴땐 FTP 클라이언트 프로그램을 이용해서 접속!!

여행스케치

웹소식

자유게시판

인기검색어

	ceph
	http
	sq	1
	ddos	1
	volume	5
	snmp
	format	1
	squid	1
	KaLxcnaNByBgOsD
	sm3	2