Ports FTP : aperçu du mode actif et passif

Les ports FTP sont des points de com­mu­ni­ca­tion. Ils per­met­tent la trans­mis­sion de données entre le terminal et le serveur grâce au protocole FTP. On distingue les ports FTP en mode passif et ceux en mode actif. Ce protocole est toutefois re­la­ti­ve­ment peu sûr.

Ports FTP dans le File Transfer Protocol

FTP (File Transfer Protocol) est un protocole de réseau agissant au niveau de la couche ap­pli­ca­tion du modèle OSI. Il est défini dans le RFC 959. Le protocole, introduit à partir de 1971, permet le transfert de données d’un terminal vers un serveur et in­ver­se­ment. Pour ce faire, il utilise le modèle client-serveur, qui permet de té­lé­char­ger des fichiers et de créer des ré­per­toires. Le FTP fonc­tionne sur une structure de demande et de réponse : les données sont demandées et, si né­ces­saire, modifiées grâce à des commandes FTP et via des pro­grammes FTP tels que FileZilla. Le transfert s’effectue ensuite via un canal de données. Pour qu’un appareil puisse établir une connexion sécurisée avec un serveur, des ports FTP sont utilisés.

Qu’est-ce qu’un port FTP et à quoi sert-il ?

Les ports FTP sont des points de com­mu­ni­ca­tion situé à l’extrémité du réseau. Ils ga­ran­tis­sent l’éta­blis­se­ment d’une connexion entre un terminal et un serveur FTP. Le port FTP est alors utilisé pour iden­ti­fier les ap­pli­ca­tions et autres services devant être ac­ces­sibles sur le serveur. Pour cela, ce terminal de com­mu­ni­ca­tion utilise ses propres numéros par défaut. Ces derniers vont de 0 à 65535. Une connexion sécurisée n’est possible que si le numéro du port FTP cor­res­pon­dant est connu. Avec la dé­sig­na­tion correcte, le transfert de données peut alors être lancé. Il est possible de trans­fé­rer des fichiers texte en mode ASCII ou des données binaires telles que des images ou des pro­grammes.

Comment fonc­tion­nent les ports FTP ?

Pour garantir le bon dé­rou­le­ment d’un transfert, le File Transfer Protocol utilise gé­né­ra­le­ment deux ports FTP. Dans un premier temps, le port FTP 21 est établi entre le serveur et le client. On l’appelle le canal de contrôle. Dans un deuxième temps, le port TCP 20 est utilisé pour relier les deux entités. Celui-ci est connu sous le nom de canal de données. Le canal de contrôle, quant à lui, est ex­clu­si­ve­ment utilisé pour envoyer les commandes FTP. Celles-ci sont envoyées par le client au serveur, qui répond à chaque commande par un code. Pour utiliser ce port FTP, une au­then­ti­fi­ca­tion avec un nom d’uti­li­sa­teur et un mot de passe est gé­né­ra­le­ment demandée.

Ainsi, un transfert de données est initié et la connexion est établie. Les données sont alors envoyées ou reçues via le deuxième canal. Le transfert peut s’effectuer du serveur vers le client ou dans le sens inverse, en fonction des commandes données. Les listes de ré­per­toires sont également envoyées via ce port FTP. L’uti­li­sa­tion de ces deux canaux garantit des pos­si­bi­li­tés de com­mu­ni­ca­tion per­ma­nentes entre le serveur et le client. Si le transfert de données rencontre un problème, un code est transmis et invite à entrer une nouvelle commande.

Quelles sont les dif­fé­rences entre les ports FTP en mode passif et en mode actif ?

On fait également la dif­fé­rence entre les ports FTP actifs et ceux en mode passif. En bref, la dif­fé­rence entre les deux pos­si­bi­li­tés réside dans le com­por­te­ment du serveur : en mode actif, c’est lui qui initie la connexion. Si la connexion avec le port FTP est effectuée en mode passif, le serveur laisse le client établir la connexion et se contente de la confirmer. Nous ex­pli­quons dans la suite de cet article pourquoi cette procédure est possible et, dans certains cas, né­ces­saire. Mais tout d’abord, nous ex­pli­quons comment connecter des ports FTP selon leurs modes. La procédure est similaire pour les deux.

Con­fi­gu­ra­tion d’un port FTP standard actif

Une connexion active entre le client et le serveur est établie de la manière suivante :

1. Dans un premier temps, le client envoie une demande de connexion sur le port FTP 21, en utilisant lui-même un port FTP compris entre 1024 et 65535.
2. Si la connexion est possible, le serveur répond sur un port client tem­po­raire.
3. Le client répond à son tour au serveur et confirme l’éta­blis­se­ment d’une connexion active.
4. Le client envoie alors la commande FTP « PORT ». Celle-ci confirme l’uti­li­sa­tion d’un port FTP actif, son adresse IP et le numéro exact du port FTP avec lequel le serveur doit se connecter.
5. Si toutes les données sont correctes, le serveur confirme la commande avec le code cor­res­pon­dant.
6. Le client indique main­te­nant au serveur de commencer à utiliser le FTP.
7. C’est à ce moment que le mode actif se déclenche : le serveur établit lui-même une connexion de données et envoie une demande du port FTP 20 (le canal de données) au port FTP dont le client lui a déjà com­mu­ni­qué le numéro.
8. Le client confirme au serveur que la connexion de données est active et sans erreur.
9. Le serveur envoie également une con­fir­ma­tion de connexion réussie et autorise le client à trans­fé­rer les données.
10. Les ports FTP peuvent main­te­nant être utilisés pour l’envoi ou la réception de dif­fé­rentes données.

Con­fi­gu­ra­tion d’un port FTP en mode passif

Si un port FTP doit être utilisé en mode passif, les dif­fé­rentes étapes de la com­mu­ni­ca­tion entre le serveur et le client sont au départ très si­mi­laires. Ce n’est que pour les dernières étapes que la con­fi­gu­ra­tion est dif­fé­rente :

1. Dans l’approche passive également, le client envoie une requête de son port FTP tem­po­raire entre 1024 et 65535 au port FTP 21 du serveur.
2. Le serveur répond à la demande et envoie sa con­fir­ma­tion au port d’envoi.
3. Le client confirme l’éta­blis­se­ment de la connexion.
4. À l’étape suivante, le client envoie la commande « PASV » au lieu de la commande FTP « PORT ». Cette commande permet d’instaurer un protocole passif.
5. Le serveur confirme cette demande. Il envoie ensuite son adresse IP et son numéro de port FTP entre 1024 et 65535 pour pouvoir ensuite s’y connecter.
6. Le client transmet donc une demande de connexion au port FTP indiqué par le serveur.
7. Si tout est en ordre, le serveur confirme la connexion.
8. Le client établit main­te­nant la connexion avec le serveur via les ports FTP indiqués.
9. À la dernière étape, le client débute le transfert vers le port FTP 21 du serveur en entrant une commande via son port de contrôle. Le transfert de données peut alors commencer. Le port FTP 20 n’est plus né­ces­saire.

Comment savoir si une connexion est active ou passive ?

En règle générale, le mode actif est utilisé lors du transfert de données FTP. Si ce n’est pas le cas, votre hébergeur vous informera nor­ma­le­ment du passage en mode passif du port FTP. Pour tester vous-même le mode, vous pouvez essayer d’établir une connexion. Si vous n’y parvenez pas, passez à l’autre mode.

Lors de la mise en place d’un serveur, vous pouvez décider vous-même si vous souhaitez utiliser le mode actif ou le mode passif. Cela s’applique également si vous souhaitez con­fi­gu­rer votre propre serveur FTP Debian ou un serveur FTP Ubuntu. Pour des raisons de sécurité, nous vous re­com­man­dons de ré­gu­liè­re­ment vérifier les ports.

Pourquoi le mode passif est-il né­ces­saire pour les ports FTP ?

Pourquoi un port FTP a-t-il besoin d’un mode passif ? La réponse à cette question est liée aux problèmes engendrés par les pares-feux. Si le client est po­si­tionné derrière un pare-feu et que celui-ci est efficace, il bloque toutes les con­nexions actives qui veulent accéder au client depuis l’extérieur. Dans le cas d’un port FTP actif, les ten­ta­tives de connexion du serveur sont donc également bloquées. En revanche, si l’on utilise un port FTP en mode passif, c’est le client qui prend l’ini­tia­tive. Ainsi, le pare-feu ne s’y oppose pas et le transfert de données est autorisé.

A-t-on toujours besoin d’un port FTP 21 ?

Alors que le port FTP 20 n’est pas né­ces­saire en cas d’uti­li­sa­tion du mode passif, l’uti­li­sa­tion du port FTP 21 est toujours obli­ga­toire. Comme le port 20 n’est utilisé que pour le transfert de données, la connexion est sim­ple­ment coupée après le transfert. En revanche, le port FTP 21, en tant qu’instance de contrôle per­met­tant de gérer tous les trans­ferts, est cons­tam­ment actif. Il peut cependant être dé­con­necté par un uti­li­sa­teur à l’aide d’une commande, ce qui peut vous être re­com­mandé en raison de lacunes dans le domaine de la sécurité. La trans­mis­sion des noms d’uti­li­sa­teur et des mots de passe n’est pas sécurisée et fait de cette technique une porte d’entrée pour les accès non autorisés.

Quelle est la dif­fé­rence entre FTP et SFTP ?

Le SSH file transfer protocol (SFTP) permet de remédier à ce problème de sécurité. Leurs noms si­mi­laires prouvent qu’il existe certaines si­mi­li­tudes entre SFTP et FTP. Néanmoins, il existe également des dif­fé­rences im­por­tantes entre les deux pro­to­coles :

• Le chif­fre­ment : con­trai­re­ment aux ports FTP standard, les ports SFTP sont chiffrés. Cela concerne d’une part les noms d’uti­li­sa­teur et les mots de passe, et d’autre part le transfert lui-même. Un accès non autorisé n’est donc pas possible.
• Le numéro de port : au lieu du port FTP 21, SFTP utilise gé­né­ra­le­ment le port 22.
• L’origine : alors que FTP est fourni par TCIP/IP, SFTP fait partie du protocole SSH.

En résumé : les ports FTP sont certes utiles, mais leur uti­li­sa­tion n’est pas sécurisée

L’uti­li­sa­tion des ports FTP a re­pré­senté une grande in­no­va­tion tech­no­lo­gique. FTP est aujourd’hui encore très utilisé, c’est le protocole de transfert de données en ligne le plus populaire. L’im­plé­men­ta­tion d’un mode passif a également été une étape im­por­tante. Le grand défaut du FTP est toutefois, comme pour le Trivial File Transfer Protocol (TFTP), l’absence de chif­fre­ment. Pour un transfert sécurisé, il est donc nettement plus re­com­mandé d’utiliser un port SFTP.