네트워크 보안 - FTP 패시브 모드(PASV EPSV)

FTP 수동 모드(Passive mode)란?

FTP 패시브(PASSIVE) 모드란 기존 액티브 모드에 클라이언트의 방화벽 문제를 해결하기 위해 고안된 "클라이언트가 서버의 랜덤 한 포트(1024~65535)에 접속하는 방식"을 말한다. 

 

1. 클라이언트는 서버의 제어 채널인 21번 포트로 접속을 하고 "PASV" 혹은 "EPSV"를 보낸다. 이는 앞으로 수동 모드(Passive Mode)를 진행함을 알리는 의미

 

2. 서버가 자신이 열어둔 데이터 채널인  랜덤한 포트(1024~65535) 번호를 클라이언트에게 알려주고 데이터를 서로 주고받게 된다. 

 

PASV와 EPSV 차이

PASV는 IPv4 프로토콜만 지원하며 클라이언트에게 데이터 채널 포트를 알리게 될 때 자신의 아이피를 알리게 되는 등 보안성이 떨어진다. 

 

EPSV는 IPv4, IPv6 프로토콜을 지원하고 PASV와 달리 데이터 채널 포트를 알려줄 때 포트 번호만을 전송하므로 보안성이 상대적으로 높다. 

 

실습

실습 하기 앞서서 실제로 주고받는 메시지를 확인하기 위해 -d(디버그) 옵션을 추가한다. 

 

janger@desktop:~$ ftp -d
ftp> open ftp.example.com 1121
Connected to ftp.example.com.
220 Microsoft FTP Service
ftp_login: user `<null>' pass `<null>' host `ftp.example.com'
Name (ftp.example.com:janger): janger
---> USER janger
331 Password required
Password:
---> PASS XXXX
230 User logged in.

 

 

passive mode 통신

우선 기본으로 활성화 된 모드가 Extended Passive Mode이므로 EPSV를 비활성화해준다. 

 

ftp> epsv
EPSV/EPRT on IPv4 off.
EPSV/EPRT on IPv6 off.

그리고는 ls를 입력해 파일 리스트를 불러온다. 

 

ftp> ls
ftp: setsockopt SO_DEBUG (ignored): Permission denied
---> PASV
227 Entering Passive Mode (192,168,0,8,122,242).
---> LIST
150 Opening ASCII mode data connection.
10-12-23  11:42AM                    6 test.txt
226 Transfer complete.
ftp>

클라이언트가 PASV를 전송을 하자 서버는 응답을 하는데 자신(서버)의 아이피와 데이터 채널 포트 번호를 보내게 된다. 클라이언트가 서버가 알려준 포트로 연결을 해서 LIST 메시지를 보내고 서버는 LIST의 결과를 데이터 채널로 보냈다. 

 

포트 번호 계산하는 방법 : 122 * 256 + 242 = 31474

 

 

extended passive mode 통신

다시 "epsv"를 입력해 EPSV를 on을 한다. 

ftp> epsv
EPSV/EPRT on IPv4 on.
EPSV/EPRT on IPv6 on.

 

ftp> ls
ftp: setsockopt SO_DEBUG (ignored): Permission denied
---> EPSV
229 Entering Extended Passive Mode (|||31522|)
229 Entering Extended Passive Mode (|||31522|)
---> LIST
150 Opening ASCII mode data connection.
10-12-23  11:42AM                    6 test.txt
226 Transfer complete.
ftp>

이번에는 클라이언트가 EPSV를 보내고 서버는 데이터 채널 포트 번호를 응답해주었다. 

 

 

공유기 포트포워딩 이슈

FTP 프로토콜에 대해 공부하면서 궁금한 것이 따로 공유기에서 데이터 채널 포트를 포트포워딩하지 않았는데도 정상적으로 데이터를 주고받는 것이었다. 

 

결론을 말하면 공유기가 스스로 데이터채널 포트를 열어두는 것이었으며, 정확히는 FTP 제어 채널인 21번 포트를 통해서 패킷을 주고받을 때에 공유기가 데이터 채널 포트를 알아내 외부에서 들어올 수 있게 오픈을 해준다. 

 

ipTIMe 공유길로 직접 확인해 본다. 

다음과 같이 FTP 제어 채널 포트를 1121로 설정 해준다. 

 

당연히 ftp 서버(iis)의 포트도 1121로 설정

 

ftp> open ftp.example.com 1121
setupsockbufsize: rcvbuf_size determined as 131072
setupsockbufsize: sndbuf_size determined as 16384
Connected to ftp.example.com.
220 Microsoft FTP Service

설정을 마친뒤 ftp 클라이언트로 연결 요청을 하면 잘 접속되는 것을 볼 수 있다. 

 

 

ftp> ls
ftp: setsockopt SO_DEBUG (ignored): Permission denied
---> EPSV
229 Entering Extended Passive Mode (|||2230|)
229 Entering Extended Passive Mode (|||2230|)
ftp: Can't connect to `192.168.0.8:2230': Connection timed out
ftp: setsockopt SO_DEBUG (ignored): Permission denied
---> EPRT |1|192.168.0.8|53741|
421 Service not available, remote server has closed connection.
229 Entering Extended Passive Mode (|||2230|)
ftp>

하지만 ls를 요청하니 서버가 데이터채널 포트 번호를 알려주었음에도 클라이언트는 연결을 할 수가 없으니깐 제대로 된 연결 성립이 안되게 된다. 

 

원인은 FTP 서버가 비정규 포트(1121)를 사용했기 때문이다. 만약에 정규 포트(21)를 사용했을 경우에는 제대로 연결된다. 

 

ipTIME 공유기에는 이와 같이 비정규 포트를 사용할 경우를 대비해서 NAT/라우터 관리 - 고급 NAT 설정에 "FTP 비정규 포트"를 구성해 두었다. 

 

"1121"를 추가하고 다시 동일한 요청을 해보면 이번에는 데이터를 잘 주고 받는 것을 볼 수 있었다. 

ftp> ls
ftp: setsockopt SO_DEBUG (ignored): Permission denied
---> EPSV
229 Entering Extended Passive Mode (|||2416|)
229 Entering Extended Passive Mode (|||2416|)
---> LIST
125 Data connection already open; Transfer starting.
10-12-23  12:08PM                    6 test.txt
226 Transfer complete.
ftp>

 

마찬가지로 KT GiGA WiFi home 공유기에도 있는 기능이었다. 장치설정 - 트래픽 관리 - ALG 설정으로 가면 FTP 비정규 포트 지정이 가능하다.