Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1816 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ports closed but still open???

Hans_Baumeister
A server we have at a POP that uses the Astaro Office FW 4.0 has been hacked.  The hackers used the open Port 21 to gain access to the ftp Server to exchange MP3 files...
The odd thing is: the operator tells me that while they got in through Port 21, the outgoing traffic was via Ports upward of 4000.  These Ports are supposedly blocked on the Astaro (for outgoing as well).
He told me, that once a client and a server negotiate a new port to use for traffic, the firewall can't do anything about it.

I'm not an expert, but I thought that was one of the reasons for having a firewall in the first place?  Is he trying to weasel out of a bad configuration, or is there substance to the story?

Thank you much for your help!

 [:S]


This thread was automatically locked due to age.
Parents
  • 0
    Hi Hans,
    FTP makes a controlconnection on port 21 but after this the data is transferred on other Ports than this, the FTP Server and the FTP-Client handle out a port wich is used for Data-Transfer.
    So the Firewall can hide the ports other than 21 from the outside till the Moment the user is authenticated and the port for the Data-Transfer is handled out.
    But the Port 21 is still opened and if an account on the FTP-Server is hacked the firewall can do nothing against this.
    The Port 21 has to be opened and connections to the FTP-Server must be accepted from the firewall because this is the only way a user can send his username and password to the FTP-Server.
    If a Attacker sends combinations of users and passwords to the FTP-Server untill the FTP-Server accepts one the firewall can do nothing against only if the attacker sends his trys to fast then the firewall can help.
    The FTP-Server must be configured so that the risk of this is on a minimum.

    firebear
  • 0 in reply to firebear_01
    Hi Guys,

    thanks much for your input -- the description that firebear has given was also what the admin at the POP told me.  What I find strange is that a firewall isn't able to block traffic going out on ports other than those explicitly opened if the traffic is initiated from "within", i.e.: via an ftp outgoing port negotiation.
    Perhaps "Truth" is right, and the firewall isn't 100% tight?

    Alternatively, what can I use to transfer files to the server instead of regular ftp?

    Thanks again!
  • 0 in reply to Hans_Baumeister
    Hi,
    one possibility is to use SSH and S-Copy with this you will transfer everything over Port 22 only. And in addition the traffic is encrypted.

    firebear
Reply Children
No Data