Порт 990
Порт 990 — это зарезервированный номер порта транспортного уровня модели OSI, используемый протоколом FTP (File Transfer Protocol) для защищённого обмена данными по протоколу TLS/SSL. В отличие от стандартного порта 21, который применяется для незащищённого FTP, порт 990 является частью спецификации FTPS (FTP over SSL/TLS) и предназначен для приёма управляющих команд на стороне сервера при явном или неявном шифровании соединения.
История и стандартизация
Протокол FTP, изначально определённый в RFC 959 (1985 год), не предусматривал механизмов шифрования. С ростом потребностей в безопасности в 1990-х годах были разработаны расширения, позволяющие инкапсулировать FTP-трафик в защищённые протоколы. Порт 990 был официально закреплён за FTPS в 1996 году в RFC 2228 «FTP Security Extensions», а затем уточнён в RFC 4217 (2005 год), который описывает явное шифрование (AUTH TLS). Однако исторически порт 990 чаще ассоциируется с неявным режимом (Implicit FTPS), где шифрование устанавливается немедленно после установки TCP-соединения, без предварительного обмена командами.
Регистрация порта 990 в IANA (Internet Assigned Numbers Authority) произошла в 1997 году. До этого момента для защищённого FTP использовались нестандартные номера портов, что создавало проблемы совместимости. Выбор числа 990 объясняется тем, что он находится рядом с базовым портом 21, что упрощает запоминание и настройку брандмауэров.
Технические характеристики
Режим неявного шифрования (Implicit FTPS)
В этом режиме клиент и сервер обязаны установить TLS-соединение до передачи любых FTP-команд. Порт 990 используется исключительно для управляющего канала. После установки зашифрованного соединения клиент отправляет команды USER и PASS, а сервер проверяет сертификат. Данные могут передаваться по отдельному порту (например, 989 для неявного режима) или через тот же канал, в зависимости от конфигурации.
Режим явного шифрования (Explicit FTPS)
В этом режиме клиент сначала устанавливает незащищённое соединение на порт 21, затем отправляет команду AUTH TLS. После этого соединение переключается на шифрование. Порт 990 в явном режиме не используется — он зарезервирован только для неявного режима. Однако некоторые серверы поддерживают оба режима, и администратор может настроить прослушивание порта 990 для неявного FTPS.
Отличия от порта 21
| Параметр | Порт 21 (FTP) | Порт 990 (FTPS, неявный) |
|---|---|---|
| Шифрование | Отсутствует (передача в открытом виде) | Обязательное TLS/SSL |
| Аутентификация | Логин/пароль (незащищённые) | Логин/пароль + сертификат |
| Структура соединения | Управляющий канал на порту 21, данные на динамических портах | Управляющий канал на порту 990, данные на порту 989 или динамических |
| Совместимость с брандмауэрами | Требует открытия диапазона портов для данных | Требует открытия только 990 и 989 (или одного порта) |
| Стандарт | RFC 959 | RFC 2228, RFC 4217 |
Применение
Порт 990 используется в корпоративных средах, где требуется безопасная передача файлов, но внедрение более современных протоколов (например, SFTP) невозможно по причинам совместимости или лицензирования. Основные области применения:
- Автоматизированный обмен данными (EDI, банковские отчёты) между филиалами компаний.
- Резервное копирование на удалённые серверы, если требуется шифрование трафика.
- Веб-хостинг — некоторые панели управления (например, cPanel) поддерживают FTPS на порту 990 для безопасной загрузки файлов на сервер.
- Медицинские и юридические учреждения — передача конфиденциальных документов, защищённых законом (например, HIPAA в США).
Безопасность и критика
Преимущества
- Шифрование трафика предотвращает перехват логинов, паролей и данных (атаки Man-in-the-Middle).
- Поддержка сертификатов X.509 позволяет проверять подлинность сервера.
- Совместимость с существующей инфраструктурой FTP — не требует переписывания клиентского ПО.
Недостатки
- Сложность настройки брандмауэров — в активном режиме FTPS сервер открывает случайный порт для данных, что требует открытия широкого диапазона портов (от 1024 до 65535). Это снижает безопасность.
- Уязвимость к атакам на TLS — если используется устаревшая версия TLS (1.0, 1.1) или слабые шифры, соединение может быть взломано.
- Проблемы с NAT — FTPS плохо работает в сетях с трансляцией адресов, что ограничивает его применение в облачных средах.
- Отсутствие обязательной аутентификации сертификата — многие реализации не проверяют сертификат сервера, что делает возможной атаку «человек посередине».
Сравнение с альтернативами
- SFTP (SSH File Transfer Protocol) — использует порт 22, не требует отдельного порта для данных, проще в настройке брандмауэров, но медленнее и менее совместим с классическим FTP.
- HTTPS (WebDAV) — передача файлов через HTTP с шифрованием, не требует специального ПО, но менее эффективен для больших файлов.
- SCP (Secure Copy) — простой протокол, но не поддерживает список файлов и управление каталогами.
Поддержка в программном обеспечении
Серверы
- FileZilla Server — поддерживает порт 990 в неявном режиме, настройка через интерфейс.
- ProFTPD — модуль mod_tls позволяет слушать порт 990.
- vsftpd — поддерживает FTPS, но по умолчанию использует явный режим на порту 21.
- IIS (Microsoft) — в версиях 7 и выше поддерживает FTPS на порту 990.
Клиенты
- FileZilla Client — поддерживает оба режима, автоматически определяет порт.
- WinSCP — поддерживает FTPS, но рекомендует SFTP.
- cURL — поддерживает FTPS через опцию
--ftp-ssl. - Total Commander — требует установки плагина для FTPS.
Регулирование в Российской Федерации
В Российской Федерации использование порта 990 и протокола FTPS не регулируется отдельными законами. Однако на передачу данных через шифрованные каналы распространяются общие требования законодательства:
- Федеральный закон № 152-ФЗ «О персональных данных» — требует шифрования персональных данных при передаче по открытым сетям. FTPS на порту 990 может использоваться как один из способов выполнения этого требования.
- Федеральный закон № 126-ФЗ «О связи» — обязывает операторов связи предоставлять доступ к трафику по запросу уполномоченных органов. Шифрование не должно препятствовать выполнению этой обязанности, что технически сложно для FTPS, если сертификаты не контролируются государством.
- Приказ ФСБ № 378 — устанавливает требования к средствам криптографической защиты информации. Если FTPS используется в государственных информационных системах, применяемые алгоритмы шифрования должны быть сертифицированы в установленном порядке.
Интересные факты
- Порт 990 иногда ошибочно называют «FTP over TLS», хотя технически правильный термин — «FTPS Implicit».
- В ранних версиях Windows (до Windows 2000) порт 990 не был зарезервирован, что приводило к конфликтам с другими службами.
- Некоторые интернет-провайдеры блокируют порт 990, чтобы предотвратить использование нестандартных протоколов, но это часто нарушает условия предоставления услуг для корпоративных клиентов.
Источники
- RFC 959 — File Transfer Protocol (1985)
- RFC 2228 — FTP Security Extensions (1996)
- RFC 4217 — Securing FTP with TLS (2005)
- IANA Service Name and Transport Protocol Port Number Registry
- Федеральный закон № 152-ФЗ «О персональных данных» (2006)
- Приказ ФСБ России № 378 «Об утверждении требований к средствам криптографической защиты информации» (2012)
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →