RFC 1579
RFC 1579 — это информационный документ (Request for Comments) под номером 1579, опубликованный в 1994 году в рамках серии документов, стандартизирующих протоколы и технологии сети Интернет. Документ озаглавлен «Firewall-Friendly FTP» (FTP, дружественный к межсетевым экранам) и посвящён решению проблемы совместимости протокола передачи файлов FTP (File Transfer Protocol) с межсетевыми экранами (firewalls). RFC 1579 не является стандартом Интернета (Internet Standard), а относится к категории информационных RFC, предоставляя рекомендации и описание практического решения.
История создания
Протокол FTP, определённый в RFC 959 (1985 год), изначально разрабатывался для работы в открытых сетях, где не было необходимости в строгом контроле трафика. Однако с развитием средств сетевой безопасности, в частности межсетевых экранов, стали проявляться фундаментальные проблемы при использовании FTP в защищённых сетях. Основная проблема заключалась в том, что FTP использует два отдельных TCP-соединения: одно для передачи команд (управляющее соединение, порт 21) и одно для передачи данных (канал данных). При этом канал данных может быть открыт как в активном, так и в пассивном режиме, что создавало сложности для фильтрации трафика.
В 1994 году, когда межсетевые экраны стали широко применяться для защиты корпоративных сетей, проблема совместимости FTP с ними стала критической. Инженеры и разработчики столкнулись с тем, что стандартные реализации FTP не могли работать через межсетевые экраны без специальных настроек или дополнительных модулей. RFC 1579 был написан как ответ на эту проблему, предлагая практическое решение, которое позволяло бы FTP-клиентам и серверам взаимодействовать через межсетевые экраны без необходимости модификации самого протокола.
Содержание документа
RFC 1579 представляет собой короткий документ (всего несколько страниц), который описывает проблему и предлагает конкретное решение. Основное содержание документа можно разделить на несколько ключевых частей.
Описание проблемы
Документ подробно объясняет, почему стандартный FTP несовместим с межсетевыми экранами. В активном режиме FTP сервер инициирует соединение для передачи данных с клиентом, используя порт 20. Межсетевой экран, настроенный на блокировку входящих соединений (что является стандартной практикой безопасности), не может пропустить такое соединение, так как оно инициируется извне. В пассивном режиме клиент инициирует соединение для данных, но сервер сообщает клиенту IP-адрес и порт, который может быть неожиданным для межсетевого экрана, что также приводит к блокировке.
Предлагаемое решение
Основная рекомендация RFC 1579 заключается в использовании пассивного режима FTP (PASV) в качестве предпочтительного способа передачи данных при работе через межсетевые экраны. Документ предлагает, чтобы FTP-клиенты по умолчанию пытались установить соединение в пассивном режиме, а если это не удаётся, переключались на активный режим. Это решение позволяет избежать проблемы, связанной с тем, что сервер инициирует входящее соединение, которое блокируется межсетевым экраном.
Кроме того, RFC 1579 рекомендует, чтобы межсетевые экраны были настроены на пропуск FTP-трафика, используя специальные модули (например, FTP-прокси или модули прикладного уровня), которые могут анализировать команды FTP и динамически открывать порты для передачи данных. Однако основной упор делается на то, что клиент должен быть «дружественным к межсетевому экрану» (firewall-friendly), то есть использовать пассивный режим.
Практические рекомендации
Документ также содержит практические советы для разработчиков FTP-клиентов и администраторов сетей. Например, рекомендуется, чтобы клиенты при подключении к серверу сначала отправляли команду PASV. Если сервер отвечает ошибкой (например, 502 «Command not implemented»), клиент переключается на активный режим. Также рекомендуется, чтобы клиенты и серверы поддерживали возможность работы через прокси-серверы.
Влияние и значение
RFC 1579 оказал значительное влияние на развитие сетевых технологий, особенно в области безопасности. Его рекомендации были приняты большинством разработчиков FTP-клиентов и серверов, что сделало пассивный режим стандартным способом передачи данных в современных реализациях FTP. Благодаря этому документу, FTP стал более совместимым с межсетевыми экранами, что позволило использовать его в корпоративных сетях, где безопасность является приоритетом.
Кроме того, RFC 1579 стал одним из первых документов, который явно указал на необходимость адаптации протоколов к требованиям сетевой безопасности. Это повлияло на разработку более поздних протоколов, таких как SFTP (SSH File Transfer Protocol) и FTPS (FTP Secure), которые изначально проектировались с учётом работы через межсетевые экраны.
Критика и ограничения
Несмотря на свою полезность, RFC 1579 не лишён недостатков. Основная критика связана с тем, что документ не решает всех проблем совместимости FTP с межсетевыми экранами. Например, пассивный режим может быть недоступен на некоторых старых серверах, а также может создавать проблемы с NAT (Network Address Translation), когда сервер сообщает клиенту свой внутренний IP-адрес, который недоступен из внешней сети. Кроме того, RFC 1579 не рассматривает вопросы шифрования и аутентификации, что делает FTP уязвимым для перехвата данных.
Также отмечается, что документ был написан в 1994 году, когда межсетевые экраны были относительно простыми. Современные межсетевые экраны и системы обнаружения вторжений (IDS) могут обрабатывать FTP-трафик более сложными способами, но рекомендации RFC 1579 остаются актуальными для базовых конфигураций.
Источники
- RFC 1579 — «Firewall-Friendly FTP», 1994 год.
- RFC 959 — «File Transfer Protocol», 1985 год.
- Стивенс, У. Р. «TCP/IP Illustrated, Volume 1: The Protocols», Addison-Wesley, 1994.
- Компьютерные сети: принципы, технологии, протоколы / В. Г. Олифер, Н. А. Олифер. — СПб.: Питер, 2010.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →