FTP Aktiv vs. Passiv: Welcher Modus passt zu Ihren Anforderungen?

FTP kann in zwei Modi betrieben werden: Aktiv und Passiv. Der aktive Modus ist die ältere Variante, doch heute werden die meisten Verbindungen über den passiven Modus hergestellt. Was genau sind diese beiden Modi und worin unterscheiden sie sich? Welcher ist sicherer und einfacher einzurichten? Wir beantworten hier die häufigsten Fragen zu Aktiv vs. Passiv FTP. Beginnen wir mit den Definitionen:

Was ist Active FTP?

Beim Vergleich von FTP Active und Passive ist der Active-Modus die ältere Methode für FTP-Verbindungen, mit eigenen Vor- und Nachteilen. Bei einer FTP-Verbindung gibt es einen Client und einen Server. Diese beiden Rechner kommunizieren über zwei Ports: einen Command-Port und einen Data-Port. Server und Client müssen sich auf die jeweiligen Portnummern einigen. So läuft der Active-Modus (vereinfacht) ab:

1. Der Client verwendet einen zufälligen Port, um über den PORT-Befehl eine Verbindungsanfrage an Port 21 des Servers zu senden. Dieser Befehl teilt dem Server mit, auf welchem Datenport der Client-Seite er sich verbinden soll.
2. Der Server nutzt Port 20, um diesen Port zu erreichen und eine Verbindung herzustellen.

Dieser Vorgang heißt Active, weil der Client aktiv den Port angibt, zu dem sich der Server verbinden soll. Bei einem Active FTP geht die Verbindung vom Server aus, auf Anweisung des Clients. Doch was ist Passive FTP?

Was ist Passive FTP?

Passives FTP ist ein neuerer FTP-Modus und gilt als sicherer und einfacher zu handhaben. Ähnlich wie beim aktiven FTP sendet der Client einen Befehl an Port 21 des Servers. Diesmal sendet der Client jedoch einen PASV-Befehl. Daraufhin legt der Server den Port fest, über den er die Daten empfangen möchte. Anschließend baut der Client die Verbindung auf.

So läuft das ab:

1. Der Client verwendet einen zufälligen Port, um einen Befehl (PASV-Befehl) an Port 21 des Servers zu senden.
2. Der Server antwortet mit Angabe des Datenports, den er verwenden möchte (ein zufällig gewählter Port).
3. Der Client nutzt einen zufälligen Port, um Daten an den vom Server angegebenen Port zu senden.

Der Datenport des Servers wird jetzt ebenfalls zufällig gewählt. In Passive FTP wird Port 21 weiterhin als Befehls-Port des Servers verwendet, aber der Datenport des Servers ist nun zufällig (statt fest auf Port 20).

Außerdem initiiert der Client die Verbindungen beider Ports.

Unterschied zwischen FTP Active und Passive

Wie bereits erwähnt, liegt der wesentliche Unterschied darin, dass im Active FTP der Server die Datenverbindung aufbaut, während im Passive FTP der Client diese initiiert. Das hat einige Konsequenzen, die für die Sicherheit und den reibungslosen Ablauf Ihrer Datenübertragung relevant sind. Im Folgenden

Aktive FTP vs. Passive FTP im Sicherheitsvergleich

Active FTP verwendet stets Port 21 (Befehle) und Port 20 (Daten). Das bedeutet: Wer Ihr Netzwerk angreifen will, weiß bereits, welche Ports er ins Visier nehmen muss.

Bei Passive FTP ist der Datenport auf Serverseite zufällig. Port 21 wird zwar weiterhin für Befehle genutzt, aber die eigentliche Übertragung ist deutlich schwerer abzufangen.

Andererseits benötigt der Server im Passive-Modus mehr offene Ports, da der Datenport jedes Mal zufällig gewählt wird. Das kann Angriffsflächen für den Server schaffen. Server-Administratoren begrenzen daher in der Regel den Bereich der offenen Ports, um potenzielle Angriffe zu erschweren.

Active FTP vs. Passive FTP bei Firewall-Problemen

Firewalls können bei Netzwerkverbindungen ein Problem darstellen. Ihre Aufgabe ist es, Verbindungsversuche von unbekannten Ports zu blockieren. Besonders kritisch ist das bei der Client-Firewall, da die Server-Firewall ohnehin auf Anfragen von unbekannten Ports vorbereitet ist.

Im Active FTP empfängt der Client eine Verbindung vom Server über einen zufälligen Port. Die Client-Firewall kann diese Verbindung daher blockieren.

Im Passive FTP initiiert der Client beide Verbindungen. Das erleichtert das Passieren der Client-Firewall erheblich. Die Server-Firewall kann zwar nach wie vor Probleme verursachen, da ihr Datenport zufällig ist. In der Praxis ist das aber meist weniger kritisch, da Server-Firewalls von vornherein für mehr eingehende Verbindungen von unbekannten Quellen konfiguriert sind als die Firewall eines Client-Rechners.

Was sind die Befehlskanäle und Datenkanäle bei FTP Active vs. Passive?

Zusammenfassend verlaufen Befehls- und Datenkanäle wie folgt:

• Im Active-Modus sind Befehls- und Datenport des Clients beide zufällig. Der Befehls-Port des Servers ist Port 21, der Datenport ist Port 20.
• Im Passive-Modus sind Befehls- und Datenport des Clients beide zufällig. Der Befehls-Port des Servers ist Port 21, der Datenport des Servers ist ebenfalls zufällig.

Im Passive-Modus können Sie als Datenkanal nach wie vor Port 20 verwenden oder den Bereich auf ein bestimmtes Port-Intervall einschränken.

Warum Active statt Passive FTP verwenden?

Beim Vergleich von FTP Active vs. Passive gibt es zwei Hauptgründe, warum Active FTP gegenüber Passive FTP bevorzugt wird. Erstens die Server-Sicherheit: Passive FTP erfordert mehrere offene Ports in der Firewall, da der Datenport zufällig gewählt wird. Das macht die Port-Identifikation zwar schwieriger, lässt aber gleichzeitig viele Ports für potenzielle Angriffe offen.

Ein weiterer Grund ist, dass die Konfiguration der Server-Firewall manchmal aufwendig oder gar nicht möglich ist. In solchen Fällen wechseln Nutzer zum Active-Modus, um Port 20 zu nutzen, der jeder Firewall bekannt ist.

FTP von Aktiv auf Passiv umstellen

Der Wechsel von Active FTP zu Passive FTP hängt von der verwendeten Software ab.

Um FTP in FileZilla von Active auf Passive umzustellen, gehen Sie wie folgt vor:

1. Öffne Filezilla
2. Gehen Sie in der Menüleiste zu Bearbeiten > Einstellungen.
3. Navigieren Sie im Einstellungsfenster zu Verbindungen, dann zu FTP.
4. Wählen Sie unter Übertragungsmodus die Option 'Passiv (empfohlen)'.
5. Klicken Sie auf OK.

Die gleiche Einstellung findest du in jedem modernen FTP-Client. Wie bereits erwähnt, können in beiden Fällen Probleme mit der Firewall des Servers auftreten, die eine Anpassung erfordern.

Ist die Eingabeaufforderung FTP aktiv oder passiv?

Die Windows-Eingabeaufforderung unterstützt nur aktives FTP und kein passives. Du kannst WinSCP oder andere Kommandozeilen-Clients verwenden, um dich über den passiven Modus mit deinem Server zu verbinden.

Ist der Windows 7 FTP Server aktiv oder passiv?

Windows 7-Nutzer können Dienste wie IIS verwenden, um Windows 7 als Server einzusetzen. Dazu musst du IIS unter Windows 7 aktivieren.

IIS unterstützt sowohl den aktiven als auch den passiven Modus, ohne dass einer der beiden explizit aktiviert werden muss. Du kannst jedoch den passiven Portbereich innerhalb von IIS konfigurieren.

Mehr dazu: Wie installiert man IIS unter Windows 10?

Verwendet ein Webbrowser passives oder aktives FTP?

Webbrowser wie Chrome und Firefox verwenden die Netzwerkeinstellungen deines Betriebssystems, um aktives oder passives FTP zu nutzen. In der Regel verwendet Windows passives FTP, da es der kompatibelste Modus ist.

Um den passiven Modus für Webbrowser zu aktivieren oder zu deaktivieren, gehe wie folgt vor:

1. Drücke 'WinKey + S', um die Windows-Suche zu öffnen.
2. Gib 'Internetoptionen' ein und klicke darauf.
3. Wechsle im Fenster 'Interneteigenschaften' zur Registerkarte 'Erweitert'.
4. Scrolle zum Abschnitt 'Browsen'.
5. Aktiviere die Option 'Passives FTP verwenden (für Firewalls…'.
6. Klicke auf OK.

Fazit

Aktives und passives FTP verwenden unterschiedliche Verfahren zum Verbindungsaufbau und haben jeweils ihre Vor- und Nachteile. Wähle den Modus, der für dich am besten geeignet ist. In diesem Artikel haben wir außerdem einige der häufigsten Fragen zu aktivem und passivem FTP beantwortet.