Skip to content
PortsDB

Référence des ports

Port 21 (TCP) – Contrôle FTP

Canal de commandes et d'authentification FTP pour naviguer et transférer des fichiers.

tcpWell-knownSouvent attaqué

État par défaut

Ouvert sur les serveurs FTP et de nombreux NAS, routeurs et équipements anciens ; souvent exposé à Internet.

Attaques courantes

  • Capture d'identifiants en clair par écoute réseau
  • Accès FTP anonyme et répertoires d'envoi inscriptibles
  • Force brute et pulvérisation de mots de passe
  • Abus du FTP bounce via la commande PORT

CVE-2011-2523

Durcissement

  • Remplacer le FTP par SFTP (port 22) ou imposer FTPS (explicite sur 21 ou implicite sur 990)
  • Désactiver la connexion anonyme sauf pour un miroir public en lecture seule
  • Imposer TLS sur les canaux de contrôle et de données ; refuser les connexions en clair
  • Ajouter une limitation de débit / fail2ban et restreindre par IP source

Commande nmap

nmap -p21 --script ftp-anon,ftp-bounce,ftp-syst,banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 21 ?

Le port 21 est le canal de contrôle FTP — la connexion qui transporte les commandes FTP, les réponses du serveur et l'échange de connexion. Un client s'y connecte pour s'authentifier et émettre des commandes comme LIST, RETR et STOR, tandis que les octets des fichiers transitent par une connexion de données distincte (port 20 en mode actif, ou un port haut négocié en mode passif). C'est l'un des plus anciens protocoles d'Internet, encore courant sur les NAS, routeurs et serveurs de fichiers anciens.

Pourquoi c'est important pour la sécurité

L'authentification FTP sur le port 21 est en clair par défaut : noms d'utilisateur et mots de passe traversent le réseau sans chiffrement et sont trivialement capturés par quiconque se trouve sur le chemin. De nombreuses installations activent aussi l'accès anonyme, et un répertoire anonyme inscriptible peut permettre à des attaquants de déposer des outils ou d'exfiltrer des données. L'ancienneté du protocole fait que des serveurs bogués — dont une version vsftpd 2.3.4 tristement célèbre pour sa porte dérobée (CVE-2011-2523) — ont été diffusés au fil des ans.

Comment il est attaqué

Les attaquants écoutent la connexion en clair pour récolter des identifiants, ou lancent une force brute / pulvérisation de mots de passe contre les serveurs FTP découverts. Ils cherchent l'accès anonyme et les répertoires d'envoi inscriptibles par tous. La technique FTP bounce abuse de la commande PORT pour relayer des connexions à travers le serveur, et des vulnérabilités connues (comme la porte dérobée de vsftpd 2.3.4) donnent un shell distant direct sur les hôtes non corrigés.

Liste de durcissement

Préférez SFTP (via SSH, port 22), ou si le FTP est requis, imposez FTPS et refusez les connexions en clair afin que les identifiants et commandes soient chiffrés. Désactivez la connexion anonyme sauf si vous visez un miroir public en lecture seule, et ne combinez jamais accès anonyme et répertoires inscriptibles. Ajoutez une limitation de débit / fail2ban, restreignez par IP source et maintenez le démon FTP à jour. La commande nmap ci-dessus vérifie l'accès anonyme, le support du bounce et la bannière du serveur sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 20Port 22Port 990Port 989Port 23

Questions fréquentes

Le port 21 est-il sûr ?
Non. Le FTP simple sur le port 21 envoie les noms d'utilisateur et mots de passe en clair. Utilisez SFTP ou imposez FTPS afin que les identifiants et commandes soient chiffrés.
Qu'est-ce que le FTP anonyme sur le port 21 ?
De nombreux serveurs FTP autorisent la connexion en tant qu'« anonymous » sans vrai mot de passe. Mal configuré avec des répertoires inscriptibles, il permet à des attaquants de lire ou déposer des fichiers ; désactivez-le sauf pour un miroir public en lecture seule.