FTP, FTPS & SFTP – Grundlagen

FTP (File Transfer Protocol) ist eines der ältesten Protokolle zur Dateiübertragung im Netzwerk.
Heute wird es oft durch sicherere Alternativen ersetzt, ist aber weiterhin in vielen Umgebungen notwendig (Industrie, Embedded, Router, Firmware, Legacy-Anwendungen).

Diese Seite erklärt:

• FTP (klassisch, unsicher)
• FTPS (FTP + TLS)
• SFTP (SSH File Transfer Protocol)

FTP ist ein unverschlüsseltes Übertragungsprotokoll aus den 1970ern.

FTP verwendet zwei Verbindungen:

• Port 21 (TCP) – Kontrollkanal
• Port 20 (TCP) – Datenkanal (aktiv)
• oder dynamische Ports (passiv)

Server verbindet sich zum Client → Problem bei Firewalls.

Heutiger Standard, da firewall-freundlicher.

• KEINE Verschlüsselung
• Passwörter im Klartext
• leicht durch MITM¹⁾ angreifbar
• sehr unflexibel in modernen Netzwerken

In modernen Umgebungen sollte FTP nur in isolierten VLANs betrieben werden.

FTPS fügt TLS-Verschlüsselung hinzu – vergleichbar mit HTTPS.

Zwei Varianten:

• Explicit FTPS
  • Start auf Port 21
  • Client fordert TLS via AUTH TLS an
• Implicit FTPS
  • direkt verschlüsselt
  • Port 990
  • heute eher legacy, aber noch unterstützt

Vorteile:

• Verschlüsselt
• Nahezu identisch zu FTP
• Besser für Compliance als „plain FTP“

Nachteile:

• komplexer wegen vielen Ports
• Firewalls müssen passive Portbereiche erlauben

Es basiert auf SSH, nutzt also:

• Port 22
• vollständige Verschlüsselung
• starke Authentifizierung (Passwort, Schlüssel)
• nur EIN Datenkanal (Firewall-freundlich)

SFTP ist moderner und sicherer und wird heute für nahezu alle professionellen Transfers genutzt (Backup, Automatisierung, CI/CD, Scripts).

• nur in alten Systemen oder isolierten VLANs
• Firmware-Uploads alter Hardware
• Industrieanlagen

• wenn alte Software zwingend FTP benötigt
• aber Sicherheit vorgeschrieben ist
• Banking, Unternehmensübertragungen

• Standard in modernen Architekturen
• automatisierte Skripte
• sichere Dateiübertragungen
• Backup-Jobs
• CI/CD Pipelines
• DevOps

 ftp server.example.com
 get file.txt
 put upload.bin

 lftp -e "set ftp:ssl-force true" ftps://server.example.com

 sftp user@server.example.com
 sftp> get logs.zip
 sftp> put backup.tar.gz

Für automatisierte Jobs:

 sftp -i ~/.ssh/key user@host

• normaler FTP NICHT über das Internet
• am besten ersetzen durch SFTP
• passive Ports bei FTPS klar definieren
• Server in eigene VLANs packen
• nur sichere Ciphers verwenden
• Logs überwachen (Auth-Logs, Brute Force)

• FTP = alt und unsicher
• FTPS = FTP mit TLS, sicherer aber komplex
• SFTP = modernes, SSH-basiertes Protokoll, Standard heute
• in echten Umgebungen ist SFTP die richtige Wahl
• FTP/FTPS nur nutzen, wenn notwendig oder altlastbedingt