FTPS

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 25. elokuuta 2019 tarkistetusta versiosta . tarkastukset vaativat 4 muokkausta .

FTPS (File Transfer Protocol + SSL tai FTP/SSL) on laajalti käytetyn FTP - tiedonsiirtoprotokollan laajennus, joka lisää tuen liikenteen suojauskerroksen salausprotokollia ja suojattuja pistokkeita .

FTPS:ää ei pidä sekoittaa SFTP :hen , se eroaa myös FTP:stä SSH :n kautta - FTP-tietojen ja komentojen siirrosta suojatun SSH-yhteyden kautta.

Tausta

FTP - protokolla käännettiin vuonna 1971 käytettäväksi ARPANET - tutkimusverkossa . Tuohon aikaan pääsy ARPANETiin rajoittui muutamiin sotilaslaitoksiin ja yliopistoihin. Kapea käyttäjien yhteisö, joka voisi tehdä yhteistyötä toistensa kanssa, ei tarvinnut suojata tietoja ja tarve tarjota tietojen luottamuksellisuutta.

Ajan myötä ARPANET kehittyi vähitellen NSFNET :ksi ja myöhemmin World Wide Webiksi . Samaan aikaan käyttäjien määrä kasvoi, pääte-FTP-asiakkaiden ja FTP-palvelimien väliset etäisyydet kasvoivat, ja mahdollisuus kolmansien osapuolien luvatta pääsyyn salaisiin sotilaallisiin tai tieteellisiin tiedostoihin kasvoi.

Vuonna 1994 Netscape kehitti ja julkaisi SSL -protokollan , joka on sovelluskerroksen protokollien kääre ( TCP/IP -protokollapinon mukaan ). Tämän protokollan ansiosta sovellukset pystyivät kommunikoimaan keskenään verkon yli turvallisesti, mikä esti salakuuntelun, väärentämisen ja yksityisten tietojen paljastamisen. SSL-protokolla lisäsi turvallisuutta kaikkiin luotettavia yhteyksiä käyttäviin protokolliin (kuten TCP ) ja sitä alettiin käyttää aktiivisesti Netscape -selaimessa ja myöhemmin turvallisen HTTPS-protokollan muodostamiseksi .

SSL-protokollaa sovellettiin lopulta FTP -protokollaan luonnostyöehdotuksessa ( RFC ) vuonna 1996. Hieman myöhemmin Internet-osoiteavaruuden hallinto rekisteröi tämän projektin . Muutosehdotukset valmistuivat kuitenkin vasta vuonna 2005.

Suojausmenetelmät

FTP-asiakkaan suojaamiseen on kaksi erilaista tapaa: eksplisiittinen ja implisiittinen. Implisiittisen menetelmän käyttäminen olettaa, että TLS- tai SSL -istunto perustetaan ennen tietojen lähettämistä, mikä puolestaan ​​rikkoo yhteensopivuuden FTP-asiakkaiden ja palvelimien kanssa, jotka eivät tue FTPS-protokollaa. Eksplisiittinen menetelmä käyttää tavallisia FTP-protokollan komentoja, mutta salaa tiedot vastauksen yhteydessä, mikä mahdollistaa saman ohjausportin käytön sekä FTP :lle että FTPS:lle. Tätä menetelmää käytetään HTTPS :ssä ja STARTTLS :ssä toteutettaessa TLS :ää HTTP- ja SMTP-protokollia varten.

Implisiittinen menetelmä

Käytettäessä implisiittistä FTPS-määritystä asiakkaan ja palvelimen välistä neuvottelua ei tueta. FTPS-asiakas lähettää "ClientHello"-viestin TLS -palvelimelle yhteyden muodostamisen jälkeen. Jos asiakas ei saa tällaista viestiä, FTPS-palvelimen on suljettava yhteys.

Taaksepäin yhteensopivuuden takaamiseksi asiakkaiden kanssa, jotka eivät tue FTPS:tä, porttia 990/TCP käytetään ohjausyhteydessä ja 989/TCP:tä tiedonsiirrossa. Näin voit säilyttää vakioportin 21/TCP FTP-protokollaa varten.

Eksplisiittinen menetelmä

Kun käytetään eksplisiittistä FTPS-kokoonpanoa (tunnetaan myös nimellä FTPES), asiakkaan on erikseen pyydettävä suojattua tiedonsiirtoa palvelimelta ja hyväksyä sitten salausmenetelmä. Jos asiakas ei pyydä suojattua siirtoa, FTPS-palvelin voi vapaasti joko säilyttää tai sulkea suojaamattoman yhteyden. RFC 2228 :aan lisättiin henkilöllisyyden neuvottelu- ja tietoturvamekanismi, joka sisältää uuden FTP AUTH -komennon. Vaikka tämä standardi ei nimenomaisesti määrittele suojausmekanismeja (TLS tai SSL), se määrittää, että asiakkaan on aloitettava suojattu yhteys käyttämällä yllä kuvattua algoritmia. Jos palvelin ei tue suojattuja yhteyksiä, tulee palauttaa virhekoodi 504. FTPS-asiakkaat voivat saada tietoa palvelimen tukemista suojausprotokollista käyttämällä FEAT-komentoa, mutta palvelimen ei tarvitse paljastaa, mitä suojaustasoja se on tukee. Yleisimmät FTPS-komennot ovat AUTH TLS ja AUTH SSL, jotka tarjoavat vastaavasti TLS- ja SSL -suojauksen .

Transport Layer Security (TLS)/Secure Sockets Layer (SSL)

Yleinen tuki

FTPS sisältää täyden tuen TLS- ja SSL-salausprotokollia varten, mukaan lukien palvelinpuolen julkisen avaimen sertifikaattien ja asiakaspuolen valtuutusvarmenteiden käyttö. Se tukee myös tavallisia salausalgoritmeja - AES , RC4 , RC2 , Triple DES ja DES sekä hash-funktioita SHA , MD5 , MD4 ja MD2 .

Käyttöalue

Implisiittisessä tilassa koko FTPS-istunto on salattu. Eksplisiittinen tila eroaa siinä, että asiakas hallitsee täysin salausta vaativaa liikennettä.
Salaustilan ottaminen käyttöön ja poistaminen käytöstä sekä ohjausyhteydelle että datayhteydelle voidaan tehdä milloin tahansa. Ainoa rajoitus on, että palvelin voi hylätä komentoja oman suojauskäytäntönsä perusteella.

Suojattu ohjausyhteys

Voit vaihtaa suojatun ohjausyhteyden tilaan molemmilla komennoilla - AUTH TLS ja AUTH SSL. Tässä tilassa kaikki palvelimen ja asiakkaan väliset komennot salataan. Yleensä suositellaan siirtymistä tähän tilaan ennen käyttäjän todentamista ja valtuuttamista, jotta kolmannet osapuolet eivät sieppaa käyttäjänimeä tai salasanaa.

Suojattu tietoyhteys

Voit siirtyä suojattuun datayhteystilaan PROT-komennolla. Se ei ole oletusarvoisesti käytössä, kun AUTH TLS -lupakomentoa käytetään. Tässä tilassa kaikki asiakkaan ja palvelimen väliset tiedonsiirtoyhteydet salataan. Asiakas voi muuttaa tiedonsiirtotilaa milloin tahansa CDC-komennolla.

Syitä salauksen poistamiseen käytöstä

Seuraavissa tapauksissa tietolinkin salauksesta ei ehkä ole hyötyä:

  • Sovellus on jo salannut siirrettävät tiedostot tai siirto tapahtuu salatun VPN - yhteyden kautta
  • Käytettävissä olevat TLS- tai SSL-protokollat ​​eivät tarjoa vaadittua suojaustasoa.

Seuraavissa tapauksissa komentokanavan salaamisesta ei ehkä ole hyötyä:

  • FTPS-protokollan käyttäminen, kun asiakas ja/tai palvelin toimivat palomuurin tai NAT-laitteen yli
  • AUTH- ja CCC/CDC-komentojen useita käyttö anonyymin FTP-asiakkaan toimesta yhden istunnon aikana. Tämä käyttäytyminen voidaan luulla palvelunestohyökkäykseksi, koska TSL/SSL-istunto on luotava uudelleen joka kerta.

SSL-sertifikaatit

Aivan kuten HTTPS-protokollassa, FTPS-palvelimien on tarjottava julkisen avaimen varmenne. Näitä varmenteita voidaan pyytää ja luoda OpenSSL :n tai muiden ohjelmien avulla.

Varmenteet on allekirjoitettava luotettavan sertifikaatin myöntäjän [1] toimesta , mikä varmistaa, että asiakas muodostaa yhteyden pyydettyyn palvelimeen välttäen välimieshyökkäyksen . Jos varmennetta ei allekirjoiteta, FTPS-asiakasohjelma luo virheellisen varmenteen varoituksen. Asiakkaalla on oikeus joko hyväksyä varmenne tai hylätä yhteys.

Sertifikaattituki erottaa FTPS:n SFTP :stä , joka ei tarjoa allekirjoitettuja varmenteita, vaan luottaa sen sijaan julkisiin avaimiin.

Palomuuriongelmat _

Kuten tiedät, FTP -protokolla käyttää työhönsä kahta yhteyttä: toista tiedonsiirtoon ja toista komentojen vaihtoon. Monet palomuurit on suunniteltu määrittämään portti, jossa tietoja siirretään, ja varmistamaan sen toiminta. Jos ohjausyhteys on kuitenkin salattu TLS- tai SSL -salauksella, datayhteyden porttinumerotiedot salataan, eikä palomuuri pysty purkamaan sen salausta. Tässä tapauksessa tiedonsiirto ja toiminta FTPS-protokollan kautta on joko täysin mahdotonta tai rajoitettu passiiviseen tilaan. Tämä ongelma voidaan ratkaista seuraavalla tavalla: aseta rajoitettu porttivalikoima tiedonsiirtoa varten ja määritä palomuuri niin, että nämä portit pysyvät auki.

Katso myös

Muistiinpanot

  1. Mikä on SSL-juurivarmenne ja miksi sitä tarvitaan? . Haettu 18. helmikuuta 2016. Arkistoitu alkuperäisestä 25. helmikuuta 2016.

Linkit