Alternative alle porte SFTP

SFTP, che viene spesso scambiato per l'abbreviazione di "Secure File Transfer Protocol", rappresenta in realtà il protocollo SSH File Transfer Protocol. SFTP è stato sviluppato agli albori di Internet ed è dettagliato in questo Specifiche RFC SFTP. Il protocollo SFTP era originariamente conosciuto come semplice FTP (File Transfer Protocol). Il protocollo FTP supporta il trasferimento di file sulla porta TCP 21 con la porta TCP 22 utilizzata per SFTP e la porta 990 utilizzata per la crittografia implicita TLS/SSL. SFTP è un protocollo di trasferimento file di base e sebbene possa essere abbastanza veloce grazie alla sua semplicità, per il protocollo non sono definite funzionalità aggiuntive come la condivisione di file, la collaborazione, l'autenticazione e il Single Sign-On.

Nel corso del tempo il protocollo FTP è stato aggiornato per aggiungere la crittografia (SFTP), supportare la crittografia TLS/SSL e migliorare i problemi di firewall/sicurezza, ad esempio RFC 1579 (febbraio 1994) abilita l'FTP Firewall-Friendly (modalità passiva), RFC 2228 (giugno 1997) propone estensioni di sicurezza, RFC 2428 (settembre 1998) aggiunge il supporto per IPv6 e definisce un nuovo tipo di modalità passiva.[8].

SFTP

Problemi di NAT SFTP e attraversamento del firewall

In genere, i provider di servizi Internet bloccano le porte SFTP per prevenire problemi di sicurezza e malware impedendo l'accesso ai file tramite le porte SFTP. SFTP Richiede che le porte 22 o 990 siano aperte, che sono soggette a malware inclusi artisti del calibro di famigerati criminali come Wannacry, Sasser, Nimda, Petya/NotPetya e altri. Se le porte STFP sono aperte, un computer infetto cercherà nella propria rete Windows le condivisioni del server che accettano il traffico sulle porte TCP 22 o 990 indicando che il sistema è configurato per eseguire SFTP. Mentre i moderni Web Application Firewall (WAFS) possono essere ottimizzati per monitorare il traffico HTTP, il traffico SFTP non è così facilmente monitorabile.

SFTP trasferisce i dati rispondendo dal server al client dopo l'invio di un comando PORT. Questo è un problema per i firewall che non consentono connessioni da Internet in entrata verso host interni. Questo è un problema particolare con Microsoft IIS che risponde con una porta casuale.

I due approcci per risolvere questo problema consistono nell'impostare il server SFTP per utilizzare il comando PASV o nell'utilizzare un gateway a livello di applicazione per alternare i valori della porta.

Accesso remoto alla porta SFTP

Per facilitare l'accesso remoto ai file, le aziende spesso concedono l'accesso agli utenti utilizzando server SFTP. Ciò fornisce un certo livello di accesso remoto, tuttavia i costi di supporto per la formazione degli utenti e la distribuzione del software client SFTP sono elevati. Inoltre, SFTP non è facilmente integrabile nei file server esistenti e in Active Directory per offrire un'esperienza di condivisione file unificata. Quando accede ai file in remoto, l'utente si aspetta di accedere facilmente alle unità domestiche esistenti e alle condivisioni del reparto su un'unità mappata standard che supporta completamente il blocco dei file, Office e altre applicazioni. STFP non è mai stato progettato per la condivisione o la collaborazione di file.

Porta SFTP e HTTP/s

HTTP la porta 443 è un protocollo aggiornato che sostanzialmente risolve i bug in SFTP che ne rendevano scomodo l'utilizzo per molti piccoli trasferimenti.

SFTP utilizza una connessione di controllo con stato che mantiene una directory di lavoro corrente e ogni trasferimento richiede una connessione secondaria attraverso la quale vengono trasferiti i dati effettivi. Nella modalità “passiva” questa connessione aggiuntiva avviene da client a server, mentre nella modalità “attiva” predefinita questa connessione avviene da server a client. Questa modifica della porta SFTP in modalità attiva e i numeri di porta casuali per tutti i trasferimenti sono il motivo per cui firewall e gateway NAT hanno difficoltà con SFTP.

L'impostazione di una connessione di controllo SFTP può essere piuttosto lenta rispetto a HTTP a causa dei ritardi di andata e ritorno nell'invio di tutti i comandi richiesti durante l'attesa di una risposta, quindi in genere la connessione viene tenuta aperta per più trasferimenti di file anziché interrotta e riattivata. -stabilito di volta in volta.

HTTP in confronto lo è apolide e multiplex il controllo e i dati su un'unica connessione da client a server su numeri di porta noti, che passano facilmente attraverso i gateway NAT ed è semplice per i firewall gestire e scansionare le vulnerabilità della sicurezza.

Perché SFTP potrebbe non essere una soluzione completa per il trasferimento di file con l'aumento dei volumi di trasferimento di file?

Man mano che il volume dei trasferimenti di file cresce, diventano evidenti i limiti di SFTP come soluzione completa per il trasferimento di file. Le crescenti richieste di onboarding di più partner, scalabilità dell’infrastruttura e risoluzione di problemi tecnici possono spingere le capacità di SFTP ai limiti, travolgendo potenzialmente i team IT. Inoltre, la necessità di misure di sicurezza rafforzate, di un controllo rigoroso sulle transazioni dei file e di una solida visibilità per conformarsi agli standard di sicurezza e governance può superare ciò che il solo SFTP può offrire.

Per affrontare queste sfide in modo efficace, le organizzazioni potrebbero scoprire che le soluzioni di trasferimento file gestito (MFT) offrono un approccio più completo. L'utilizzo di un servizio basato su cloud come Thru, che sfrutta vari protocolli come SFTP tra gli altri, può fornire misure di sicurezza end-to-end avanzate, meccanismi di tracciamento precisi, registri dettagliati e impostazioni di conservazione a lungo termine. Inoltre, le soluzioni MFT come Thru possono offrire una maggiore disponibilità per garantire che le operazioni di trasferimento dei file rimangano fluide anche se i volumi continuano ad aumentare.

Come fa un server SFTP ad autenticarsi con un client?

Per autenticarsi con un client, un server SFTP avvia un handshake TCP a tre vie per stabilire una connessione. Questo processo garantisce che sia il server che il client abbiano accesso alla porta corretta (solitamente 22) nel livello di trasporto. Dopo questa verifica, il server utilizza l'autenticazione della coppia di chiavi SSH per convalidare l'identità del client. La coppia di chiavi SSH è composta da una chiave pubblica (condivisa tra le due parti) e una chiave privata (nota solo al client autorizzato). Una volta completata con successo l'autenticazione SSH, il trasferimento dei file avviene su un canale crittografato, con i dati raggruppati in singoli pacchetti. Questi pacchetti vengono trasmessi e riassemblati all'estremità ricevente per ricostruire in modo sicuro il file originale.

Porta SFTP alternativa

Il protocollo SFTP esiste dal 1980 come meccanismo per il trasferimento di file. Le imprese rimarranno giustamente caute nel consentire o considerare i costi di supporto dell'accesso diretto alla porta SFTP a qualsiasi risorsa interna da reti esterne tramite il protocollo FTP/SFTP.

Nel frattempo, MyWorkDrive converte già le condivisioni di file basate su Windows in file sicuri condivisioni di file a cui è possibile accedere in modo sicuro ovunque utilizzando la porta TCP https/SSL 443 su protocolli conformi RSA 4096 e TLS 1.2 FIPS altamente crittografati senza i problemi di sicurezza o formazione di SFTP.

L'alternativa alla porta SFTP di MyWorkDrive supporta i lavoratori remoti con il nostro accesso sicuro basato su browser Web, unità mappata Windows e client mobili.

Hai bisogno di aiuto per pianificare la tua alternativa SFTP? Prenota una chiamata e saremo felici di assisterti nella pianificazione della tua implementazione.

Daniel, fondatore di MyWorkDrive.com, ha lavorato in vari ruoli di gestione della tecnologia al servizio di aziende, governo e istruzione nell'area della Baia di San Francisco dal 1992. Daniel è certificato in Microsoft Technologies e scrive di tecnologia dell'informazione, sicurezza e strategia ed è stato premiato negli Stati Uniti Brevetto #9985930 in reti di accesso remoto