Alternative alle porte SFTP per l'accesso remoto Condivisione file Accesso remoto
SFTP, che viene spesso scambiato per l'abbreviazione di "Secure File Transfer Protocol", rappresenta in realtà il protocollo SSH File Transfer Protocol. SFTP è stato sviluppato agli albori di Internet ed è dettagliato in questo Specifiche RFC SFTP.
Il protocollo SFTP era originariamente noto come FTP (File Transfer Protocol) semplice. Il protocollo FTP supporta il trasferimento di file sulla porta TCP 21 con la porta TCP 22 utilizzata per SFTP e la porta 990 utilizzata per la crittografia implicita TLS/SSL.
SFTP è un protocollo di trasferimento file di base e, nonostante possa essere piuttosto veloce grazie alla sua semplicità, per il protocollo non sono definite funzionalità aggiuntive come la condivisione dei file, la collaborazione, l'autenticazione e l'accesso singolo.
Nel corso del tempo il protocollo FTP è stato aggiornato per aggiungere la crittografia (SFTP), supportare la crittografia TLS/SSL e migliorare i problemi di firewall/sicurezza, ad esempio RFC 1579 (febbraio 1994) abilita l'FTP Firewall-Friendly (modalità passiva), RFC 2228 (giugno 1997) propone estensioni di sicurezza, RFC 2428 (settembre 1998) aggiunge il supporto per IPv6 e definisce un nuovo tipo di modalità passiva.[8].
introduzione
Secure File Transfer Protocol (SFTP) è un protocollo di rete che consente trasferimenti di file sicuri e crittografati tra un client e un server. È progettato per fornire un'alternativa sicura al tradizionale File Transfer Protocol (FTP) incorporando Secure Shell (SSH) per l'autenticazione e la crittografia dei dati.
In questo articolo approfondiremo il mondo di SFTP, esplorandone le basi, la gestione delle porte, la configurazione del server e molto altro ancora.
Comprendere il protocollo di trasferimento file sicuro è fondamentale per garantire la sicurezza e l'integrità dei tuoi dati durante i trasferimenti di file. Che tu stia gestendo informazioni sensibili o che tu abbia semplicemente bisogno di un metodo affidabile per trasferire file, SFTP offre una soluzione solida che sfrutta la potenza della shell sicura per proteggere i tuoi dati.
Informazioni su SFTP
SFTP è un'estensione di Secure Shell (SSH) ed è stato introdotto in SSH v2 o SSH-2. È un metodo per trasferire file tramite SSH e ogni server SSH è tecnicamente anche un server SFTP.
SFTP usa lo stesso numero di porta di SSH, che è 22 per impostazione predefinita. Ciò lo rende un'alternativa popolare al File Transfer Protocol (FTP) standard grazie alle sue funzionalità di sicurezza avanzate. Queste funzionalità includono la crittografia a chiave pubblica, che consente la crittografia dei dati in movimento, l'autenticazione, la firma digitale e i meccanismi di integrità dei dati.
Utilizzando un server SFTP, le organizzazioni possono garantire che i loro trasferimenti di file siano sicuri e che i loro dati rimangano protetti da accessi non autorizzati. L'integrazione di secure shell nel processo di trasferimento file aggiunge un ulteriore livello di sicurezza, rendendo SFTP una scelta preferita per i trasferimenti di file sicuri.
Contenuti
- introduzione
- Informazioni su SFTP
- Problemi di NAT SFTP e attraversamento del firewall
- Gestione delle porte SFTP
- Configurazione del server SFTP
- Accesso remoto alla porta predefinita SFTP
- Porta SFTP e HTTP/s
- Perché SFTP potrebbe rivelarsi una soluzione insufficiente per il trasferimento sicuro dei file quando aumentano i volumi di trasferimento dei file?
- Come fa un server SFTP ad autenticarsi con un client?
- Porta SFTP alternativa
- Conclusione
Contenuti
- introduzione
- Informazioni su SFTP
- Problemi di NAT SFTP e attraversamento del firewall
- Gestione delle porte SFTP
- Configurazione del server SFTP
- Accesso remoto alla porta predefinita SFTP
- Porta SFTP e HTTP/s
- Perché SFTP potrebbe rivelarsi una soluzione insufficiente per il trasferimento sicuro dei file quando aumentano i volumi di trasferimento dei file?
- Come fa un server SFTP ad autenticarsi con un client?
- Porta SFTP alternativa
- Conclusione
Problemi di NAT SFTP e attraversamento del firewall
In genere, i provider di servizi Internet bloccano le porte SFTP per prevenire problemi di sicurezza e malware impedendo l'accesso ai file tramite porte SFTP. SFTP richiede che le porte 22 o 990 siano aperte, il che è soggetto a malware, inclusi criminali noti come Wannacry, Sasser, Nimda, Petya/NotPetya e altri.
Se le porte STFP sono aperte, un computer infetto cercherà nella sua rete Windows le condivisioni Server che accettano traffico sulle porte TCP 22 o 990, indicando che il sistema è configurato per eseguire SFTP. Mentre i moderni Web Application Firewall (WAFS) possono essere sintonizzati per monitorare il traffico HTTP, il traffico SFTP non è facilmente monitorabile.
SFTP trasferisce i dati rispondendo dal server al client dopo l'invio di un comando PORT. Questo è un problema per i firewall che non consentono connessioni da Internet in entrata verso host interni. Questo è un problema particolare con Microsoft IIS che risponde con una porta casuale.
I due approcci per risolvere questo problema consistono nell'impostare il server SFTP per utilizzare il comando PASV o nell'utilizzare un gateway a livello di applicazione per alternare i valori della porta.
Gestione delle porte SFTP
SFTP usa la porta TCP 22 come numero di porta predefinito. Tuttavia, è possibile assegnare un numero di porta diverso per il servizio SFTP. La modifica del numero di porta SFTP predefinito può essere effettuata per motivi di sicurezza o per ridurre la complessità della manutenzione della rete. Ad esempio, l'utilizzo di una porta non standard può aiutare a oscurare il servizio da potenziali aggressori che eseguono la scansione delle porte predefinite.
Tuttavia, è essenziale notare che la modifica del numero di porta richiede l'aggiornamento di firewall, client e server, il che può aggiungere complessità alla manutenzione della rete. Una corretta gestione delle porte è fondamentale per mantenere la sicurezza e l'efficienza delle connessioni SFTP.
Selezionando e gestendo attentamente i numeri di porta, le organizzazioni possono migliorare il proprio livello di sicurezza, garantendo al contempo trasferimenti di file fluidi e affidabili.
Configurazione del server SFTP
La configurazione di un server SFTP comporta diversi passaggi, tra cui l'impostazione del file di configurazione del server SSH, sshd_config. Questo file contiene le impostazioni per il server SSH, tra cui il numero di porta, i metodi di autenticazione e gli algoritmi di crittografia.
Per cambiare la porta SFTP in Windows, è necessario modificare il file sshd_config e riavviare il servizio SSH. In Linux, è necessario modificare anche il file sshd_config e riavviare il servizio SSH. Una corretta configurazione del server SFTP è essenziale per garantire trasferimenti di file sicuri ed efficienti.
Impostando attentamente il file di configurazione del server SSH, le organizzazioni possono personalizzare il proprio server SFTP in base ai propri specifici requisiti operativi e di sicurezza.
Ciò include la selezione del numero di porta appropriato, l'abilitazione di metodi di autenticazione avanzati e la scelta di algoritmi di crittografia affidabili per proteggere i dati durante il trasferimento.
Accesso remoto alla porta predefinita SFTP
Per facilitare l'accesso remoto ai file, le aziende hanno spesso concesso agli utenti l'accesso tramite server SFTP. Ciò fornisce un certo livello di accesso remoto, tuttavia i costi di supporto per la formazione degli utenti e l'implementazione del software client SFTP sono elevati.
Inoltre, SFTP non è facilmente integrabile nei file server esistenti e in Active Directory per offrire un'esperienza di condivisione file unificata.
Quando si accede ai file in remoto, l'utente si aspetta di accedere facilmente alle proprie unità domestiche e alle condivisioni di reparto esistenti tramite un'unità mappata standard che supporta completamente il blocco dei file, Office e altre applicazioni. STFP non è mai stato progettato per la condivisione o la collaborazione dei file.
Porta SFTP e HTTP/s
HTTP la porta 443 è un protocollo aggiornato che sostanzialmente risolve i bug in SFTP che ne rendevano scomodo l'utilizzo per molti piccoli trasferimenti.
SFTP utilizza una connessione di controllo con stato che mantiene una directory di lavoro corrente e ogni trasferimento richiede una connessione secondaria attraverso la quale vengono trasferiti i dati effettivi.
In modalità "passiva" questa connessione aggiuntiva è dal client al server, mentre nella modalità "attiva" predefinita questa connessione è dal server al client. Questo cambio di porta SFTP in modalità attiva e numeri di porta casuali per tutti i trasferimenti sono il motivo per cui i firewall e i gateway NAT hanno così tante difficoltà con SFTP.
L'impostazione di una connessione di controllo SFTP può essere piuttosto lenta rispetto a HTTP a causa dei ritardi di andata e ritorno nell'invio di tutti i comandi richiesti durante l'attesa di una risposta, quindi in genere la connessione viene tenuta aperta per più trasferimenti di file anziché interrotta e riattivata. -stabilito di volta in volta.
HTTP in confronto lo è apolide e multiplex il controllo e i dati su un'unica connessione da client a server su numeri di porta noti, che passano facilmente attraverso i gateway NAT ed è semplice per i firewall gestire e scansionare le vulnerabilità della sicurezza.
Perché SFTP potrebbe rivelarsi una soluzione insufficiente per il trasferimento sicuro dei file quando aumentano i volumi di trasferimento dei file?
Con l'aumento del volume dei trasferimenti di file, i limiti di SFTP come soluzione completa per il trasferimento di file diventano evidenti. Le crescenti richieste di integrazione di più partner, infrastruttura scalabile e risoluzione di problemi tecnici possono spingere le capacità di SFTP ai loro limiti, potenzialmente sopraffacendo i team IT.
Inoltre, la necessità di misure di sicurezza più elevate, di un controllo rigoroso sulle transazioni dei file e di una visibilità solida per conformarsi agli standard di sicurezza e governance potrebbe superare ciò che il solo SFTP può offrire.
Per affrontare queste sfide in modo efficace, le organizzazioni potrebbero scoprire che le soluzioni di trasferimento file gestito (MFT) offrono un approccio più completo. Utilizzare un servizio basato su cloud come Thru, che sfrutta vari protocolli come SFTP tra gli altri, può fornire misure di sicurezza end-to-end migliorate, meccanismi di tracciamento precisi, registri dettagliati e impostazioni di conservazione a lungo termine.
Inoltre, le soluzioni MFT come Thru possono offrire una maggiore disponibilità per garantire che le operazioni di trasferimento file rimangano fluide anche quando i volumi continuano ad aumentare.
Come fa un server SFTP ad autenticarsi con un client?
Per autenticarsi con un client, un server SFTP avvia un handshake TCP a tre vie per stabilire una connessione. Questo processo assicura che il server e il client abbiano entrambi accesso alla porta corretta (solitamente 22) nel livello di trasporto.
Dopo questa verifica, il server utilizza l'autenticazione tramite coppia di chiavi SSH per convalidare l'identità del client. La coppia di chiavi SSH è composta da una chiave pubblica (condivisa tra le due parti) e una chiave privata (nota solo al client autorizzato). Una volta completata con successo l'autenticazione SSH, il trasferimento del file avviene tramite un canale crittografato, con i dati impacchettati in pacchetti individuali.
Questi pacchetti vengono trasmessi e riassemblati al destinatario per ricostruire in modo sicuro il file originale.
Porta SFTP alternativa
Il protocollo SFTP esiste dal 1980 come meccanismo per il trasferimento di file. Le imprese rimarranno giustamente caute nel consentire o considerare i costi di supporto dell'accesso diretto alla porta SFTP a qualsiasi risorsa interna da reti esterne tramite il protocollo FTP/SFTP.
Nel frattempo, MyWorkDrive converte già le condivisioni di file basate su Windows in file sicuri condivisioni di file a cui è possibile accedere in modo sicuro ovunque utilizzando la porta TCP https/SSL 443 su protocolli conformi RSA 4096 e TLS 1.2 FIPS altamente crittografati senza i problemi di sicurezza o formazione di SFTP.
L'alternativa alla porta SFTP di MyWorkDrive supporta i lavoratori remoti con il nostro accesso sicuro basato sul browser Web, Windows Mapped Drive e client mobili.
Hai bisogno di aiuto per pianificare la tua alternativa SFTP? Prenota una chiamata e saremo felici di assisterti nella pianificazione della tua implementazione.
Conclusione
In conclusione, SFTP è un protocollo di trasferimento file sicuro che utilizza la crittografia a chiave pubblica per abilitare la crittografia dei dati in movimento, l'autenticazione, la firma digitale e i meccanismi di integrità dei dati. Comprendere la gestione delle porte SFTP e la configurazione del server è essenziale per i trasferimenti file sicuri.
Seguendo le best practice per l'utilizzo di SFTP, tra cui l'impostazione di convenzioni di denominazione e strutture di cartelle coerenti, l'ottimizzazione delle prestazioni di trasferimento dei file e il monitoraggio e la registrazione di tutte le attività SFTP, le organizzazioni possono garantire la sicurezza e l'integrità dei propri dati.
Una corretta gestione del protocollo di trasferimento file sicuro, unita a un'attenta configurazione del server SFTP, può aiutare le organizzazioni a ottenere trasferimenti di file affidabili e sicuri, proteggendo i dati da accessi non autorizzati e garantendo la conformità agli standard di sicurezza.
Dan Gordon
Daniel, fondatore di MyWorkDrive.com, ha lavorato in vari ruoli di gestione della tecnologia al servizio di aziende, governo e istruzione nell'area della Baia di San Francisco dal 1992. Daniel è certificato in Microsoft Technologies e scrive di tecnologia dell'informazione, sicurezza e strategia ed è stato premiato negli Stati Uniti Brevetto #9985930 in reti di accesso remoto
