Alternativas de porta SFTP

SFTP, que muitas vezes é confundido com uma abreviatura de “Secure File Transfer Protocol”, representa verdadeiramente o SSH File Transfer Protocol. SFTP foi desenvolvido nos primórdios da internet e é detalhado neste Especificação SFTP RFC. O protocolo SFTP era originalmente conhecido como FTP simples (File Transfer Protocol). O protocolo FTP oferece suporte à transferência de arquivos pela porta TCP 21 com a porta TCP 22 usada para SFTP e a porta 990 usada para criptografia implícita TLS/SSL. SFTP é um protocolo básico de transferência de arquivos e, embora possa ser bastante rápido devido à sua simplicidade, recursos adicionais como compartilhamento de arquivos, colaboração, autenticação e logon único não estão definidos para o protocolo.

Com o tempo, o protocolo FTP foi atualizado para adicionar criptografia (SFTP), suportar criptografia TLS/SSL e melhorar problemas de firewall/segurança – por exemplo RFC 1579 (Fevereiro de 1994) habilita FTP Amigável para Firewall (modo passivo), RFC 2228 (Junho de 1997) propõe extensões de segurança, RFC 2428 (Setembro de 1998) adiciona suporte para IPv6 e define um novo tipo de modo passivo.[8].

SFTP

Problemas de passagem de firewall e NAT SFTP

Normalmente, os provedores de serviços de Internet bloqueiam as portas SFTP para evitar problemas de segurança e malware, impedindo o acesso a arquivos pelas portas SFTP. SFTP Requer que as portas 22 ou 990 estejam abertas, o que é propenso a malware, incluindo criminosos infames como Wannacry, Sasser, Nimda, Petya/NotPetya e muito mais. Se as portas STFP estiverem abertas, um computador infectado procurará em sua rede Windows por compartilhamentos de servidor que aceitem tráfego nas portas TCP 22 ou 990, indicando que o sistema está configurado para executar SFTP. Embora os modernos Web Application Firewalls (WAFS) possam ser ajustados para monitorar o tráfego HTTP, o tráfego SFTP não é monitorado tão facilmente.

O SFTP transfere dados respondendo do servidor para o cliente após o envio de um comando PORT. Este é um problema para firewalls que não permitem conexões da Internet de entrada para hosts internos. Este é um problema específico com o Microsoft IIS, que responde com uma porta aleatória.

As duas abordagens para resolver esse problema são configurar o servidor SFTP para usar o comando PASV ou usar um gateway de nível de aplicativo para alternar os valores de porta.

Acesso remoto à porta SFTP

Para facilitar o acesso remoto aos arquivos, as empresas geralmente concedem acesso aos usuários usando servidores SFTP. Isso fornece algum nível de acesso remoto, mas os custos de suporte para treinamento de usuários e implantação de software cliente SFTP são extensos. Além disso, o SFTP não é facilmente integrado aos servidores de arquivos existentes e ao Active Directory para apresentar uma experiência unificada de compartilhamento de arquivos. Ao acessar arquivos remotamente, o usuário espera acessar facilmente suas unidades domésticas existentes e compartilhamentos de departamento por meio de uma unidade mapeada padrão que oferece suporte total ao bloqueio de arquivos, Office e outros aplicativos. STFP nunca foi projetado para compartilhamento ou colaboração de arquivos.

Porta SFTP vs HTTP/s

HTTP a porta 443 é um protocolo atualizado que essencialmente corrige os bugs no SFTP que o tornavam inconveniente de usar para muitas pequenas transferências.

O SFTP usa uma conexão de controle com estado que mantém um diretório de trabalho atual e cada transferência requer uma conexão secundária através da qual os dados reais são transferidos. No modo “passivo” esta conexão adicional é de cliente para servidor, enquanto que no modo “ativo” padrão esta conexão é de servidor para cliente. Essa mudança de porta SFTP quando em modo ativo e números de porta aleatórios para todas as transferências, é o motivo pelo qual firewalls e gateways NAT têm tanta dificuldade com SFTP.

A configuração de uma conexão de controle SFTP pode ser bastante lenta em comparação com HTTP devido aos atrasos de ida e volta do envio de todos os comandos necessários enquanto aguarda uma resposta, portanto, normalmente a conexão é mantida aberta para várias transferências de arquivos, em vez de descartada e reativada -estabelecido a cada vez.

HTTP em comparação é apátrida e multiplexes controle e dados em uma única conexão do cliente ao servidor em números de porta conhecidos, que passam facilmente pelos gateways NAT e são simples para os firewalls gerenciarem e verificarem vulnerabilidades de segurança.

Por que o SFTP pode falhar como uma solução completa de transferência de arquivos à medida que os volumes de transferência de arquivos aumentam?

À medida que o volume de transferências de arquivos aumenta, as limitações do SFTP como uma solução completa de transferência de arquivos tornam-se aparentes. As crescentes demandas para integrar mais parceiros, dimensionar a infraestrutura e resolver problemas técnicos podem levar os recursos do SFTP ao seu limite, potencialmente sobrecarregando as equipes de TI. Além disso, a necessidade de medidas de segurança reforçadas, controle rigoroso sobre transações de arquivos e visibilidade robusta para cumprir os padrões de segurança e governança pode exceder o que o SFTP por si só pode oferecer.

Para enfrentar esses desafios de forma eficaz, as organizações podem descobrir que as soluções de transferência gerenciada de arquivos (MFT) oferecem uma abordagem mais abrangente. A utilização de um serviço baseado em nuvem como o Thru, que aproveita vários protocolos como SFTP, entre outros, pode fornecer medidas de segurança ponta a ponta aprimoradas, mecanismos de rastreamento precisos, registros detalhados e configurações de retenção de longo prazo. Além disso, soluções MFT como o Thru podem oferecer maior disponibilidade para garantir que as operações de transferência de arquivos permaneçam perfeitas, mesmo que os volumes continuem a aumentar.

Como um servidor SFTP se autentica com um cliente?

Para autenticar com um cliente, um servidor SFTP inicia um handshake TCP de três vias para estabelecer uma conexão. Este processo garante que o servidor e o cliente tenham acesso à porta correta (geralmente 22) na camada de transporte. Após esta verificação, o servidor usa autenticação de par de chaves SSH para validar a identidade do cliente. O par de chaves SSH consiste em uma chave pública (compartilhada entre as duas partes) e uma chave privada (conhecida apenas pelo cliente autorizado). Depois que a autenticação SSH for concluída com êxito, a transferência do arquivo ocorrerá por meio de um canal criptografado, com os dados empacotados em pacotes individuais. Esses pacotes são transmitidos e remontados na extremidade receptora para reconstruir o arquivo original com segurança.

Alternativa de porta SFTP

O protocolo SFTP existe desde 1980 como um mecanismo para transferência de arquivos. As empresas permanecerão cautelosas ao permitir ou considerar os custos de suporte do acesso direto à porta SFTP a qualquer recurso interno de redes externas sobre o protocolo FTP/SFTP.

Enquanto isso, o MyWorkDrive já converte compartilhamentos de arquivos baseados em Windows em compartilhamentos de arquivos que pode ser acessado com segurança em qualquer lugar usando a porta TCP https/SSL 443 em protocolos compatíveis com RSA 4096 e TLS 1.2 FIPS altamente criptografados sem as preocupações de segurança ou treinamento do SFTP.

A alternativa de porta SFTP MyWorkDrive oferece suporte a funcionários remotos com nosso acesso seguro baseado em navegador da Web, unidade mapeada do Windows e clientes móveis.

Precisa de ajuda para planejar sua alternativa SFTP? Agende uma ligação e teremos prazer em ajudá-lo a planejar sua implantação.

Daniel, fundador do MyWorkDrive.com, trabalhou em várias funções de gerenciamento de tecnologia atendendo empresas, governo e educação na área da baía de São Francisco desde 1992. Daniel é certificado em Microsoft Technologies e escreve sobre tecnologia da informação, segurança e estratégia e foi premiado Patente #9985930 em Rede de Acesso Remoto