SFTP-Port-Alternativen

SFTP ist das aktualisierte Protokoll zur Unterstützung des Secure File Transfer Protocol (SFTP). SFTP wurde in den Anfängen des Internets entwickelt und wird dort detailliert beschrieben SFTP-RFC-Spezifikation. Das SFTP-Protokoll war ursprünglich als einfaches FTP (File Transfer Protocol) bekannt. Das FTP-Protokoll unterstützt die Dateiübertragung über TCP-Port 21, wobei TCP-Port 22 für SFTP und Port 990 für die implizite TLS/SSL-Verschlüsselung verwendet werden. SFTP ist ein grundlegendes Dateiübertragungsprotokoll und obwohl es aufgrund seiner Einfachheit recht schnell sein kann, sind zusätzliche Funktionen wie Dateifreigabe, Zusammenarbeit, Authentifizierung und einmaliges Anmelden für das Protokoll nicht definiert.

Im Laufe der Zeit wurde das FTP-Protokoll aktualisiert, um beispielsweise Verschlüsselung (SFTP) hinzuzufügen, TLS/SSL-Verschlüsselung zu unterstützen und Firewall-/Sicherheitsprobleme zu verbessern RFC 1579 (Februar 1994) ermöglicht Firewall-freundliches FTP (passiver Modus), RFC 2228 (Juni 1997) schlägt Sicherheitserweiterungen vor, RFC 2428 (September 1998) fügt Unterstützung für hinzu IPv6 und definiert eine neue Art des passiven Modus.^[8].

SFTP-NAT- und Firewall-Traversal-Probleme

In der Regel blockieren Internetdienstanbieter SFTP-Ports, um Probleme mit Sicherheit und Malware zu verhindern, indem sie den Dateizugriff über SFTP-Ports verhindern. SFTP erfordert, dass die Ports 22 oder 990 geöffnet sind, was anfällig für Malware ist, einschließlich berüchtigter Täter wie Wannacry, Sasser, Nimda, Petya/NotPetya und mehr. Wenn STFP-Ports geöffnet sind, durchsucht ein infizierter Computer sein Windows-Netzwerk nach Serverfreigaben, die Datenverkehr auf den TCP-Ports 22 oder 990 akzeptieren, was darauf hinweist, dass das System für die Ausführung von SFTP konfiguriert ist. Während moderne Web Application Firewalls (WAFS) so eingestellt werden können, dass sie den HTTP-Verkehr überwachen, ist der SFTP-Verkehr nicht so einfach zu überwachen.

SFTP überträgt Daten, indem es vom Server an den Client antwortet, nachdem ein PORT-Befehl gesendet wurde. Dies ist ein Problem für Firewalls, die keine eingehenden Verbindungen aus dem Internet zu internen Hosts zulassen. Dies ist ein besonderes Problem bei Microsoft IIS, das mit einem zufälligen Port antwortet.

Die beiden Ansätze zur Lösung dieses Problems bestehen darin, entweder den SFTP-Server so einzustellen, dass er den PASV-Befehl verwendet, oder ein Gateway auf Anwendungsebene zu verwenden, um die Portwerte zu wechseln.

SFTP-Port-Fernzugriff

Um den Fernzugriff auf Dateien zu erleichtern, haben Unternehmen Benutzern häufig Zugriff über SFTP-Server gewährt. Dies bietet ein gewisses Maß an Fernzugriff, jedoch sind die Supportkosten für die Schulung von Benutzern und die Bereitstellung von SFTP-Client-Software hoch. Darüber hinaus lässt sich SFTP nicht einfach in vorhandene Dateiserver und Active Directory integrieren, um ein einheitliches Dateifreigabeerlebnis zu bieten. Beim Remote-Zugriff auf Dateien erwarten Benutzer, dass sie über ein standardmäßig zugeordnetes Laufwerk, das Dateisperren, Office und andere Anwendungen vollständig unterstützt, problemlos auf ihre vorhandenen Home-Laufwerke und Abteilungsfreigaben zugreifen können. STFP wurde nie für die Dateifreigabe oder Zusammenarbeit entwickelt.

SFTP-Port vs. HTTP/s

HTTP Port 443 ist ein aktualisiertes Protokoll, das im Wesentlichen die Fehler in SFTP behebt, die die Verwendung für viele kleine Übertragungen unpraktisch machten.

SFTP verwendet eine Stateful-Control-Verbindung, die ein aktuelles Arbeitsverzeichnis verwaltet, und jede Übertragung erfordert eine sekundäre Verbindung, über die die eigentlichen Daten übertragen werden. Im „passiven“ Modus geht diese zusätzliche Verbindung vom Client zum Server, während im standardmäßigen „aktiven“ Modus diese Verbindung vom Server zum Client besteht. Diese SFTP-Portänderung im aktiven Modus und zufällige Portnummern für alle Übertragungen sind der Grund, warum Firewalls und NAT-Gateways mit SFTP so schwer zu tun haben.

Das Einrichten einer SFTP-Steuerungsverbindung kann im Vergleich zu HTTP aufgrund der Round-Trip-Verzögerungen beim Senden aller erforderlichen Befehle während des Wartens auf eine Antwort ziemlich langsam sein, sodass die Verbindung normalerweise für mehrere Dateiübertragungen offen gehalten wird, anstatt getrennt und erneut ausgeführt zu werden -jedes Mal eingerichtet.

HTTP im Vergleich ist staatenlos und multiplext Steuerung und Daten über eine einzige Verbindung vom Client zum Server auf bekannten Portnummern, die problemlos NAT-Gateways passiert und für Firewalls einfach zu verwalten und auf Sicherheitslücken zu scannen ist.

SFTP-Port-Alternative

Das SFTP-Protokoll gibt es seit 1980 als Mechanismus zum Übertragen von Dateien. Unternehmen werden zu Recht vorsichtig bleiben, wenn sie die Supportkosten für den direkten SFTP-Portzugriff auf interne Ressourcen von externen Netzwerken über das FTP/SFTP-Protokoll zulassen oder berücksichtigen.

Inzwischen wandelt MyWorkDrive bereits Windows-basierte Dateifreigaben in sichere um Dateifreigaben auf die über TCP https/SSL-Port 443 über hoch verschlüsselte RSA 4096- und TLS 1.2-FIPS-konforme Protokolle überall sicher zugegriffen werden kann, ohne die Sicherheits- oder Schulungsbedenken von SFTP.

Die MyWorkDrive SFTP-Port-Alternative unterstützt Remote-Mitarbeiter mit unserem sicheren Webbrowser-basierten Zugriff, Windows Mapped Drive und Mobile-Clients.

Benötigen Sie Hilfe bei der Planung Ihrer SFTP-Alternative? Vereinbaren Sie einen Anruf und wir helfen Ihnen gerne bei der Planung Ihres Einsatzes.