SFTP-Port-Alternativen

SFTP, das oft fälschlicherweise als Abkürzung für „Secure File Transfer Protocol“ verwechselt wird, steht in Wirklichkeit für das SSH File Transfer Protocol. SFTP wurde in den Anfängen des Internets entwickelt und wird dort detailliert beschrieben SFTP-RFC-Spezifikation. Das SFTP-Protokoll war ursprünglich als einfaches FTP (File Transfer Protocol) bekannt. Das FTP-Protokoll unterstützt die Dateiübertragung über TCP-Port 21, wobei TCP-Port 22 für SFTP und Port 990 für die implizite TLS/SSL-Verschlüsselung verwendet wird. SFTP ist ein grundlegendes Dateiübertragungsprotokoll und obwohl es aufgrund seiner Einfachheit recht schnell sein kann, sind zusätzliche Funktionen wie Dateifreigabe, Zusammenarbeit, Authentifizierung und Single Sign-On für das Protokoll nicht definiert.

Im Laufe der Zeit wurde das FTP-Protokoll aktualisiert, um beispielsweise Verschlüsselung (SFTP) hinzuzufügen, TLS/SSL-Verschlüsselung zu unterstützen und Firewall-/Sicherheitsprobleme zu verbessern RFC 1579 (Februar 1994) ermöglicht Firewall-freundliches FTP (passiver Modus), RFC 2228 (Juni 1997) schlägt Sicherheitserweiterungen vor, RFC 2428 (September 1998) fügt Unterstützung für hinzu IPv6 und definiert eine neue Art des passiven Modus.[8].

SFTP

SFTP-NAT- und Firewall-Traversal-Probleme

Typischerweise blockieren Internetdienstanbieter SFTP-Ports, um Sicherheitsprobleme und Malware vorzubeugen, indem sie den Dateizugriff über SFTP-Ports verhindern. SFTP erfordert, dass die Ports 22 oder 990 geöffnet sind, was anfällig für Malware ist, einschließlich berüchtigter Täter wie Wannacry, Sasser, Nimda, Petya/NotPetya und mehr. Wenn STFP-Ports geöffnet sind, durchsucht ein infizierter Computer sein Windows-Netzwerk nach Serverfreigaben, die Datenverkehr auf den TCP-Ports 22 oder 990 akzeptieren, was darauf hinweist, dass das System für die Ausführung von SFTP konfiguriert ist. Während moderne Web Application Firewalls (WAFS) so eingestellt werden können, dass sie den HTTP-Verkehr überwachen, lässt sich der SFTP-Verkehr nicht so einfach überwachen.

SFTP überträgt Daten, indem es vom Server an den Client antwortet, nachdem ein PORT-Befehl gesendet wurde. Dies ist ein Problem für Firewalls, die keine eingehenden Verbindungen aus dem Internet zu internen Hosts zulassen. Dies ist ein besonderes Problem bei Microsoft IIS, das mit einem zufälligen Port antwortet.

Die beiden Ansätze zur Lösung dieses Problems bestehen darin, entweder den SFTP-Server so einzustellen, dass er den PASV-Befehl verwendet, oder ein Gateway auf Anwendungsebene zu verwenden, um die Portwerte zu wechseln.

SFTP-Port-Fernzugriff

Um den Fernzugriff auf Dateien zu erleichtern, gewähren Unternehmen Benutzern häufig Zugriff über SFTP-Server. Dies ermöglicht einen gewissen Fernzugriff, allerdings sind die Supportkosten für die Schulung der Benutzer und die Bereitstellung der SFTP-Client-Software hoch. Darüber hinaus lässt sich SFTP nicht einfach in bestehende Dateiserver und Active Directory integrieren, um ein einheitliches Dateifreigabeerlebnis zu bieten. Beim Fernzugriff auf Dateien erwarten Benutzer, dass sie über ein standardmäßig zugeordnetes Laufwerk, das Dateisperre, Office und andere Anwendungen vollständig unterstützt, problemlos auf ihre vorhandenen Heimlaufwerke und Abteilungsfreigaben zugreifen können. STFP wurde nie für den Dateiaustausch oder die Zusammenarbeit entwickelt.

SFTP-Port vs. HTTP/s

HTTP Port 443 ist ein aktualisiertes Protokoll, das im Wesentlichen die Fehler in SFTP behebt, die die Verwendung für viele kleine Übertragungen unpraktisch machten.

SFTP verwendet eine Stateful-Control-Verbindung, die ein aktuelles Arbeitsverzeichnis verwaltet, und jede Übertragung erfordert eine sekundäre Verbindung, über die die eigentlichen Daten übertragen werden. Im „passiven“ Modus geht diese zusätzliche Verbindung vom Client zum Server, während im standardmäßigen „aktiven“ Modus diese Verbindung vom Server zum Client besteht. Diese SFTP-Portänderung im aktiven Modus und zufällige Portnummern für alle Übertragungen sind der Grund, warum Firewalls und NAT-Gateways mit SFTP so schwer zu tun haben.

Das Einrichten einer SFTP-Steuerungsverbindung kann im Vergleich zu HTTP aufgrund der Round-Trip-Verzögerungen beim Senden aller erforderlichen Befehle während des Wartens auf eine Antwort ziemlich langsam sein, sodass die Verbindung normalerweise für mehrere Dateiübertragungen offen gehalten wird, anstatt getrennt und erneut ausgeführt zu werden -jedes Mal eingerichtet.

HTTP im Vergleich ist staatenlos und multiplext Steuerung und Daten über eine einzige Verbindung vom Client zum Server auf bekannten Portnummern, die problemlos NAT-Gateways passiert und für Firewalls einfach zu verwalten und auf Sicherheitslücken zu scannen ist.

Warum könnte SFTP als vollständige Dateiübertragungslösung bei steigendem Dateiübertragungsvolumen nicht mehr geeignet sein?

Da das Volumen der Dateiübertragungen zunimmt, werden die Grenzen von SFTP als vollständige Dateiübertragungslösung deutlich. Die steigenden Anforderungen an das Onboarding weiterer Partner, die Skalierung der Infrastruktur und die Lösung technischer Probleme können die Fähigkeiten von SFTP an ihre Grenzen bringen und möglicherweise IT-Teams überfordern. Darüber hinaus kann der Bedarf an erhöhten Sicherheitsmaßnahmen, einer strengen Kontrolle von Dateitransaktionen und einer robusten Transparenz zur Einhaltung von Sicherheits- und Governance-Standards das übersteigen, was SFTP allein bieten kann.

Um diese Herausforderungen effektiv anzugehen, könnten Unternehmen feststellen, dass MFT-Lösungen (Managed File Transfer) einen umfassenderen Ansatz bieten. Die Nutzung eines cloudbasierten Dienstes wie Thru, der verschiedene Protokolle wie unter anderem SFTP nutzt, kann verbesserte End-to-End-Sicherheitsmaßnahmen, präzise Tracking-Mechanismen, detaillierte Protokolle und Einstellungen für die langfristige Aufbewahrung bieten. Darüber hinaus können MFT-Lösungen wie Thru eine erhöhte Verfügbarkeit bieten, um sicherzustellen, dass die Dateiübertragungsvorgänge auch bei weiter steigenden Volumina reibungslos verlaufen.

Wie authentifiziert sich ein SFTP-Server bei einem Client?

Zur Authentifizierung bei einem Client initiiert ein SFTP-Server einen Drei-Wege-TCP-Handshake, um eine Verbindung herzustellen. Dieser Prozess stellt sicher, dass sowohl der Server als auch der Client Zugriff auf den richtigen Port (normalerweise 22) in der Transportschicht haben. Nach dieser Überprüfung verwendet der Server die SSH-Schlüsselpaarauthentifizierung, um die Identität des Clients zu validieren. Das SSH-Schlüsselpaar besteht aus einem öffentlichen Schlüssel (der von den beiden Parteien gemeinsam genutzt wird) und einem privaten Schlüssel (der nur dem autorisierten Client bekannt ist). Nach erfolgreicher SSH-Authentifizierung erfolgt die Dateiübertragung über einen verschlüsselten Kanal, wobei die Daten in einzelne Pakete verpackt werden. Diese Pakete werden übertragen und am Empfängerende wieder zusammengesetzt, um die Originaldatei sicher wiederherzustellen.

SFTP-Port-Alternative

Das SFTP-Protokoll gibt es seit 1980 als Mechanismus zum Übertragen von Dateien. Unternehmen werden zu Recht vorsichtig bleiben, wenn sie die Supportkosten für den direkten SFTP-Portzugriff auf interne Ressourcen von externen Netzwerken über das FTP/SFTP-Protokoll zulassen oder berücksichtigen.

Inzwischen wandelt MyWorkDrive bereits Windows-basierte Dateifreigaben in sichere um Dateifreigaben auf die über TCP https/SSL-Port 443 über hoch verschlüsselte RSA 4096- und TLS 1.2-FIPS-konforme Protokolle überall sicher zugegriffen werden kann, ohne die Sicherheits- oder Schulungsbedenken von SFTP.

Die SFTP-Port-Alternative von MyWorkDrive unterstützt Remote-Mitarbeiter mit unserem sicheren Webbrowser-basierten Zugriff, Windows Mapped Drive und mobilen Clients.

Benötigen Sie Hilfe bei der Planung Ihrer SFTP-Alternative? Vereinbaren Sie einen Anruf und wir helfen Ihnen gerne bei der Planung Ihres Einsatzes.

Daniel, Gründer von MyWorkDrive.com, ist seit 1992 in verschiedenen Funktionen im Technologiemanagement für Unternehmen, Behörden und Bildungseinrichtungen in der San Francisco Bay Umgebung tätig. Daniel ist in Microsoft-Technologien zertifiziert und schreibt über Informationstechnologie, Sicherheit und Strategie, und hat überdies das US Patent Nr. #9985930 für "Remote Access Networking" erlangt.