Alternatives aux ports SFTP

SFTP est le protocole mis à jour pour prendre en charge le protocole de transfert de fichiers sécurisé (SFTP). SFTP a été développé au tout début d'Internet et est détaillé dans ce Spécification RFC SFTP. Le protocole SFTP était connu à l'origine sous le nom de simple FTP (File Transfer Protocol). Le protocole FTP prend en charge le transfert de fichiers sur le port TCP 21 avec le port TCP 22 utilisé pour SFTP et le port 990 utilisé pour le chiffrement implicite TLS/SSL. SFTP est un protocole de transfert de fichiers de base et bien qu'il puisse être assez rapide en raison de sa simplicité, des fonctionnalités supplémentaires telles que le partage de fichiers, la collaboration, l'authentification et l'authentification unique ne sont pas définies pour le protocole.

Au fil du temps, le protocole FTP a été mis à jour pour ajouter le cryptage (SFTP), prendre en charge le cryptage TLS/SSL et améliorer les problèmes de pare-feu/sécurité - par exemple RFC 1579 (février 1994) active le FTP Firewall-Friendly (mode passif), RFC 2228 (juin 1997) propose des extensions de sécurité, RFC 2428 (septembre 1998) ajoute le support pour IPv6 et définit un nouveau type de mode passif.^[8].

Problèmes de traversée du NAT SFTP et du pare-feu

En règle générale, les fournisseurs de services Internet bloquent les ports SFTP pour éviter les problèmes de sécurité et les logiciels malveillants en empêchant l'accès aux fichiers via les ports SFTP. SFTP Nécessite que les ports 22 ou 990 soient ouverts, ce qui est sujet aux logiciels malveillants, notamment des criminels infâmes tels que Wannacry, Sasser, Nimda, Petya/NotPetya, etc. Si les ports STFP sont ouverts, un ordinateur infecté recherchera sur son réseau Windows des partages de serveur acceptant le trafic sur les ports TCP 22 ou 990 indiquant que le système est configuré pour exécuter SFTP. Alors que les pare-feu d'application Web (WAFS) modernes peuvent être réglés pour surveiller le trafic HTTP, le trafic SFTP n'est pas aussi facilement surveillé.

SFTP transfère les données en répondant du serveur au client après l'envoi d'une commande PORT. C'est un problème pour les pare-feu qui n'autorisent pas les connexions entrantes d'Internet vers les hôtes internes. Il s'agit d'un problème particulier avec Microsoft IIS qui répond avec un port aléatoire.

Les deux approches pour résoudre ce problème consistent soit à configurer le serveur SFTP pour qu'il utilise la commande PASV, soit à utiliser une passerelle au niveau de l'application pour alterner les valeurs de port.

Accès à distance au port SFTP

Pour faciliter l'accès à distance aux fichiers, les entreprises ont souvent accordé aux utilisateurs l'accès à l'aide de serveurs SFTP. Cela fournit un certain niveau d'accès à distance, mais les coûts de support liés à la formation des utilisateurs et au déploiement du logiciel client SFTP sont élevés. De plus, SFTP n'est pas facilement intégré aux serveurs de fichiers existants et à Active Directory pour présenter une expérience de partage de fichiers unifiée. Lors de l'accès à des fichiers à distance, l'utilisateur s'attend à accéder facilement à ses disques domestiques existants et à ses partages de service via un lecteur mappé standard qui prend entièrement en charge le verrouillage des fichiers, Office et d'autres applications. STFP n'a jamais été conçu pour le partage de fichiers ou la collaboration.

Port SFTP vs HTTP/s

HTTP Le port 443 est un protocole mis à jour qui corrige essentiellement les bogues de SFTP qui le rendaient peu pratique à utiliser pour de nombreux petits transferts.

SFTP utilise une connexion de contrôle avec état qui maintient un répertoire de travail actuel et chaque transfert nécessite une connexion secondaire via laquelle les données réelles sont transférées. En mode "passif", cette connexion supplémentaire est de client à serveur, alors qu'en mode "actif" par défaut, cette connexion est de serveur à client. Ce port SFTP change lorsqu'il est en mode actif, et les numéros de port aléatoires pour tous les transferts, c'est pourquoi les pare-feu et les passerelles NAT ont tant de mal avec SFTP.

La configuration d'une connexion de contrôle SFTP peut être assez lente par rapport à HTTP en raison des retards aller-retour de l'envoi de toutes les commandes requises en attendant une réponse. -établi à chaque fois.

HTTP en comparaison est apatride et multiplexe le contrôle et les données sur une seule connexion du client au serveur sur des numéros de port bien connus, qui passent facilement par les passerelles NAT et sont simples à gérer pour les pare-feu et à rechercher les vulnérabilités de sécurité.

Alternative au port SFTP

Le protocole SFTP existe depuis 1980 en tant que mécanisme de transfert de fichiers. Les entreprises resteront légitimement prudentes lorsqu'elles autoriseront ou envisageront les coûts de support de l'accès direct au port SFTP à toute ressource interne à partir de réseaux externes via le protocole FTP/SFTP.

En attendant, MyWorkDrive convertit déjà les partages de fichiers Windows en fichiers sécurisés partages de fichiers accessible en toute sécurité n'importe où à l'aide du port TCP https/SSL 443 sur des protocoles hautement cryptés conformes aux normes RSA 4096 et TLS 1.2 FIPS sans les problèmes de sécurité ou de formation de SFTP.

L'alternative au port MyWorkDrive SFTP prend en charge les travailleurs distants avec notre accès sécurisé basé sur un navigateur Web, Windows Mapped Drive et nos clients mobiles.

Besoin d'aide pour planifier votre alternative SFTP ? Réservez un appel et nous serons heureux de vous aider à planifier votre déploiement.