Alternatives au port SFTP pour l'accès à distance Partage de fichiers Accès à distance

SFTP, qui est souvent confondu avec l'abréviation de « Secure File Transfer Protocol », représente véritablement le protocole de transfert de fichiers SSH. SFTP a été développé au tout début d'Internet et est détaillé dans ce Spécification RFC SFTP.

Le protocole SFTP était connu à l'origine sous le nom de FTP (File Transfer Protocol). Le protocole FTP prend en charge le transfert de fichiers via le port TCP 21, le port TCP 22 étant utilisé pour SFTP et le port 990 étant utilisé pour le cryptage implicite TLS/SSL.

SFTP est un protocole de transfert de fichiers de base et bien qu'il puisse être assez rapide en raison de sa simplicité, des fonctionnalités supplémentaires telles que le partage de fichiers, la collaboration, l'authentification et l'authentification unique ne sont pas définies pour le protocole.

Au fil du temps, le protocole FTP a été mis à jour pour ajouter le cryptage (SFTP), prendre en charge le cryptage TLS/SSL et améliorer les problèmes de pare-feu/sécurité - par exemple RFC 1579 (février 1994) active le FTP Firewall-Friendly (mode passif), RFC 2228 (juin 1997) propose des extensions de sécurité, RFC 2428 (septembre 1998) ajoute le support pour IPv6 et définit un nouveau type de mode passif.^[8].

introduction

Le protocole SFTP (Secure File Transfer Protocol) est un protocole réseau qui permet des transferts de fichiers sécurisés et cryptés entre un client et un serveur. Il est conçu pour fournir une alternative sécurisée au protocole de transfert de fichiers traditionnel (FTP) en incorporant Secure Shell (SSH) pour l'authentification et le cryptage des données.

Dans cet article, nous allons plonger dans le monde de SFTP, en explorant ses bases, la gestion des ports, la configuration du serveur et bien plus encore.

Il est essentiel de comprendre le protocole de transfert de fichiers sécurisé pour garantir la sécurité et l'intégrité de vos données lors des transferts de fichiers. Que vous ayez affaire à des informations sensibles ou que vous ayez simplement besoin d'une méthode fiable pour transférer des fichiers, SFTP offre une solution robuste qui exploite la puissance du shell sécurisé pour protéger vos données.

Comprendre SFTP

SFTP est une extension de Secure Shell (SSH) et a été introduit dans SSH v2 ou SSH-2. Il s'agit d'une méthode de transfert de fichiers via SSH, et chaque serveur SSH est techniquement également un serveur SFTP.

Le protocole SFTP utilise le même numéro de port que le protocole SSH, qui est 22 par défaut. Il constitue donc une alternative populaire au protocole FTP (File Transfer Protocol) standard en raison de ses fonctionnalités de sécurité améliorées. Ces fonctionnalités incluent la cryptographie à clé publique, qui permet le chiffrement des données en mouvement, l'authentification, la signature numérique et les mécanismes d'intégrité des données.

En utilisant un serveur SFTP, les entreprises peuvent s'assurer que leurs transferts de fichiers sont sécurisés et que leurs données restent protégées contre tout accès non autorisé. L'intégration de Secure Shell dans le processus de transfert de fichiers ajoute une couche de sécurité supplémentaire, faisant de SFTP un choix privilégié pour les transferts de fichiers sécurisés.

Contenu

• introduction
• Comprendre SFTP
• Problèmes de traversée du NAT SFTP et du pare-feu
• Gestion des ports SFTP
• Configuration du serveur SFTP
• Accès à distance par port SFTP par défaut
• Port SFTP vs HTTP/s
• Pourquoi SFTP pourrait-il ne pas être une solution complète de transfert de fichiers sécurisé à mesure que les volumes de transfert de fichiers augmentent ?
• Comment un serveur SFTP s'authentifie-t-il auprès d'un client ?
• Alternative au port SFTP
• Conclusion

Problèmes de traversée du NAT SFTP et du pare-feu

En règle générale, les fournisseurs de services Internet bloquent les ports SFTP pour éviter les problèmes de sécurité et les logiciels malveillants en empêchant l'accès aux fichiers via les ports SFTP. SFTP nécessite que les ports 22 ou 990 soient ouverts, ce qui est sujet aux logiciels malveillants, notamment ceux de contrevenants notoires comme Wannacry, Sasser, Nimda, Petya/NotPetya, et bien d'autres.

Si les ports STFP sont ouverts, un ordinateur infecté recherchera sur son réseau Windows les partages de serveur acceptant le trafic sur les ports TCP 22 ou 990, indiquant que le système est configuré pour exécuter SFTP. Bien que les pare-feu d'application Web (WAFS) modernes puissent être réglés pour surveiller le trafic HTTP, le trafic SFTP n'est pas aussi facile à surveiller.

SFTP transfère les données en répondant du serveur au client après l'envoi d'une commande PORT. C'est un problème pour les pare-feu qui n'autorisent pas les connexions entrantes d'Internet vers les hôtes internes. Il s'agit d'un problème particulier avec Microsoft IIS qui répond avec un port aléatoire.

Les deux approches pour résoudre ce problème consistent soit à configurer le serveur SFTP pour qu'il utilise la commande PASV, soit à utiliser une passerelle au niveau de l'application pour alterner les valeurs de port.

Gestion des ports SFTP

Le service SFTP utilise le port TCP 22 comme numéro de port par défaut. Il est toutefois possible d'attribuer un numéro de port différent au service SFTP. La modification du numéro de port SFTP par défaut peut être effectuée pour des raisons de sécurité ou pour réduire la complexité de la maintenance du réseau. Par exemple, l'utilisation d'un port non standard peut contribuer à dissimuler le service aux attaquants potentiels qui recherchent les ports par défaut.

Il est toutefois essentiel de noter que la modification du numéro de port nécessite la mise à jour des pare-feu, des clients et des serveurs, ce qui peut complexifier la maintenance du réseau. Une gestion appropriée des ports est essentielle pour maintenir la sécurité et l'efficacité de vos connexions SFTP.

En sélectionnant et en gérant soigneusement les numéros de port, les organisations peuvent améliorer leur sécurité tout en garantissant des transferts de fichiers fluides et fiables.

Configuration du serveur SFTP

La configuration d'un serveur SFTP implique plusieurs étapes, notamment la configuration du fichier de configuration du serveur SSH, sshd_config. Ce fichier contient les paramètres du serveur SSH, notamment le numéro de port, les méthodes d'authentification et les algorithmes de chiffrement.

Pour modifier le port SFTP sous Windows, le fichier sshd_config doit être modifié et le service SSH doit être redémarré. Sous Linux, le fichier sshd_config doit également être modifié et le service SSH doit être redémarré. Une configuration appropriée du serveur SFTP est essentielle pour garantir des transferts de fichiers sécurisés et efficaces.

En configurant soigneusement le fichier de configuration du serveur SSH, les organisations peuvent personnaliser leur serveur SFTP pour répondre à leurs exigences spécifiques en matière de sécurité et de fonctionnement.

Cela comprend la sélection du numéro de port approprié, l’activation de méthodes d’authentification fortes et le choix d’algorithmes de cryptage robustes pour protéger les données pendant le transfert.

Accès à distance par port SFTP par défaut

Pour faciliter l'accès à distance aux fichiers, les entreprises accordent souvent aux utilisateurs un accès via des serveurs SFTP. Cela permet un certain niveau d'accès à distance, mais les coûts de support liés à la formation des utilisateurs et au déploiement du logiciel client SFTP sont élevés.

De plus, SFTP ne s’intègre pas facilement aux serveurs de fichiers existants et à Active Directory pour présenter une expérience de partage de fichiers unifiée.

Lors de l'accès à des fichiers à distance, l'utilisateur s'attend à pouvoir accéder facilement à ses disques personnels et aux partages de son service via un lecteur mappé standard prenant entièrement en charge le verrouillage des fichiers, Office et d'autres applications. STFP n'a jamais été conçu pour le partage de fichiers ou la collaboration.

Port SFTP vs HTTP/s

HTTP Le port 443 est un protocole mis à jour qui corrige essentiellement les bogues de SFTP qui le rendaient peu pratique à utiliser pour de nombreux petits transferts.

SFTP utilise une connexion de contrôle avec état qui maintient un répertoire de travail actuel et chaque transfert nécessite une connexion secondaire via laquelle les données réelles sont transférées.

En mode « passif », cette connexion supplémentaire se fait du client vers le serveur, alors que dans le mode « actif » par défaut, cette connexion se fait du serveur vers le client. Ce changement de port SFTP en mode actif et les numéros de port aléatoires pour tous les transferts sont la raison pour laquelle les pare-feu et les passerelles NAT ont tant de mal avec SFTP.

La configuration d'une connexion de contrôle SFTP peut être assez lente par rapport à HTTP en raison des retards aller-retour de l'envoi de toutes les commandes requises en attendant une réponse. -établi à chaque fois.

HTTP en comparaison est apatride et multiplexe le contrôle et les données sur une seule connexion du client au serveur sur des numéros de port bien connus, qui passent facilement par les passerelles NAT et sont simples à gérer pour les pare-feu et à rechercher les vulnérabilités de sécurité.

Pourquoi SFTP pourrait-il ne pas être une solution complète de transfert de fichiers sécurisé à mesure que les volumes de transfert de fichiers augmentent ?

À mesure que le volume des transferts de fichiers augmente, les limites du protocole SFTP en tant que solution complète de transfert de fichiers deviennent évidentes. Les exigences croissantes en matière d'intégration de nouveaux partenaires, de mise à l'échelle de l'infrastructure et de résolution des problèmes techniques peuvent pousser les capacités du protocole SFTP à leurs limites, ce qui peut saturer les équipes informatiques.

De plus, le besoin de mesures de sécurité renforcées, d’un contrôle strict sur les transactions de fichiers et d’une visibilité robuste pour se conformer aux normes de sécurité et de gouvernance peut dépasser ce que SFTP seul peut offrir.

Pour relever ces défis de manière efficace, les entreprises peuvent s'appuyer sur des solutions de transfert de fichiers géré (MFT) offrant une approche plus complète. L'utilisation d'un service basé sur le cloud comme Thru, qui exploite divers protocoles tels que SFTP, entre autres, peut fournir des mesures de sécurité de bout en bout améliorées, des mécanismes de suivi précis, des journaux détaillés et des paramètres de conservation à long terme.

De plus, les solutions MFT comme Thru peuvent offrir une disponibilité accrue pour garantir que les opérations de transfert de fichiers restent transparentes même lorsque les volumes continuent d'augmenter.

Comment un serveur SFTP s'authentifie-t-il auprès d'un client ?

Pour s'authentifier auprès d'un client, un serveur SFTP lance une négociation TCP à trois voies pour établir une connexion. Ce processus garantit que le serveur et le client ont tous deux accès au port approprié (généralement 22) dans la couche de transport.

Après cette vérification, le serveur utilise l'authentification par paire de clés SSH pour valider l'identité du client. La paire de clés SSH se compose d'une clé publique (partagée entre les deux parties) et d'une clé privée (connue uniquement du client autorisé). Une fois l'authentification SSH terminée avec succès, le transfert de fichiers s'effectue via un canal crypté, les données étant regroupées dans des paquets individuels.

Ces paquets sont transmis et réassemblés à l’extrémité de réception pour reconstruire le fichier d’origine en toute sécurité.

Alternative au port SFTP

Le protocole SFTP existe depuis 1980 en tant que mécanisme de transfert de fichiers. Les entreprises resteront légitimement prudentes lorsqu'elles autoriseront ou envisageront les coûts de support de l'accès direct au port SFTP à toute ressource interne à partir de réseaux externes via le protocole FTP/SFTP.

En attendant, MyWorkDrive convertit déjà les partages de fichiers Windows en fichiers sécurisés partages de fichiers accessible en toute sécurité n'importe où à l'aide du port TCP https/SSL 443 sur des protocoles hautement cryptés conformes aux normes RSA 4096 et TLS 1.2 FIPS sans les problèmes de sécurité ou de formation de SFTP.

L'alternative au port SFTP MyWorkDrive prend en charge les travailleurs distants avec notre accès sécurisé basé sur un navigateur Web, Windows Mapped Drive et nos clients mobiles.

Besoin d'aide pour planifier votre alternative SFTP ? Réservez un appel et nous serons heureux de vous aider à planifier votre déploiement.

Conclusion

En conclusion, SFTP est un protocole de transfert de fichiers sécurisé qui utilise la cryptographie à clé publique pour permettre le chiffrement des données en mouvement, l'authentification, la signature numérique et les mécanismes d'intégrité des données. Il est essentiel de comprendre la gestion des ports SFTP et la configuration du serveur pour sécuriser les transferts de fichiers.

En suivant les meilleures pratiques d’utilisation de SFTP, notamment l’établissement de conventions de dénomination et de structures de dossiers cohérentes, l’optimisation des performances de transfert de fichiers et la surveillance et la journalisation de toutes les activités SFTP, les organisations peuvent garantir la sécurité et l’intégrité de leurs données.

Une gestion appropriée du protocole de transfert de fichiers sécurisé, ainsi qu'une configuration minutieuse du serveur SFTP, peuvent aider les organisations à réaliser des transferts de fichiers fiables et sécurisés, protégeant leurs données contre tout accès non autorisé et garantissant le respect des normes de sécurité.