SFTP-poortalternatieven voor toegang op afstand Bestanden delen op afstand
SFTP, dat vaak wordt aangezien als een afkorting voor ‘Secure File Transfer Protocol’, vertegenwoordigt in werkelijkheid het SSH File Transfer Protocol. SFTP is ontwikkeld in de begindagen van het internet en wordt hierin beschreven SFTP RFC-specificatie.
Het SFTP-protocol was oorspronkelijk bekend als Simple FTP (File Transfer Protocol). Het FTP-protocol ondersteunt bestandsoverdracht via TCP-poort 21, waarbij TCP-poort 22 wordt gebruikt voor SFTP en poort 990 voor TLS/SSL Impliciete encryptie.
SFTP is een basisprotocol voor bestandsoverdracht. Het kan door zijn eenvoud behoorlijk snel zijn, maar extra functies zoals bestandsdeling, samenwerking, authenticatie en eenmalige aanmelding zijn niet gedefinieerd voor het protocol.
In de loop van de tijd is het FTP-protocol bijgewerkt om codering (SFTP) toe te voegen, TLS/SSL-codering te ondersteunen en firewall-/beveiligingsproblemen te verbeteren, bijvoorbeeld RFC 1579 (februari 1994) activeert Firewall-vriendelijke FTP (passieve modus), RFC 2228 (juni 1997) stelt beveiligingsuitbreidingen voor, RFC 2428 (september 1998) voegt ondersteuning toe voor: IPv6 en definieert een nieuw type passieve modus.[8].
Invoering
Secure File Transfer Protocol (SFTP) is een netwerkprotocol dat veilige en gecodeerde bestandsoverdrachten tussen een client en een server mogelijk maakt. Het is ontworpen om een veilig alternatief te bieden voor het traditionele File Transfer Protocol (FTP) door Secure Shell (SSH) te integreren voor authenticatie en gegevenscodering.
In dit artikel duiken we in de wereld van SFTP en bespreken we de basisprincipes, poortbeheer, serverconfiguratie en meer.
Het begrijpen van het beveiligde bestandsoverdrachtprotocol is cruciaal om de veiligheid en integriteit van uw gegevens tijdens bestandsoverdrachten te waarborgen. Of u nu te maken hebt met gevoelige informatie of gewoon een betrouwbare methode nodig hebt om bestanden over te dragen, SFTP biedt een robuuste oplossing die de kracht van een beveiligde shell benut om uw gegevens te beschermen.
SFTP begrijpen
SFTP is een uitbreiding van Secure Shell (SSH) en werd geïntroduceerd in SSH v2 of SSH-2. Het is een methode voor het overbrengen van bestanden via SSH, en elke SSH-server is technisch gezien ook een SFTP-server.
SFTP gebruikt hetzelfde poortnummer als SSH, dat standaard 22 is. Dit maakt het een populair alternatief voor het standaard File Transfer Protocol (FTP) vanwege de verbeterde beveiligingsfuncties. Deze functies omvatten openbare sleutelcryptografie, die data-in-motion-encryptie, authenticatie, digitale ondertekening en gegevensintegriteitsmechanismen mogelijk maakt.
Door een SFTP-server te gebruiken, kunnen organisaties ervoor zorgen dat hun bestandsoverdrachten veilig zijn en dat hun gegevens beschermd blijven tegen ongeautoriseerde toegang. De integratie van secure shell in het bestandsoverdrachtsproces voegt een extra beveiligingslaag toe, waardoor SFTP een voorkeurskeuze is voor veilige bestandsoverdrachten.
Inhoud
- Invoering
- SFTP begrijpen
- Problemen met het doorlopen van SFTP NAT en firewall
- SFTP-poortbeheer
- SFTP-serverconfiguratie
- SFTP Standaardpoort Externe toegang
- SFTP-poort versus HTTP/s
- Waarom zou SFTP tekortschieten als een volledig veilige oplossing voor bestandsoverdracht, nu het aantal bestandsoverdrachten toeneemt?
- Hoe verifieert een SFTP-server zich bij een client?
- SFTP-poort alternatief
- Gevolgtrekking
Inhoud
- Invoering
- SFTP begrijpen
- Problemen met het doorlopen van SFTP NAT en firewall
- SFTP-poortbeheer
- SFTP-serverconfiguratie
- SFTP Standaardpoort Externe toegang
- SFTP-poort versus HTTP/s
- Waarom zou SFTP tekortschieten als een volledig veilige oplossing voor bestandsoverdracht, nu het aantal bestandsoverdrachten toeneemt?
- Hoe verifieert een SFTP-server zich bij een client?
- SFTP-poort alternatief
- Gevolgtrekking
Problemen met het doorlopen van SFTP NAT en firewall
Normaal gesproken blokkeren internetproviders SFTP-poorten om beveiligingsproblemen en malware te voorkomen door bestandstoegang via SFTP-poorten te blokkeren. SFTP vereist dat poort 22 of 990 open is, wat gevoelig is voor malware, waaronder beruchte boosdoeners als Wannacry, Sasser, Nimda, Petya/NotPetya en meer.
Als STFP-poorten open zijn, zal een geïnfecteerde computer zijn Windows-netwerk doorzoeken naar Server-shares die verkeer accepteren op TCP-poorten 22 of 990, wat aangeeft dat het systeem is geconfigureerd om SFTP uit te voeren. Hoewel moderne Web Application Firewalls (WAFS) kunnen worden afgestemd om HTTP-verkeer te controleren, is SFTP-verkeer niet zo eenvoudig te controleren.
SFTP draagt gegevens over door te reageren van de server naar de client nadat een PORT-opdracht is verzonden. Dit is een probleem voor firewalls die geen verbindingen van internet naar interne hosts toestaan. Dit is een specifiek probleem met Microsoft IIS dat reageert met een willekeurige poort.
De twee benaderingen om dit probleem op te lossen zijn om ofwel de SFTP-server in te stellen om de PASV-opdracht te gebruiken of om een gateway op toepassingsniveau te gebruiken om de poortwaarden af te wisselen.
SFTP-poortbeheer
SFTP gebruikt TCP-poort 22 als standaardpoortnummer. Het is echter mogelijk om een ander poortnummer toe te wijzen aan de SFTP-service. Het wijzigen van het standaard SFTP-poortnummer kan worden gedaan om veiligheidsredenen of om de complexiteit van netwerkonderhoud te verminderen. Bijvoorbeeld, het gebruik van een niet-standaardpoort kan helpen om de service te verbergen voor potentiële aanvallers die scannen op standaardpoorten.
Het is echter essentieel om op te merken dat het wijzigen van het poortnummer vereist dat firewalls, clients en servers worden bijgewerkt, wat complexiteit kan toevoegen aan netwerkonderhoud. Correct poortbeheer is cruciaal voor het behouden van de beveiliging en efficiëntie van uw SFTP-verbindingen.
Door poortnummers zorgvuldig te selecteren en beheren, kunnen organisaties hun beveiliging verbeteren en tegelijkertijd een soepele en betrouwbare bestandsoverdracht garanderen.
SFTP-serverconfiguratie
Het configureren van een SFTP-server omvat verschillende stappen, waaronder het instellen van het SSH-serverconfiguratiebestand, sshd_config. Dit bestand bevat instellingen voor de SSH-server, waaronder het poortnummer, authenticatiemethoden en encryptiealgoritmen.
Om de SFTP-poort in Windows te wijzigen, moet het bestand sshd_config worden aangepast en moet de SSH-service opnieuw worden gestart. In Linux moet het bestand sshd_config ook worden aangepast en moet de SSH-service opnieuw worden gestart. Een juiste configuratie van de SFTP-server is essentieel voor veilige en efficiënte bestandsoverdrachten.
Door het SSH-serverconfiguratiebestand zorgvuldig in te stellen, kunnen organisaties hun SFTP-server aanpassen aan hun specifieke beveiligings- en operationele vereisten.
Dit omvat het selecteren van het juiste poortnummer, het inschakelen van sterke authenticatiemethoden en het kiezen van robuuste encryptiealgoritmen om gegevens tijdens de overdracht te beschermen.
SFTP Standaardpoort Externe toegang
Om externe toegang tot bestanden te vergemakkelijken, hebben bedrijven gebruikers vaak toegang verleend via SFTP-servers. Dit biedt een bepaald niveau van externe toegang, maar de ondersteuningskosten voor het trainen van gebruikers en het implementeren van SFTP-clientsoftware zijn hoog.
Bovendien is SFTP niet eenvoudig te integreren in bestaande bestandsservers en Active Directory om een uniforme bestandsuitwisselingservaring te bieden.
Bij het op afstand benaderen van bestanden verwachten gebruikers eenvoudig toegang te hebben tot hun bestaande home drives en afdelingsshares via een standaard toegewezen drive die volledige ondersteuning biedt voor bestandsvergrendeling, Office en andere applicaties. STFP is nooit ontworpen voor bestandsdeling of samenwerking.
SFTP-poort versus HTTP/s
HTTP poort 443 is een bijgewerkt protocol dat in wezen de bugs in SFTP verhelpt die het onhandig maakten om te gebruiken voor veel kleine overdrachten.
SFTP maakt gebruik van een stateful control-verbinding die een actuele werkdirectory bijhoudt. Voor elke overdracht is een secundaire verbinding nodig via welke de daadwerkelijke gegevens worden overgedragen.
In de "passieve" modus is deze extra verbinding van client naar server, terwijl in de standaard "actieve" modus deze verbinding van server naar client is. Deze SFTP-poortwijziging in de actieve modus en willekeurige poortnummers voor alle overdrachten, is de reden waarom firewalls en NAT-gateways het zo moeilijk hebben met SFTP.
Het opzetten van een SFTP-besturingsverbinding kan vrij traag zijn in vergelijking met HTTP vanwege de vertragingen bij het verzenden van alle vereiste opdrachten tijdens het wachten op een antwoord, dus meestal wordt de verbinding open gehouden voor meerdere bestandsoverdrachten in plaats van te laten vallen en opnieuw -elke keer vastgesteld.
HTTP in vergelijking is staatloos en multiplext controle en gegevens via een enkele verbinding van client naar server op bekende poortnummers, die gemakkelijk door NAT-gateways gaan en eenvoudig door firewalls kunnen worden beheerd en gescand op beveiligingsproblemen.
Waarom zou SFTP tekortschieten als een volledig veilige oplossing voor bestandsoverdracht, nu het aantal bestandsoverdrachten toeneemt?
Naarmate het volume van bestandsoverdrachten groeit, worden de beperkingen van SFTP als complete bestandsoverdrachtoplossing duidelijk. De toenemende vraag naar het onboarden van meer partners, het schalen van infrastructuur en het oplossen van technische problemen kan de mogelijkheden van SFTP tot het uiterste drijven, wat IT-teams mogelijk overweldigt.
Bovendien kan de behoefte aan strengere beveiligingsmaatregelen, strikte controle over bestandstransacties en robuust inzicht om te voldoen aan beveiligings- en governance-normen, groter zijn dan wat SFTP alleen kan bieden.
Om deze uitdagingen effectief aan te pakken, kunnen organisaties ontdekken dat managed file transfer (MFT)-oplossingen een uitgebreidere aanpak bieden. Het gebruik van een cloudgebaseerde service zoals Thru, die verschillende protocollen zoals SFTP en andere gebruikt, kan verbeterde end-to-end beveiligingsmaatregelen, nauwkeurige trackingmechanismen, gedetailleerde logs en langetermijnretentie-instellingen bieden.
Bovendien kunnen MFT-oplossingen zoals Thru een hogere beschikbaarheid bieden, zodat bestandsoverdrachten soepel blijven verlopen, zelfs als de volumes blijven toenemen.
Hoe verifieert een SFTP-server zich bij een client?
Om te authenticeren met een client, initieert een SFTP-server een three-way TCP handshake om een verbinding tot stand te brengen. Dit proces zorgt ervoor dat de server en client beide toegang hebben tot de juiste poort (meestal 22) in de transportlaag.
Na deze verificatie gebruikt de server SSH-sleutelpaarauthenticatie om de identiteit van de client te valideren. Het SSH-sleutelpaar bestaat uit een openbare sleutel (gedeeld tussen de twee partijen) en een privésleutel (alleen bekend bij de geautoriseerde client). Zodra de SSH-authenticatie succesvol is voltooid, vindt de bestandsoverdracht plaats via een gecodeerd kanaal, waarbij gegevens in afzonderlijke pakketten zijn verpakt.
Deze pakketten worden verzonden en aan de ontvangende kant opnieuw samengevoegd om het originele bestand veilig te reconstrueren.
SFTP-poort alternatief
Het SFTP-protocol bestaat al sinds 1980 als een mechanisme voor het overzetten van bestanden. Ondernemingen zullen terecht voorzichtig blijven bij het toestaan of overwegen van de ondersteuningskosten van directe SFTP-poorttoegang tot interne bronnen van externe netwerken via het FTP/SFTP-protocol.
In de tussentijd converteert MyWorkDrive al op Windows gebaseerde bestandsshares naar veilige bestandsshares die overal veilig toegankelijk is met behulp van TCP https/SSL-poort 443 via sterk versleutelde RSA 4096- en TLS 1.2 FIPS-compatibele protocollen zonder de beveiligings- of trainingsproblemen van SFTP.
Het MyWorkDrive SFTP-poortalternatief ondersteunt externe medewerkers met onze veilige op webbrowsers gebaseerde toegang, Windows Mapped Drive en mobiele clients.
Hulp nodig bij het plannen van uw SFTP-alternatief? Boek een gesprek en we helpen u graag bij het plannen van uw implementatie.
Gevolgtrekking
Concluderend is SFTP een veilig bestandsoverdrachtprotocol dat gebruikmaakt van openbare sleutelcryptografie om data-in-motion-encryptie, authenticatie, digitale ondertekening en data-integriteitsmechanismen mogelijk te maken. Het begrijpen van SFTP-poortbeheer en serverconfiguratie is essentieel voor veilige bestandsoverdrachten.
Door de best practices voor SFTP-gebruik te volgen, waaronder het vaststellen van consistente naamgevingsconventies en mapstructuren, het optimaliseren van de bestandsoverdrachtprestaties en het bewaken en loggen van alle SFTP-activiteiten, kunnen organisaties de beveiliging en integriteit van hun gegevens waarborgen.
Een goed beheer van het beveiligde bestandsoverdrachtprotocol en een zorgvuldige configuratie van de SFTP-server kunnen organisaties helpen betrouwbare en veilige bestandsoverdrachten te realiseren, hun gegevens te beschermen tegen ongeautoriseerde toegang en te zorgen voor naleving van beveiligingsnormen.
Dan Gordon
Daniel, oprichter van MyWorkDrive.com, heeft sinds 1992 verschillende functies op het gebied van technologiebeheer vervuld bij ondernemingen, de overheid en het onderwijs in de baai van San Francisco. Daniel is gecertificeerd in Microsoft Technologies en schrijft over informatietechnologie, beveiliging en strategie en is bekroond met de Amerikaanse Patent #9985930 in netwerken met externe toegang
