SFTP-poortalternatieven

SFTP is het bijgewerkte protocol ter ondersteuning van Secure File Transfer Protocol (SFTP). SFTP is ontwikkeld in de begindagen van het internet en wordt hierin beschreven SFTP RFC-specificatie. Het SFTP-protocol stond oorspronkelijk bekend als Simple FTP (File Transfer Protocol). Het FTP-protocol ondersteunt bestandsoverdracht via TCP-poort 21, waarbij TCP-poort 22 wordt gebruikt voor SFTP en poort 990 wordt gebruikt voor TLS/SSL Impliciete codering. SFTP is een basisprotocol voor bestandsoverdracht en hoewel het door zijn eenvoud behoorlijk snel kan zijn, zijn extra functies zoals het delen van bestanden, samenwerking, authenticatie en eenmalige aanmelding niet gedefinieerd voor het protocol.

In de loop van de tijd is het FTP-protocol bijgewerkt om codering (SFTP) toe te voegen, TLS/SSL-codering te ondersteunen en firewall-/beveiligingsproblemen te verbeteren, bijvoorbeeld RFC 1579 (februari 1994) activeert Firewall-vriendelijke FTP (passieve modus), RFC 2228 (juni 1997) stelt beveiligingsuitbreidingen voor, RFC 2428 (september 1998) voegt ondersteuning toe voor: IPv6 en definieert een nieuw type passieve modus.[8].

SFTP

Problemen met het doorlopen van SFTP NAT en firewall

Doorgaans blokkeren internetserviceproviders SFTP-poorten om problemen met beveiliging en malware te voorkomen door bestandstoegang via SFTP-poorten te voorkomen. SFTP Vereist dat poort 22 of 990 open is, wat gevoelig is voor malware, waaronder beruchte daders zoals Wannacry, Sasser, Nimda, Petya/NotPetya en meer. Als STFP-poorten open zijn, zoekt een geïnfecteerde computer in zijn Windows-netwerk naar servershares die verkeer op TCP-poorten 22 of 990 accepteren, wat aangeeft dat het systeem is geconfigureerd om SFTP uit te voeren. Hoewel moderne Web Application Firewalls (WAFS) kunnen worden afgestemd om HTTP-verkeer te controleren, is SFTP-verkeer niet zo gemakkelijk te controleren.

SFTP draagt gegevens over door te reageren van de server naar de client nadat een PORT-opdracht is verzonden. Dit is een probleem voor firewalls die geen verbindingen van internet naar interne hosts toestaan. Dit is een specifiek probleem met Microsoft IIS dat reageert met een willekeurige poort.

De twee benaderingen om dit probleem op te lossen zijn om ofwel de SFTP-server in te stellen om de PASV-opdracht te gebruiken of om een gateway op toepassingsniveau te gebruiken om de poortwaarden af te wisselen.

Externe toegang via SFTP-poort

Om externe toegang tot bestanden te vergemakkelijken, hebben bedrijven gebruikers vaak toegang verleend met behulp van SFTP-servers. Dit biedt een zekere mate van externe toegang, maar de ondersteuningskosten voor het trainen van gebruikers en het implementeren van SFTP-clientsoftware zijn hoog. Bovendien kan SFTP niet gemakkelijk worden geïntegreerd in bestaande bestandsservers en Active Directory om een uniforme ervaring voor het delen van bestanden te bieden. Bij het op afstand openen van bestanden verwachten gebruikers dat ze gemakkelijk toegang hebben tot hun bestaande thuisschijven en afdelingsshares via een standaard toegewezen schijf die bestandsvergrendeling, Office en andere toepassingen volledig ondersteunt. STFP is nooit ontworpen voor het delen van bestanden of samenwerken.

SFTP-poort versus HTTP/s

HTTP poort 443 is een bijgewerkt protocol dat in wezen de bugs in SFTP verhelpt die het onhandig maakten om te gebruiken voor veel kleine overdrachten.

SFTP maakt gebruik van een stateful control-verbinding die een actuele werkdirectory bijhoudt en voor elke overdracht is een secundaire verbinding vereist waarmee de feitelijke gegevens worden overgedragen. In de "passieve" modus is deze extra verbinding van client naar server, terwijl in de standaard "actieve" modus deze verbinding van server naar client is. Deze wijziging van de SFTP-poort in de actieve modus en willekeurige poortnummers voor alle overdrachten is de reden waarom firewalls en NAT-gateways zo'n moeite hebben met SFTP.

Het opzetten van een SFTP-besturingsverbinding kan vrij traag zijn in vergelijking met HTTP vanwege de vertragingen bij het verzenden van alle vereiste opdrachten tijdens het wachten op een antwoord, dus meestal wordt de verbinding open gehouden voor meerdere bestandsoverdrachten in plaats van te laten vallen en opnieuw -elke keer vastgesteld.

HTTP in vergelijking is staatloos en multiplext controle en gegevens via een enkele verbinding van client naar server op bekende poortnummers, die gemakkelijk door NAT-gateways gaan en eenvoudig door firewalls kunnen worden beheerd en gescand op beveiligingsproblemen.

SFTP-poort alternatief

Het SFTP-protocol bestaat al sinds 1980 als een mechanisme voor het overzetten van bestanden. Ondernemingen zullen terecht voorzichtig blijven bij het toestaan of overwegen van de ondersteuningskosten van directe SFTP-poorttoegang tot interne bronnen van externe netwerken via het FTP/SFTP-protocol.

In de tussentijd converteert MyWorkDrive al op Windows gebaseerde bestandsshares naar veilige bestandsshares die overal veilig toegankelijk is met behulp van TCP https/SSL-poort 443 via sterk versleutelde RSA 4096- en TLS 1.2 FIPS-compatibele protocollen zonder de beveiligings- of trainingsproblemen van SFTP.

MyWorkDrive SFTP-poortalternatief ondersteunt externe werknemers met onze beveiligde op Web Browser gebaseerde toegang, Windows Mapped Drive en mobiele clients.

Hulp nodig bij het plannen van uw SFTP-alternatief? Boek een gesprek en we helpen u graag bij het plannen van uw implementatie.

Daniel, oprichter van MyWorkDrive.com, heeft sinds 1992 verschillende functies op het gebied van technologiebeheer vervuld bij ondernemingen, de overheid en het onderwijs in de baai van San Francisco. Daniel is gecertificeerd in Microsoft Technologies en schrijft over informatietechnologie, beveiliging en strategie en is bekroond met de Amerikaanse Patent #9985930 in netwerken met externe toegang