SFTP-poortalternatieven

SFTP, dat vaak wordt aangezien als een afkorting voor ‘Secure File Transfer Protocol’, vertegenwoordigt in werkelijkheid het SSH File Transfer Protocol. SFTP is ontwikkeld in de begindagen van het internet en wordt hierin beschreven SFTP RFC-specificatie. Het SFTP-protocol stond oorspronkelijk bekend als Simple FTP (File Transfer Protocol). Het FTP-protocol ondersteunt bestandsoverdracht via TCP-poort 21, waarbij TCP-poort 22 wordt gebruikt voor SFTP en poort 990 wordt gebruikt voor TLS/SSL Impliciete codering. SFTP is een basisprotocol voor bestandsoverdracht en hoewel het vanwege zijn eenvoud behoorlijk snel kan zijn, zijn aanvullende functies zoals het delen van bestanden, samenwerking, authenticatie en eenmalige aanmelding niet gedefinieerd voor het protocol.

In de loop van de tijd is het FTP-protocol bijgewerkt om codering (SFTP) toe te voegen, TLS/SSL-codering te ondersteunen en firewall-/beveiligingsproblemen te verbeteren, bijvoorbeeld RFC 1579 (februari 1994) activeert Firewall-vriendelijke FTP (passieve modus), RFC 2228 (juni 1997) stelt beveiligingsuitbreidingen voor, RFC 2428 (september 1998) voegt ondersteuning toe voor: IPv6 en definieert een nieuw type passieve modus.[8].

SFTP

Problemen met het doorlopen van SFTP NAT en firewall

Doorgaans blokkeren internetproviders SFTP-poorten om problemen met beveiliging en malware te voorkomen door bestandstoegang via SFTP-poorten te voorkomen. SFTP vereist dat poort 22 of 990 open zijn, wat gevoelig is voor malware, waaronder beruchte overtreders zoals Wannacry, Sasser, Nimda, Petya/NotPetya en meer. Als STFP-poorten open zijn, zoekt een geïnfecteerde computer in zijn Windows-netwerk naar servershares die verkeer op TCP-poorten 22 of 990 accepteren, wat aangeeft dat het systeem is geconfigureerd om SFTP uit te voeren. Terwijl moderne Web Application Firewalls (WAFS) kunnen worden afgestemd om HTTP-verkeer te monitoren, kan SFTP-verkeer niet zo eenvoudig worden gecontroleerd.

SFTP draagt gegevens over door te reageren van de server naar de client nadat een PORT-opdracht is verzonden. Dit is een probleem voor firewalls die geen verbindingen van internet naar interne hosts toestaan. Dit is een specifiek probleem met Microsoft IIS dat reageert met een willekeurige poort.

De twee benaderingen om dit probleem op te lossen zijn om ofwel de SFTP-server in te stellen om de PASV-opdracht te gebruiken of om een gateway op toepassingsniveau te gebruiken om de poortwaarden af te wisselen.

Externe toegang via SFTP-poort

Om externe toegang tot bestanden te vergemakkelijken, hebben bedrijven gebruikers vaak toegang verleend via SFTP-servers. Dit biedt een zekere mate van toegang op afstand, maar de ondersteuningskosten voor het trainen van gebruikers en het inzetten van SFTP-clientsoftware zijn aanzienlijk. Bovendien kan SFTP niet eenvoudig worden geïntegreerd in bestaande bestandsservers en Active Directory om een uniforme ervaring voor het delen van bestanden te bieden. Wanneer gebruikers op afstand toegang krijgen tot bestanden, verwachten ze eenvoudig toegang te krijgen tot hun bestaande thuisschijven en afdelingsshares via een standaard toegewezen schijf die bestandsvergrendeling, Office en andere toepassingen volledig ondersteunt. STFP is nooit ontworpen voor het delen van bestanden of samenwerking.

SFTP-poort versus HTTP/s

HTTP poort 443 is een bijgewerkt protocol dat in wezen de bugs in SFTP verhelpt die het onhandig maakten om te gebruiken voor veel kleine overdrachten.

SFTP maakt gebruik van een stateful control-verbinding die een actuele werkdirectory bijhoudt en voor elke overdracht is een secundaire verbinding vereist waarmee de feitelijke gegevens worden overgedragen. In de "passieve" modus is deze extra verbinding van client naar server, terwijl in de standaard "actieve" modus deze verbinding van server naar client is. Deze wijziging van de SFTP-poort in de actieve modus en willekeurige poortnummers voor alle overdrachten is de reden waarom firewalls en NAT-gateways zo'n moeite hebben met SFTP.

Het opzetten van een SFTP-besturingsverbinding kan vrij traag zijn in vergelijking met HTTP vanwege de vertragingen bij het verzenden van alle vereiste opdrachten tijdens het wachten op een antwoord, dus meestal wordt de verbinding open gehouden voor meerdere bestandsoverdrachten in plaats van te laten vallen en opnieuw -elke keer vastgesteld.

HTTP in vergelijking is staatloos en multiplext controle en gegevens via een enkele verbinding van client naar server op bekende poortnummers, die gemakkelijk door NAT-gateways gaan en eenvoudig door firewalls kunnen worden beheerd en gescand op beveiligingsproblemen.

Waarom zou SFTP tekort kunnen schieten als complete oplossing voor bestandsoverdracht, omdat de volumes voor bestandsoverdracht toenemen?

Naarmate het aantal bestandsoverdrachten toeneemt, worden de beperkingen van SFTP als complete oplossing voor bestandsoverdracht duidelijk. De toenemende vraag naar het onboarden van meer partners, het schalen van de infrastructuur en het oplossen van technische problemen kan de mogelijkheden van SFTP tot het uiterste drijven, waardoor IT-teams mogelijk worden overweldigd. Bovendien kan de behoefte aan verhoogde beveiligingsmaatregelen, strikte controle over bestandstransacties en robuuste zichtbaarheid om te voldoen aan beveiligings- en bestuursnormen groter zijn dan wat SFTP alleen kan bieden.

Om deze uitdagingen effectief aan te pakken, kunnen organisaties tot de conclusie komen dat oplossingen voor beheerde bestandsoverdracht (MFT) een uitgebreidere aanpak bieden. Het gebruik van een cloudgebaseerde service zoals Thru, die verschillende protocollen zoals SFTP gebruikt, kan verbeterde end-to-end beveiligingsmaatregelen, nauwkeurige trackingmechanismen, gedetailleerde logboeken en instellingen voor langetermijnretentie bieden. Bovendien kunnen MFT-oplossingen zoals Thru een grotere beschikbaarheid bieden om ervoor te zorgen dat de bestandsoverdracht naadloos blijft, zelfs als de volumes blijven toenemen.

Hoe verifieert een SFTP-server zich bij een client?

Om zich bij een client te verifiëren, initieert een SFTP-server een drieweg-TCP-handshake om een verbinding tot stand te brengen. Dit proces zorgt ervoor dat de server en de client beide toegang hebben tot de juiste poort (meestal 22) in de transportlaag. Na deze verificatie gebruikt de server SSH-sleutelpaarverificatie om de identiteit van de client te valideren. Het SSH-sleutelpaar bestaat uit een publieke sleutel (gedeeld tussen de twee partijen) en een private sleutel (alleen bekend bij de geautoriseerde klant). Zodra de SSH-authenticatie succesvol is voltooid, vindt de bestandsoverdracht plaats via een gecodeerd kanaal, waarbij de gegevens in individuele pakketten worden verpakt. Deze pakketten worden verzonden en aan de ontvangende kant opnieuw samengesteld om het originele bestand veilig te reconstrueren.

SFTP-poort alternatief

Het SFTP-protocol bestaat al sinds 1980 als een mechanisme voor het overzetten van bestanden. Ondernemingen zullen terecht voorzichtig blijven bij het toestaan of overwegen van de ondersteuningskosten van directe SFTP-poorttoegang tot interne bronnen van externe netwerken via het FTP/SFTP-protocol.

In de tussentijd converteert MyWorkDrive al op Windows gebaseerde bestandsshares naar veilige bestandsshares die overal veilig toegankelijk is met behulp van TCP https/SSL-poort 443 via sterk versleutelde RSA 4096- en TLS 1.2 FIPS-compatibele protocollen zonder de beveiligings- of trainingsproblemen van SFTP.

MyWorkDrive SFTP-poortalternatief ondersteunt externe werknemers met onze veilige webbrowsergebaseerde toegang, Windows Mapped Drive en mobiele clients.

Hulp nodig bij het plannen van uw SFTP-alternatief? Boek een gesprek en we helpen u graag bij het plannen van uw implementatie.

Daniel, oprichter van MyWorkDrive.com, heeft sinds 1992 verschillende functies op het gebied van technologiebeheer vervuld bij ondernemingen, de overheid en het onderwijs in de baai van San Francisco. Daniel is gecertificeerd in Microsoft Technologies en schrijft over informatietechnologie, beveiliging en strategie en is bekroond met de Amerikaanse Patent #9985930 in netwerken met externe toegang