SFTP-poortalternatieven

SFTP is het bijgewerkte protocol ter ondersteuning van Secure File Transfer Protocol (SFTP). SFTP is ontwikkeld in de begindagen van het internet en wordt hierin beschreven SFTP RFC-specificatie. Het SFTP-protocol was oorspronkelijk bekend als Simple FTP (File Transfer Protocol). Het FTP-protocol ondersteunt bestandsoverdracht via TCP-poort 21 waarbij TCP-poort 22 wordt gebruikt voor SFTP en poort 990 wordt gebruikt voor TLS/SSL impliciete codering. SFTP is een basisprotocol voor bestandsoverdracht en hoewel het door zijn eenvoud behoorlijk snel kan zijn, zijn aanvullende functies zoals het delen van bestanden, samenwerking, authenticatie en eenmalige aanmelding niet gedefinieerd voor het protocol.

In de loop van de tijd is het FTP-protocol bijgewerkt om codering (SFTP) toe te voegen, TLS/SSL-codering te ondersteunen en firewall-/beveiligingsproblemen te verbeteren, bijvoorbeeld RFC 1579 (februari 1994) activeert Firewall-vriendelijke FTP (passieve modus), RFC 2228 (juni 1997) stelt beveiligingsuitbreidingen voor, RFC 2428 (september 1998) voegt ondersteuning toe voor: IPv6 en definieert een nieuw type passieve modus.^[8].

Problemen met het doorlopen van SFTP NAT en firewall

Doorgaans blokkeren internetproviders SFTP-poorten om beveiligingsproblemen en malware te voorkomen door bestandstoegang via SFTP-poorten te voorkomen. SFTP Vereist dat poort 22 of 990 open is, wat vatbaar is voor malware, waaronder beruchte overtreders zoals Wannacry, Sasser, Nimda, Petya/NotPetya en meer. Als STFP-poorten open zijn, zoekt een geïnfecteerde computer in zijn Windows-netwerk naar servershares die verkeer op TCP-poort 22 of 990 accepteren, wat aangeeft dat het systeem is geconfigureerd om SFTP uit te voeren. Terwijl moderne Web Application Firewalls (WAFS) kunnen worden afgestemd om HTTP-verkeer te monitoren, is SFTP-verkeer niet zo eenvoudig te monitoren.

SFTP draagt gegevens over door te reageren van de server naar de client nadat een PORT-opdracht is verzonden. Dit is een probleem voor firewalls die geen inkomende verbindingen vanaf internet naar interne hosts toestaan. Dit is een specifiek probleem met Microsoft IIS dat reageert met een willekeurige poort.

De twee benaderingen om dit probleem op te lossen zijn om ofwel de SFTP-server in te stellen om de PASV-opdracht te gebruiken of om een gateway op toepassingsniveau te gebruiken om de poortwaarden af te wisselen.

Externe toegang via SFTP-poort

Om toegang op afstand tot bestanden te vergemakkelijken, hebben bedrijven gebruikers vaak toegang verleend met behulp van SFTP-servers. Dit biedt een zekere mate van externe toegang, maar de ondersteuningskosten voor het trainen van gebruikers en het implementeren van SFTP-clientsoftware zijn hoog. Bovendien is SFTP niet eenvoudig te integreren in bestaande bestandsservers en Active Directory om een uniforme ervaring voor het delen van bestanden te bieden. Wanneer gebruikers op afstand toegang krijgen tot bestanden, verwachten ze gemakkelijk toegang te krijgen tot hun bestaande thuisschijven en afdelingsshares via een standaard toegewezen schijf die volledige ondersteuning biedt voor bestandsvergrendeling, Office en andere toepassingen. STFP is nooit ontworpen voor het delen van bestanden of samenwerking.

SFTP-poort versus HTTP/s

HTTP poort 443 is een bijgewerkt protocol dat in wezen de bugs in SFTP verhelpt die het onhandig maakten om te gebruiken voor veel kleine overdrachten.

SFTP maakt gebruik van een stateful control-verbinding die een actuele werkdirectory bijhoudt en voor elke overdracht is een secundaire verbinding vereist waarmee de feitelijke gegevens worden overgedragen. In de "passieve" modus is deze extra verbinding van client naar server, terwijl in de standaard "actieve" modus deze verbinding van server naar client is. Deze wijziging van de SFTP-poort in de actieve modus en willekeurige poortnummers voor alle overdrachten is de reden waarom firewalls en NAT-gateways zo'n moeite hebben met SFTP.

Het opzetten van een SFTP-besturingsverbinding kan vrij traag zijn in vergelijking met HTTP vanwege de vertragingen bij het verzenden van alle vereiste opdrachten tijdens het wachten op een antwoord, dus meestal wordt de verbinding open gehouden voor meerdere bestandsoverdrachten in plaats van te laten vallen en opnieuw -elke keer vastgesteld.

HTTP in vergelijking is staatloos en multiplext controle en gegevens via een enkele verbinding van client naar server op bekende poortnummers, die gemakkelijk door NAT-gateways gaan en eenvoudig door firewalls kunnen worden beheerd en gescand op beveiligingsproblemen.

SFTP-poort alternatief

Het SFTP-protocol bestaat al sinds 1980 als een mechanisme voor het overzetten van bestanden. Ondernemingen zullen terecht voorzichtig blijven bij het toestaan of overwegen van de ondersteuningskosten van directe SFTP-poorttoegang tot interne bronnen van externe netwerken via het FTP/SFTP-protocol.

In de tussentijd converteert MyWorkDrive al op Windows gebaseerde bestandsshares naar veilige bestandsshares die overal veilig toegankelijk is met behulp van TCP https/SSL-poort 443 via sterk versleutelde RSA 4096- en TLS 1.2 FIPS-compatibele protocollen zonder de beveiligings- of trainingsproblemen van SFTP.

MyWorkDrive SFTP-poortalternatief ondersteunt externe medewerkers met onze veilige op webbrowser gebaseerde toegang, Windows Mapped Drive en mobiele clients.

Hulp nodig bij het plannen van uw SFTP-alternatief? Boek een gesprek en we helpen u graag bij het plannen van uw implementatie.