Alternativas de porta SFTP para acesso remoto Compartilhamento de arquivos Acesso remoto
SFTP, que muitas vezes é confundido com uma abreviatura de “Secure File Transfer Protocol”, representa verdadeiramente o SSH File Transfer Protocol. SFTP foi desenvolvido nos primórdios da internet e é detalhado neste Especificação SFTP RFC.
O protocolo SFTP era conhecido originalmente como FTP simples (File Transfer Protocol). O protocolo FTP suporta transferência de arquivos pela porta TCP 21 com a porta TCP 22 usada para SFTP e a porta 990 usada para criptografia implícita TLS/SSL.
SFTP é um protocolo básico de transferência de arquivos e, embora possa ser bastante rápido devido à sua simplicidade, recursos adicionais como compartilhamento de arquivos, colaboração, autenticação e logon único não são definidos para o protocolo.
Com o tempo, o protocolo FTP foi atualizado para adicionar criptografia (SFTP), suportar criptografia TLS/SSL e melhorar problemas de firewall/segurança – por exemplo RFC 1579 (Fevereiro de 1994) habilita FTP Amigável para Firewall (modo passivo), RFC 2228 (Junho de 1997) propõe extensões de segurança, RFC 2428 (Setembro de 1998) adiciona suporte para IPv6 e define um novo tipo de modo passivo.[8].
Introdução
Secure File Transfer Protocol (SFTP) é um protocolo de rede que permite transferências de arquivos seguras e criptografadas entre um cliente e um servidor. Ele foi projetado para fornecer uma alternativa segura ao File Transfer Protocol (FTP) tradicional ao incorporar Secure Shell (SSH) para autenticação e criptografia de dados.
Neste artigo, vamos nos aprofundar no mundo do SFTP, explorando seus conceitos básicos, gerenciamento de portas, configuração de servidores e muito mais.
Entender o protocolo de transferência segura de arquivos é crucial para garantir a segurança e a integridade dos seus dados durante as transferências de arquivos. Quer você esteja lidando com informações confidenciais ou simplesmente precise de um método confiável para transferir arquivos, o SFTP oferece uma solução robusta que aproveita o poder do secure shell para proteger seus dados.
Compreendendo SFTP
SFTP é uma extensão do Secure Shell (SSH) e foi introduzido no SSH v2 ou SSH-2. É um método para transferir arquivos por SSH, e todo servidor SSH é tecnicamente um servidor SFTP também.
O SFTP usa o mesmo número de porta que o SSH, que é 22 por padrão. Isso o torna uma alternativa popular ao File Transfer Protocol (FTP) padrão devido aos seus recursos de segurança aprimorados. Esses recursos incluem criptografia de chave pública, que permite criptografia de dados em movimento, autenticação, assinatura digital e mecanismos de integridade de dados.
Ao usar um servidor SFTP, as organizações podem garantir que suas transferências de arquivos sejam seguras e que seus dados permaneçam protegidos contra acesso não autorizado. A integração do secure shell no processo de transferência de arquivos adiciona uma camada extra de segurança, tornando o SFTP uma escolha preferencial para transferências seguras de arquivos.
Conteúdo
- Introdução
- Compreendendo SFTP
- Problemas de passagem de firewall e NAT SFTP
- Gestão Portuária SFTP
- Configuração do servidor SFTP
- Acesso remoto à porta padrão SFTP
- Porta SFTP vs HTTP/s
- Por que o SFTP pode não ser uma solução completa e segura para transferência de arquivos à medida que os volumes de transferência de arquivos aumentam?
- Como um servidor SFTP se autentica com um cliente?
- Alternativa de porta SFTP
- Conclusão
Conteúdo
- Introdução
- Compreendendo SFTP
- Problemas de passagem de firewall e NAT SFTP
- Gestão Portuária SFTP
- Configuração do servidor SFTP
- Acesso remoto à porta padrão SFTP
- Porta SFTP vs HTTP/s
- Por que o SFTP pode não ser uma solução completa e segura para transferência de arquivos à medida que os volumes de transferência de arquivos aumentam?
- Como um servidor SFTP se autentica com um cliente?
- Alternativa de porta SFTP
- Conclusão
Problemas de passagem de firewall e NAT SFTP
Normalmente, os provedores de serviços de internet bloqueiam portas SFTP para evitar problemas de segurança e malware, impedindo o acesso a arquivos por portas SFTP. O SFTP requer que as portas 22 ou 990 estejam abertas, o que é propenso a malware, incluindo criminosos infames como Wannacry, Sasser, Nimda, Petya/NotPetya e mais.
Se as portas STFP estiverem abertas, um computador infectado pesquisará sua rede Windows em busca de compartilhamentos de servidor que aceitem tráfego nas portas TCP 22 ou 990, indicando que o sistema está configurado para executar SFTP. Enquanto os modernos Web Application Firewalls (WAFS) podem ser ajustados para monitorar o tráfego HTTP, o tráfego SFTP não é tão facilmente monitorado.
O SFTP transfere dados respondendo do servidor para o cliente após o envio de um comando PORT. Este é um problema para firewalls que não permitem conexões da Internet de entrada para hosts internos. Este é um problema específico com o Microsoft IIS, que responde com uma porta aleatória.
As duas abordagens para resolver esse problema são configurar o servidor SFTP para usar o comando PASV ou usar um gateway de nível de aplicativo para alternar os valores de porta.
Gestão Portuária SFTP
O SFTP usa a porta TCP 22 como seu número de porta padrão. No entanto, é possível atribuir um número de porta diferente para o serviço SFTP. Alterar o número de porta SFTP padrão pode ser feito por motivos de segurança ou para reduzir a complexidade da manutenção da rede. Por exemplo, usar uma porta não padrão pode ajudar a obscurecer o serviço de invasores em potencial que procuram portas padrão.
No entanto, é essencial observar que alterar o número da porta requer a atualização de firewalls, clientes e servidores, o que pode adicionar complexidade à manutenção da rede. O gerenciamento adequado de portas é crucial para manter a segurança e a eficiência de suas conexões SFTP.
Ao selecionar e gerenciar cuidadosamente os números de porta, as organizações podem melhorar sua postura de segurança e, ao mesmo tempo, garantir transferências de arquivos tranquilas e confiáveis.
Configuração do servidor SFTP
Configurar um servidor SFTP envolve várias etapas, incluindo a configuração do arquivo de configuração do servidor SSH, sshd_config. Este arquivo contém configurações para o servidor SSH, incluindo o número da porta, métodos de autenticação e algoritmos de criptografia.
Para alterar a porta SFTP no Windows, o arquivo sshd_config precisa ser modificado, e o serviço SSH precisa ser reiniciado. No Linux, o arquivo sshd_config também precisa ser modificado, e o serviço SSH precisa ser reiniciado. A configuração adequada do servidor SFTP é essencial para garantir transferências de arquivos seguras e eficientes.
Ao configurar cuidadosamente o arquivo de configuração do servidor SSH, as organizações podem personalizar seu servidor SFTP para atender aos seus requisitos específicos de segurança e operacionais.
Isso inclui selecionar o número de porta apropriado, habilitar métodos de autenticação fortes e escolher algoritmos de criptografia robustos para proteger os dados durante a transferência.
Acesso remoto à porta padrão SFTP
Para facilitar o acesso remoto a arquivos, as empresas frequentemente concedem aos usuários acesso usando servidores SFTP. Isso fornece algum nível de acesso remoto, no entanto, os custos de suporte de treinamento de usuários e implantação de software cliente SFTP são extensos.
Além disso, o SFTP não é facilmente integrado aos servidores de arquivos existentes e ao Active Directory para apresentar uma experiência unificada de compartilhamento de arquivos.
Ao acessar arquivos remotamente, o usuário espera acessar facilmente seus drives home existentes e compartilhamentos de departamentos por meio de um drive mapeado padrão que suporta totalmente bloqueio de arquivos, Office e outros aplicativos. O STFP nunca foi projetado para compartilhamento ou colaboração de arquivos.
Porta SFTP vs HTTP/s
HTTP a porta 443 é um protocolo atualizado que essencialmente corrige os bugs no SFTP que o tornavam inconveniente de usar para muitas pequenas transferências.
O SFTP usa uma conexão de controle com estado que mantém um diretório de trabalho atual e cada transferência requer uma conexão secundária por meio da qual os dados reais são transferidos.
No modo “passivo”, essa conexão adicional é do cliente para o servidor, enquanto no modo “ativo” padrão, essa conexão é do servidor para o cliente. Essa mudança de porta SFTP quando em modo ativo, e números de porta aleatórios para todas as transferências, é o motivo pelo qual firewalls e gateways NAT têm tanta dificuldade com SFTP.
A configuração de uma conexão de controle SFTP pode ser bastante lenta em comparação com HTTP devido aos atrasos de ida e volta do envio de todos os comandos necessários enquanto aguarda uma resposta, portanto, normalmente a conexão é mantida aberta para várias transferências de arquivos, em vez de descartada e reativada -estabelecido a cada vez.
HTTP em comparação é apátrida e multiplexes controle e dados em uma única conexão do cliente ao servidor em números de porta conhecidos, que passam facilmente pelos gateways NAT e são simples para os firewalls gerenciarem e verificarem vulnerabilidades de segurança.
Por que o SFTP pode não ser uma solução completa e segura para transferência de arquivos à medida que os volumes de transferência de arquivos aumentam?
À medida que o volume de transferências de arquivos cresce, as limitações do SFTP como uma solução completa de transferência de arquivos se tornam aparentes. As crescentes demandas por integração de mais parceiros, dimensionamento de infraestrutura e resolução de problemas técnicos podem levar as capacidades do SFTP ao limite, potencialmente sobrecarregando as equipes de TI.
Além disso, a necessidade de medidas de segurança reforçadas, controle rigoroso sobre transações de arquivos e visibilidade robusta para cumprir com padrões de segurança e governança pode exceder o que o SFTP sozinho pode oferecer.
Para lidar com esses desafios de forma eficaz, as organizações podem descobrir que as soluções de transferência gerenciada de arquivos (MFT) oferecem uma abordagem mais abrangente. Utilizar um serviço baseado em nuvem como o Thru, que aproveita vários protocolos como SFTP entre outros, pode fornecer medidas de segurança ponta a ponta aprimoradas, mecanismos de rastreamento precisos, logs detalhados e configurações de retenção de longo prazo.
Além disso, soluções MFT como o Thru podem oferecer maior disponibilidade para garantir que as operações de transferência de arquivos permaneçam perfeitas, mesmo que os volumes continuem aumentando.
Como um servidor SFTP se autentica com um cliente?
Para autenticar com um cliente, um servidor SFTP inicia um handshake TCP de três vias para estabelecer uma conexão. Esse processo garante que o servidor e o cliente tenham acesso à porta correta (geralmente 22) na camada de transporte.
Após essa verificação, o servidor usa a autenticação de par de chaves SSH para validar a identidade do cliente. O par de chaves SSH consiste em uma chave pública (compartilhada entre as duas partes) e uma chave privada (conhecida apenas pelo cliente autorizado). Uma vez que a autenticação SSH é concluída com sucesso, a transferência de arquivo ocorre por um canal criptografado, com dados empacotados em pacotes individuais.
Esses pacotes são transmitidos e remontados no destinatário para reconstruir o arquivo original com segurança.
Alternativa de porta SFTP
O protocolo SFTP existe desde 1980 como um mecanismo para transferência de arquivos. As empresas permanecerão cautelosas ao permitir ou considerar os custos de suporte do acesso direto à porta SFTP a qualquer recurso interno de redes externas sobre o protocolo FTP/SFTP.
Enquanto isso, o MyWorkDrive já converte compartilhamentos de arquivos baseados em Windows em compartilhamentos de arquivos que pode ser acessado com segurança em qualquer lugar usando a porta TCP https/SSL 443 em protocolos compatíveis com RSA 4096 e TLS 1.2 FIPS altamente criptografados sem as preocupações de segurança ou treinamento do SFTP.
A porta alternativa SFTP do MyWorkDrive oferece suporte a trabalhadores remotos com nosso acesso seguro baseado em navegador da Web, Windows Mapped Drive e clientes móveis.
Precisa de ajuda para planejar sua alternativa SFTP? Agende uma ligação e teremos prazer em ajudá-lo a planejar sua implantação.
Conclusão
Concluindo, SFTP é um protocolo seguro de transferência de arquivos que usa criptografia de chave pública para habilitar criptografia de dados em movimento, autenticação, assinatura digital e mecanismos de integridade de dados. Entender o gerenciamento de portas SFTP e a configuração do servidor é essencial para transferências seguras de arquivos.
Ao seguir as práticas recomendadas para uso de SFTP, incluindo o estabelecimento de convenções de nomenclatura e estruturas de pastas consistentes, a otimização do desempenho da transferência de arquivos e o monitoramento e registro de todas as atividades de SFTP, as organizações podem garantir a segurança e a integridade de seus dados.
O gerenciamento adequado do protocolo de transferência segura de arquivos, juntamente com a configuração cuidadosa do servidor SFTP, pode ajudar as organizações a obter transferências de arquivos confiáveis e seguras, protegendo seus dados contra acesso não autorizado e garantindo a conformidade com os padrões de segurança.
Dan Gordon
Daniel, fundador do MyWorkDrive.com, trabalhou em várias funções de gerenciamento de tecnologia atendendo empresas, governo e educação na área da baía de São Francisco desde 1992. Daniel é certificado em Microsoft Technologies e escreve sobre tecnologia da informação, segurança e estratégia e foi premiado Patente #9985930 em Rede de Acesso Remoto
