Avètisman

Jis yon semèn de sa mwen t ap ekri yon redaksyon sou sijè ki endike nan tit la epi mwen te fè fas ak lefèt ke, an n di, pa gen anpil enfòmasyon edikatif sou entènèt la. Sitou sèk reyalite ak enstriksyon konfigirasyon. Se poutèt sa, mwen deside yon ti kras korije tèks la epi poste li kòm yon atik.

ki sa ki FTP

FTP (File Transfer Protocol) se yon pwotokòl pou transfere fichye sou yon rezo. Li se youn nan pwotokòl Ethernet debaz yo. Te parèt an 1971 e okòmansman te travay nan rezo DARPA. Kounye a, tankou HTTP, transfè fichye baze sou yon modèl ki gen yon seri pwotokòl TCP/IP (Transmisyon Kontwòl Pwotokòl/Protokòl Entènèt). Defini nan RFC 959.

Pwotokòl la defini bagay sa yo:

• Ki jan yo pral tcheke erè a?
• Metòd anbalaj done (si yo itilize anbalaj)
• Ki jan aparèy ki voye a endike ke li te fini yon mesaj?
• Ki jan aparèy k ap resevwa a endike ke li resevwa yon mesaj?

Kominikasyon ant kliyan ak sèvè

Ann pran yon gade pi pre nan pwosesis yo ki rive pandan operasyon FTP. Koneksyon an inisyalize pa entèprèt pwotokòl itilizatè a. Echanj la kontwole atravè yon kanal kontwòl nan estanda TELNET la. FTP kòmandman yo te pwodwi pa entèprèt pwotokòl itilizatè a epi yo voye bay sèvè a. Repons sèvè a yo voye tou bay itilizatè a atravè kanal kontwòl la. An jeneral, itilizatè a gen kapasite pou etabli kontak ak entèprèt pwotokòl sèvè a ak pa mwayen lòt pase entèprèt itilizatè a.

Karakteristik prensipal FTP se ke li itilize koneksyon doub. Youn nan yo itilize yo voye kòmandman nan sèvè a epi li rive pa default atravè pò TCP 21, ki ka chanje. Koneksyon kontwòl la egziste osi lontan ke kliyan an kominike ak sèvè a. Chanèl kontwòl la dwe louvri lè transfere done ant machin yo. Si li fèmen, transmisyon done sispann. Atravè dezyèm lan, transfè done dirèk rive. Li louvri chak fwa yon transfè fichye fèt ant kliyan an ak sèvè. Si yo transfere plizyè fichye an menm tan, chak nan yo louvri pwòp kanal transmisyon li yo.

FTP ka opere nan mòd aktif oswa pasif, chwa a ki detèmine ki jan koneksyon an etabli. Nan mòd aktif, kliyan an kreye yon koneksyon kontwòl TCP ak sèvè a epi voye adrès IP li yo ak yon nimewo pò kliyan abitrè nan sèvè a, ak Lè sa a, tann pou sèvè a kòmanse yon koneksyon TCP ak adrès sa a ak nimewo pò. Nan ka kliyan an dèyè yon firewall epi li pa ka aksepte yon koneksyon TCP fèk ap rantre, mòd pasif ka itilize. Nan mòd sa a, kliyan an sèvi ak koule kontwòl la voye yon kòmand PASV nan sèvè a, ak Lè sa a, resevwa adrès IP li yo ak nimewo pò soti nan sèvè a, ki kliyan an Lè sa a, itilize yo louvri yon koule done ki soti nan pò abitrè li yo.

Li posib ke done yo ka transfere nan yon twazyèm machin. Nan ka sa a, itilizatè a òganize yon kanal kontwòl ak de serveurs epi li òganize yon kanal done dirèk ant yo. Kòmandman kontwòl yo ale nan itilizatè a, ak done ale dirèkteman ant serveurs yo.

Lè w ap transmèt done sou yon rezo, yo ka itilize kat reprezantasyon done:

• ASCII - itilize pou tèks. Done yo, si sa nesesè, konvèti soti nan reprezantasyon karaktè sou lame ki voye a nan "uit-bit ASCII" anvan transmisyon, epi (ankò, si sa nesesè) nan reprezantasyon karaktè sou lame k ap resevwa a. An patikilye, karaktè newline yo chanje. Kòm yon rezilta, mòd sa a pa apwopriye pou dosye ki gen plis pase tèks klè.
• Mòd binè - aparèy ki voye a voye chak dosye byte pa byte, ak moun k ap resevwa a estoke kouran an nan byte lè li resevwa. Yo rekòmande sipò pou mòd sa a pou tout aplikasyon FTP.
• EBCDIC - yo itilize pou transfere tèks klè ant hôtes nan kodaj EBCDIC. Sinon, mòd sa a sanble ak mòd ASCII.
• Mòd lokal - pèmèt de òdinatè ki gen paramèt ki idantik voye done nan fòma pwòp yo san yo pa konvèti nan ASCII.

Transfè done ka fèt nan nenpòt nan twa mòd:

• Mòd kouran - done yo voye kòm yon kouran kontinyèl, libere FTP soti nan fè nenpòt ki pwosesis. Olye de sa, tout pwosesis fè pa TCP. Endikatè fen fichye a pa nesesè eksepte pou separe done yo nan dosye yo.
• Mòd blòk - FTP kraze done yo an plizyè blòk (blòk header, kantite bytes, jaden done) ak Lè sa a, transmèt yo nan TCP.
• Mòd konpresyon - done yo konprese lè l sèvi avèk yon sèl algorithm (anjeneral pa kode longè kouri).

Sèvè FTP se yon sèvè ki bay kapasite pou itilize Pwotokòl Transfè File. Li gen sèten karakteristik ki fè distenksyon ant li ak sèvè entènèt konvansyonèl yo:

• Otantifikasyon itilizatè obligatwa
• Tout operasyon yo fèt nan sesyon aktyèl la
• Kapasite pou fè plizyè aksyon ak sistèm dosye a
• Yo itilize yon kanal separe pou chak koneksyon

Kliyan FTP se yon pwogram ki pèmèt ou konekte ak yon sèvè aleka atravè FTP epi tou fè aksyon ki nesesè yo sou li ak eleman nan sistèm nan dosye. Kliyan an ka byen yon navigatè, nan ba adrès la nan ki ou ta dwe antre adrès la, ki se chemen an nan yon anyè espesifik oswa dosye sou sèvè a aleka, an akò ak dyagram nan blòk jeneral URL:

ftp://user:pass@address:port/directory/file

Sepandan, lè w sèvi ak yon navigatè entènèt nan kontèks sa a pral sèlman pèmèt ou wè oswa telechaje dosye ki enterese yo. Yo nan lòd yo sèvi ak tout avantaj ki genyen nan FTP, ou ta dwe itilize lojisyèl espesyalize kòm yon kliyan.

Otantifikasyon FTP itilize yon konplo non itilizatè/modpas pou bay aksè. Yo voye non itilizatè a sou sèvè a ak kòmandman USER la, epi yo voye modpas la ak lòd PASS la. Si sèvè a aksepte enfòmasyon kliyan an bay, lè sa a sèvè a ap voye yon envitasyon bay kliyan an epi sesyon an kòmanse. Itilizatè yo ka, si sèvè a sipòte karakteristik sa a, konekte san yo pa bay kalifikasyon, men sèvè a kapab sèlman bay aksè limite pou sesyon sa yo.

Lame ki bay sèvis ftp la ka bay aksè ftp anonim. Itilizatè yo anjeneral konekte ak "anonim" (ka gen ka sansib sou kèk sèvè FTP) kòm non itilizatè yo. Malgre ke itilizatè yo tipikman mande pou bay adrès imel yo olye pou yo yon modpas, pa gen okenn verifikasyon aktyèlman fèt. Anpil lame FTP ki bay mizajou lojisyèl sipòte aksè anonim.

Dyagram pwotokòl

Entèraksyon kliyan-sèvè a pandan yon koneksyon FTP ka vizyalize jan sa a:

Sekirize FTP

FTP pa t 'orijinèlman gen entansyon yo dwe an sekirite, kòm li te gen entansyon pou kominikasyon ant plizyè enstalasyon militè ak ajans yo. Men, ak devlopman ak gaye entènèt la, danje a nan aksè san otorizasyon te ogmante anpil fwa. Te gen yon bezwen pwoteje serveurs kont divès kalite atak. Nan mwa me 1999, otè RFC 2577 te rezime frajilite yo nan lis pwoblèm sa yo:

• Atak kache (atak rebondisman)
• Atak parodye
• Atak fòs brital
• Pake kaptire, sniffing
• Pò vòlè

FTP regilye pa gen kapasite pou transfere done nan fòm chiffres, kòm yon rezilta ki non itilizatè, modpas, kòmandman ak lòt enfòmasyon ka fasil epi fasil entèsepte pa atakè yo. Solisyon abityèl pou pwoblèm sa a se sèvi ak vèsyon pwotokòl vilnerab (FTPS) ki pwoteje ak TLS oswa yon lòt pwotokòl ki pi an sekirite, tankou SFTP/SCP, ki bay pifò aplikasyon pwotokòl Secure Shell.

FTPS

FTPS (FTP + SSL) se yon ekstansyon pwotokòl transfè dosye estanda ki ajoute nan fonksyonalite debaz li yo kreyasyon sesyon chiffres lè l sèvi avèk pwotokòl SSL (Secure Sockets Layer). Jodi a, pwoteksyon an bay TLS (Transport Layer Security) analòg ki pi avanse.

Ssl

Netscape Communications te pwopoze pwotokòl SSL la an 1996 pou asire sekirite ak konfidansyalite koneksyon Entènèt yo. Pwotokòl la sipòte otantifikasyon kliyan ak sèvè, se aplikasyon endepandan, epi li transparan nan HTTP, FTP, ak pwotokòl Telnet.

Pwotokòl SSL Handshake konsiste de de etap: otantifikasyon sèvè ak otantifikasyon kliyan si ou vle. Nan premye etap la, sèvè a reponn a demann kliyan an pa voye sètifika li yo ak paramèt chifreman. Lè sa a, kliyan an jenere yon kle mèt, ankripte li ak kle piblik sèvè a, epi voye li nan sèvè a. Sèvè a dekripte kle mèt la ak kle prive li yo epi otantifye tèt li bay kliyan an lè li retounen yon mesaj otantifye pa kle mèt kliyan an.

Done ki vin apre yo ankripte ak otantifye ak kle ki sòti nan kle mèt sa a. Nan dezyèm etap la, ki se opsyonèl, sèvè a voye yon demann bay kliyan an, ak kliyan an otantifye tèt li nan sèvè a lè li retounen demann lan ak pwòp siyati dijital li yo ak yon sètifika kle piblik.

SSL sipòte yon varyete algoritm kriptografik. Pandan etablisman kominikasyon an, yo itilize sistèm kriptografik kle piblik RSA. Apre echanj kle a, yo itilize anpil chifreman diferan: RC2, RC4, IDEA, DES ak TripleDES. MD5 yo itilize tou - yon algorithm pou kreye yon dijere mesaj. Sentaks pou sètifika kle piblik yo dekri nan X.509.

Youn nan avantaj enpòtan SSL se endepandans konplè lojisyèl-platfòm li yo. Pwotokòl la devlope sou prensip portabilite, ak ideoloji konstriksyon li yo pa depann de aplikasyon yo itilize yo. Anplis de sa, li enpòtan tou pou lòt pwotokòl yo ka transparan kouvri sou tèt pwotokòl SSL la; swa pou ogmante plis degre pwoteksyon sib enfòmasyon koule, oswa pou adapte kapasite kriptografik SSL pou kèk lòt travay ki byen defini.

SSL koneksyon

Chanèl sekirite SSL bay la gen twa pwopriyete prensipal:

• Channel la prive. Yo itilize chifreman pou tout mesaj apre yon senp dyalòg ki sèvi pou detèmine kle sekrè a.
• Chanèl la otantifye. Se bò sèvè konvèsasyon an toujou otantifye, pandan y ap bò kliyan an opsyonèlman otantifye.
• Chanèl la serye. Transpò mesaj gen ladann entegrite tcheke (itilize MAC la).

Karakteristik nan FTPS

Gen de aplikasyon FTPS, lè l sèvi avèk diferan metòd pou bay sekirite:

• Metòd enplizite a enplike nan sèvi ak pwotokòl SSL estanda a pou etabli yon sesyon anvan ou voye done, ki, nan vire, kraze konpatibilite ak kliyan FTP regilye ak serveurs. Pou konpatibilite bak ak kliyan ki pa sipòte FTPS, yo itilize pò TCP 990 pou koneksyon kontwòl la epi yo itilize 989 pou transfè done. Metòd sa a konsidere kòm demode.
• Eksplis se pi plis pratik, paske li itilize kòmandman FTP estanda, men li ankripte done yo lè w reponn, sa ki pèmèt ou sèvi ak menm koneksyon kontwòl pou tou de FTP ak FTPS. Kliyan an dwe klèman mande transfè done an sekirite nan sèvè a, ak Lè sa a, apwouve metòd la chifreman. Si kliyan an pa mande yon transfè sekirize, sèvè FTPS la gen dwa swa kenbe oswa fèmen koneksyon ki pa an sekirite a. Yo te ajoute yon mekanis negosyasyon otantifikasyon ak sekirite done anba RFC 2228 ki gen ladan nouvo lòd FTP AUTH. Malgre ke estanda sa a pa klèman defini mekanis sekirite, li presize ke yon koneksyon an sekirite dwe inisye pa kliyan an lè l sèvi avèk algorithm ki dekri pi wo a. Si sèvè a pa sipòte koneksyon an sekirite, yo ta dwe retounen yon kòd erè 504 kliyan FTPS yo ka jwenn enfòmasyon sou pwotokòl sekirite yo sipòte pa sèvè a lè l sèvi avèk lòd FEAT la, sepandan, sèvè a pa oblije divilge ki nivo sekirite li. sipò. Kòmandman FTPS ki pi komen yo se AUTH TLS ak AUTH SSL, ki bay sekirite TLS ak SSL, respektivman.

SFTP

SFTP (Secure File Transfer Protocol) se yon pwotokòl transfè fichye kouch aplikasyon ki kouri sou tèt yon kanal ki an sekirite. Ou pa dwe konfonn ak (Simple File Transfer Protocol), ki gen menm abrevyasyon. Si FTPS se tou senpleman yon ekstansyon FTP, Lè sa a, SFTP se yon pwotokòl separe ak ki pa gen rapò ki sèvi ak SSH (Secure Shell) kòm baz li.

Tache kokiy

Pwotokòl la te devlope pa youn nan gwoup IETF yo rele Secsh. Dokiman k ap travay pou nouvo pwotokòl SFTP la pa t vin yon estanda ofisyèl, men yo te kòmanse itilize aktivman pou devlopman aplikasyon an. Apre sa, yo te pibliye sis vèsyon pwotokòl la. Sepandan, ogmantasyon gradyèl nan fonksyonalite nan li te mennen nan lefèt ke nan dat 14 out 2006, li te deside sispann travay sou devlopman nan pwotokòl la akòz fini nan travay prensipal la nan pwojè a (devlopman nan SSH) ak la. mank de nivo ekspè ase pou avanse pou pi nan devlopman nan yon pwotokòl sistèm fichye aleka plen véritable .

SSH se yon pwotokòl rezo ki pèmèt kontwòl remote nan sistèm operasyon an ak tinèl nan koneksyon TCP (pa egzanp, pou transfè dosye). Menm jan nan fonksyonalite ak pwotokòl Telnet ak rlogin, men, kontrèman ak yo, li ankripte tout trafik, ki gen ladan modpas transmèt yo. SSH pèmèt yon chwa nan algoritm chifreman diferan. Kliyan SSH ak sèvè SSH yo disponib pou pifò sistèm operasyon rezo yo.

SSH pèmèt ou transfere an sekirite prèske nenpòt lòt pwotokòl rezo nan yon anviwònman ki pa an sekirite. Kidonk, ou ka pa sèlman travay adistans sou òdinatè w lan atravè kokiy lòd la, men tou, transmèt yon kouran odyo oswa videyo (pa egzanp, soti nan yon webcam) sou yon chanèl chiffres. SSH kapab tou itilize konpresyon done transmèt pou chifreman ki vin apre, ki se pratik, pou egzanp, pou lanse adistans kliyan X WindowSystem.

Premye vèsyon pwotokòl la, SSH-1, te devlope an 1995 pa chèchè Tatu Ulönen nan Inivèsite Teknoloji Helsinki (Finland). SSH-1 te ekri pou bay plis enfòmasyon prive pase pwotokòl rlogin, telnet, ak rsh. An 1996, yon vèsyon ki pi an sekirite nan pwotokòl la, SSH-2, te devlope, ki se enkonpatib ak SSH-1. Pwotokòl la te vin gen plis popilarite, e pa ane 2000 li te gen apeprè de milyon itilizatè. Kounye a, tèm "SSH" anjeneral vle di SSH-2, paske Premye vèsyon pwotokòl la kounye a se pratikman pa itilize akòz enpèfeksyon enpòtan. An 2006, gwoup travay IETF te apwouve pwotokòl la kòm yon estanda entènèt.

Gen de aplikasyon komen nan SSH: komèsyal prive ak sous louvri gratis. Aplikasyon gratis yo rele OpenSSH. Rive 2006, 80% nan òdinatè sou Entènèt la te itilize OpenSSH. Se SSH Kominikasyon Sekirite, yon sipòtè totalman posede nan Tectia Corporation, ki devlope aplikasyon pwopriyetè a, epi li gratis pou itilizasyon ki pa komèsyal. Enplemantasyon sa yo gen prèske menm seri kòmandman yo.

Pwotokòl SSH-2 a, kontrèman ak pwotokòl telnet la, rezistan a atak ekoute trafik ("sniffing"), men li pa rezistan a atak moun nan mitan an. Pwotokòl SSH-2 a reziste tou pou atak vòlè sesyon yo, paske li enposib pou rantre nan oswa detounen yon sesyon ki deja etabli.

Pou anpeche atak moun nan mitan an lè w konekte ak yon lame ki gen kle ki poko konnen kliyan an, lojisyèl kliyan an montre itilizatè a yon "anprent kle". Li rekòmande pou tcheke ak anpil atansyon "kle snapshot" lojisyèl kliyan an montre ak snapshot kle sèvè a, de preferans jwenn nan chanèl kominikasyon serye oswa an pèsòn.

Sipò SSH disponib sou tout sistèm UNIX, epi pifò gen yon kliyan ssh ak sèvè kòm sèvis piblik estanda. Gen anpil aplikasyon kliyan SSH pou OS ki pa UNIX. Pwotokòl la te vin gen gwo popilarite apre devlopman toupatou nan analizè trafik ak metòd pou deranje operasyon rezo lokal yo, kòm yon solisyon altènatif nan pwotokòl Telnet ensekirite pou jere nœuds enpòtan yo.

Kominikasyon lè l sèvi avèk SSH

Pou travay via SSH, ou bezwen yon sèvè SSH ak yon kliyan SSH. Sèvè a koute koneksyon ki soti nan machin kliyan yo epi, lè yo etabli yon koneksyon, fè otantifikasyon, apre sa li kòmanse sèvis kliyan an. Se kliyan an itilize konekte nan yon machin aleka epi egzekite kòmandman.

Konparezon ak FTPS

Bagay pwensipal lan ki distenge SFTP de estanda FTP ak FTPS se ke SFTP ankripte absoliman tout kòmandman, non itilizatè, modpas ak lòt enfòmasyon konfidansyèl.

Tou de pwotokòl FTPS ak SFTP itilize yon konbinezon de algoritm asimetri (RSA, DSA), algoritm simetrik (DES/3DES, AES, Twhofish, elatriye), osi byen ke yon algorithm echanj kle. Pou otantifikasyon, FTPS (oswa pou pi presi, SSL/TLS sou FTP) itilize sètifika X.509, pandan y ap SFTP (pwotokòl SSH) sèvi ak kle SSH.

Sètifika X.509 yo genyen yon kle piblik ak kèk enfòmasyon sou sètifika pwopriyetè a. Enfòmasyon sa a pèmèt, nan lòt men an, verifye entegrite nan sètifika a li menm, otantisite a ak mèt kay la nan sètifika a. Sètifika X.509 gen yon kle prive korespondan, ki anjeneral estoke separeman ak sètifika a pou rezon sekirite.

Kle SSH la gen sèlman kle piblik la (kle prive ki koresponn lan estoke separeman). Li pa genyen okenn enfòmasyon sou pwopriyetè kle a. Gen kèk enplemantasyon SSH ki itilize sètifika X.509 pou otantifikasyon, men yo pa aktyèlman verifye tout chèn sètifika a—se sèlman kle piblik la itilize (ki fè otantifikasyon sa yo enkonplè).

Konklizyon

Pwotokòl la FTP san dout toujou jwe yon wòl enpòtan nan depo ak distribisyon enfòmasyon sou rezo a malgre laj venerable li yo. Li se yon pwotokòl pratik, multifonksyonèl ak estanda. Anpil achiv dosye yo te bati sou baz li yo, san yo pa travay teknik yo pa ta dwe tèlman efikas. Anplis de sa, li fasil pou mete kanpe, ak pwogram sèvè ak kliyan egziste pou prèske tout tribin aktyèl epi ki pa tèlman aktyèl.

Nan vire, vèsyon pwoteje li yo rezoud pwoblèm nan nan konfidansyalite nan done ki estoke ak transmèt nan mond lan modèn. Tou de nouvo pwotokòl yo gen avantaj ak dezavantaj yo epi sèvi wòl yon ti kras diferan. Nan zòn sa yo kote yo bezwen yon achiv dosye, li pi bon pou itilize FTPS, sitou si klasik FTP te deja itilize la anvan. SFTP se mwens komen akòz enkonpatibilite li yo ak ansyen pwotokòl la, men li pi an sekirite epi li gen plis fonksyonalite, depi li se yon pati nan sistèm jesyon aleka.

Lis sous yo

• Abstract "FTP pwotokòl. Enfòmasyon jeneral ak karakteristik"
• Abstract "SSH, CMIP, pwotokòl Telnet"
• Rapòte "SSL/TLS"

Sous: www.habr.com