Formáli

Fyrir aðeins viku síðan var ég að skrifa ritgerð um efnið sem tilgreint er í titlinum og stóð frammi fyrir þeirri staðreynd að við skulum segja að það er ekki svo mikið af fræðsluupplýsingum á netinu. Aðallega þurrar staðreyndir og uppsetningarleiðbeiningar. Þess vegna ákvað ég að leiðrétta textann örlítið og birta hann sem grein.

Hvað er FTP

FTP (File Transfer Protocol) er samskiptaregla til að flytja skrár yfir netkerfi. Það er ein af helstu Ethernet samskiptareglum. Kom fram árið 1971 og starfaði upphaflega í DARPA netum. Eins og er, eins og HTTP, er skráaflutningur byggður á líkani sem samanstendur af setti af TCP/IP (Transmission Control Protocol/Internet Protocol) samskiptareglum. Skilgreint í RFC 959.

Bókunin skilgreinir eftirfarandi:

• Hvernig verður villueftirlitið framkvæmt?
• Gagnapökkunaraðferð (ef umbúðir eru notaðar)
• Hvernig gefur senditækið til kynna að það hafi lokið við skilaboð?
• Hvernig gefur móttökutækið til kynna að það hafi fengið skilaboð?

Samskipti milli viðskiptavinar og netþjóns

Við skulum skoða nánar ferla sem eiga sér stað við FTP-aðgerð. Tengingin er frumstillt af samskiptatúlk notandans. Miðstöðinni er stjórnað í gegnum stjórnrás í TELNET staðlinum. FTP skipanir eru búnar til af samskiptatúlk notandans og sendar á netþjóninn. Svör netþjónsins eru einnig send til notandans í gegnum stjórnrásina. Almennt séð hefur notandinn getu til að koma á sambandi við samskiptatúlk þjónsins og með öðrum hætti en túlk notandans.

Helsti eiginleiki FTP er að hann notar tvöfaldar tengingar. Ein þeirra er notuð til að senda skipanir á netþjóninn og gerist sjálfgefið í gegnum TCP tengi 21, sem hægt er að breyta. Stýritengingin er til staðar svo lengi sem viðskiptavinurinn hefur samskipti við netþjóninn. Stjórnrásin verður að vera opin þegar gögn eru flutt á milli véla. Ef það er lokað hættir gagnaflutningur. Í gegnum annað á sér stað bein gagnaflutningur. Það opnast í hvert sinn sem skráaflutningur á sér stað milli biðlara og netþjóns. Ef nokkrar skrár eru fluttar samtímis opnar hver þeirra sína eigin sendingarrás.

FTP getur starfað í virkum eða óvirkum ham, valið á því ræður því hvernig tengingunni er komið á. Í virkum ham býr viðskiptavinurinn til TCP-stýringartengingu við þjóninn og sendir IP-tölu hans og handahófskennt gáttarnúmer viðskiptavinar til þjónsins og bíður síðan eftir að þjónninn hefji TCP-tengingu við þetta heimilisfang og gáttarnúmer. Ef viðskiptavinurinn er á bak við eldvegg og getur ekki samþykkt komandi TCP tengingu er hægt að nota óvirka stillingu. Í þessum ham notar viðskiptavinurinn stýriflæðið til að senda PASV skipun á netþjóninn og fær síðan IP tölu sína og gáttarnúmer frá þjóninum sem viðskiptavinurinn notar síðan til að opna gagnaflæði frá handahófskenndu gáttinni.

Hugsanlegt er að gögn séu flutt yfir á þriðju vél. Í þessu tilviki skipuleggur notandinn stjórnrás með tveimur netþjónum og skipuleggur beina gagnarás á milli þeirra. Stjórnskipanir fara í gegnum notandann og gögn fara beint á milli netþjónanna.

Þegar gögn eru send um netkerfi er hægt að nota fjórar gagnaframsetningar:

• ASCII - notað fyrir texta. Gögnin eru, ef nauðsyn krefur, breytt úr táknmynd á sendandi hýsil í "átta bita ASCII" fyrir sendingu, og (aftur, ef þörf krefur) í táknmynd á móttökuhýsli. Sérstaklega er nýlínupersónum breytt. Þess vegna hentar þessi stilling ekki fyrir skrár sem innihalda meira en bara venjulegan texta.
• Tvöfaldur hamur - senditækið sendir hvert skráarbæti fyrir bæti og viðtakandinn geymir bætastrauminn við móttöku. Mælt hefur verið með stuðningi við þessa stillingu fyrir allar FTP útfærslur.
• EBCDIC – notað til að flytja texta á milli gestgjafa í EBCDIC kóðun. Annars er þessi háttur svipaður og ASCII haminn.
• Staðbundin stilling - gerir tveimur tölvum með eins stillingar kleift að senda gögn á sínu eigin sniði án þess að breyta í ASCII.

Gagnaflutningur er hægt að framkvæma á öllum þremur stillingum:

• Straumhamur - gögn eru send sem samfelldur straumur, sem losar FTP við að framkvæma hvaða vinnslu sem er. Þess í stað fer öll vinnsla fram af TCP. Skráarlokavísirinn er ekki nauðsynlegur nema til að aðgreina gögn í skrár.
• Blokkunarhamur - FTP skiptir gögnunum í nokkra kubba (hausblokk, bætafjöldi, gagnasvið) og sendir þau síðan til TCP.
• Þjöppunarhamur - gögn eru þjappuð með einum reiknirit (venjulega með því að kóða keyrslulengd).

FTP þjónn er þjónn sem veitir möguleika á að nota File Transfer Protocol. Það hefur ákveðna eiginleika sem aðgreina það frá hefðbundnum vefþjónum:

• Notendavottun krafist
• Allar aðgerðir eru framkvæmdar á núverandi lotu
• Geta til að framkvæma ýmsar aðgerðir með skráarkerfinu
• Sérstök rás er notuð fyrir hverja tengingu

FTP viðskiptavinur er forrit sem gerir þér kleift að tengjast ytri netþjóni í gegnum FTP og framkvæma nauðsynlegar aðgerðir á honum með þáttum skráarkerfisins. Viðskiptavinurinn gæti vel verið vafri, í veffangastikunni sem þú ættir að slá inn heimilisfangið sem er slóðin að tiltekinni möppu eða skrá á ytri netþjóninum, í samræmi við almenna vefslóð blokkskýringar:

ftp://user:pass@address:port/directory/file

Hins vegar, með því að nota netvafra í þessu samhengi, mun aðeins leyfa þér að skoða eða hlaða niður skrám sem þú hefur áhuga á. Til þess að nýta alla kosti FTP til fulls ættir þú að nota sérhæfðan hugbúnað sem viðskiptavinur.

FTP auðkenning notar notendanafn/lykilorðskerfi til að veita aðgang. Notandanafnið er sent á netþjóninn með USER skipuninni og lykilorðið er sent með PASS skipuninni. Ef upplýsingarnar sem viðskiptavinurinn gefur upp eru samþykktar af þjóninum, þá mun þjónninn senda boð til viðskiptavinarins og lotan hefst. Notendur geta, ef þjónninn styður þennan eiginleika, skráð sig inn án þess að gefa upp skilríki, en þjónninn getur aðeins veitt takmarkaðan aðgang fyrir slíkar lotur.

Gestgjafinn sem veitir FTP þjónustuna getur veitt nafnlausan FTP aðgang. Notendur skrá sig venjulega inn með „nafnlaus“ (getur verið hástafaviðkvæmur á sumum FTP netþjónum) sem notandanafn. Þrátt fyrir að notendur séu venjulega beðnir um að gefa upp netfangið sitt í stað lykilorðs er engin staðfesting framkvæmd. Margir FTP vélar sem veita hugbúnaðaruppfærslur styðja nafnlausan aðgang.

Bókunarmynd

Hægt er að sjá samskipti biðlara og netþjóns meðan á FTP tengingu stendur á eftirfarandi hátt:

Öruggur FTP

FTP var upphaflega ekki ætlað að vera öruggt, þar sem það var ætlað fyrir samskipti milli margra herstöðva og stofnana. En með þróun og útbreiðslu internetsins hefur hættan á óviðkomandi aðgangi margfaldast. Það var þörf á að vernda netþjóna fyrir ýmsum tegundum árása. Í maí 1999 tóku höfundar RFC 2577 saman veikleikana í eftirfarandi lista yfir vandamál:

• Faldar árásir (hoppárásir)
• Skjótaárásir
• Hrottalegar árásir
• Pakkahandtaka, þefa
• Hafnarþjófnaður

Venjulegur FTP hefur ekki getu til að flytja gögn á dulkóðuðu formi, sem leiðir til þess að notendanöfn, lykilorð, skipanir og aðrar upplýsingar geta auðveldlega og auðveldlega stöðvað af árásarmönnum. Venjuleg lausn á þessu vandamáli er að nota "öruggar", TLS-varðar útgáfur af viðkvæmu samskiptareglunum (FTPS) eða aðra, öruggari siðareglur, eins og SFTP/SCP, sem fylgir flestum Secure Shell samskiptareglum.

FTPS

FTPS (FTP + SSL) er framlenging á stöðluðu skráaflutningssamskiptareglunum sem bætir við grunnvirkni þess að búa til dulkóðaðar lotur með því að nota SSL (Secure Sockets Layer) siðareglur. Í dag er vernd veitt með fullkomnari hliðrænni TLS (Transport Layer Security).

SSL

SSL samskiptareglur voru settar fram af Netscape Communications árið 1996 til að tryggja öryggi og friðhelgi nettenginga. Samskiptareglurnar styður auðkenningu viðskiptavinar og netþjóna, er forritsóháð og er gagnsæ fyrir HTTP, FTP og Telnet samskiptareglum.

SSL Handshake samskiptareglur samanstanda af tveimur stigum: Auðkenning netþjóns og valfrjáls auðkenning viðskiptavinar. Á fyrsta stigi bregst þjónninn við beiðni viðskiptavinarins með því að senda vottorð hans og dulkóðunarfæribreytur. Viðskiptavinurinn býr síðan til aðallykil, dulkóðar hann með opinberum lykli þjónsins og sendir hann á netþjóninn. Miðlarinn afkóðar aðallykilinn með einkalyklinum sínum og auðkennir sig fyrir viðskiptavininn með því að skila skilaboðum sem eru auðkenndir af aðallykli viðskiptavinarins.

Síðari gögn eru dulkóðuð og auðkennd með lyklum fengnum úr þessum aðallykil. Í öðru skrefi, sem er valfrjálst, sendir þjónninn beiðni til viðskiptavinarins og viðskiptavinurinn sannvotir sig við þjóninn með því að skila beiðninni með sinni eigin stafrænu undirskrift og opinberu lykilskírteini.

SSL styður margs konar dulritunaralgrím. Við stofnun samskipta er dulritunarkerfi RSA almenningslykils notað. Eftir lyklaskiptin eru mörg mismunandi dulmál notuð: RC2, RC4, IDEA, DES og TripleDES. MD5 er einnig notað - reiknirit til að búa til skilaboðasamsetningu. Setningafræði fyrir opinber lykilskírteini er lýst í X.509.

Einn af mikilvægum kostum SSL er algjört sjálfstæði hugbúnaðarpallsins. Bókunin er þróuð út frá meginreglum um færanleika og hugmyndafræði smíði hennar fer ekki eftir forritunum sem hún er notuð í. Að auki er einnig mikilvægt að hægt sé að leggja aðrar samskiptareglur á gagnsæjan hátt ofan á SSL-samskiptareglur; annaðhvort til að auka enn frekar vernd markupplýsingaflæðis, eða til að aðlaga dulmálsgetu SSL fyrir annað, vel skilgreint verkefni.

SSL tenging

Örugg rásin sem SSL býður upp á hefur þrjá megin eiginleika:

• Rásin er einkarekin. Dulkóðun er notuð fyrir öll skilaboð eftir einfalda umræðu sem þjónar til að ákvarða leynilykilinn.
• Rásin er auðkennd. Miðlarahlið samtalsins er alltaf auðkennd, en biðlarahliðin er valfrjáls auðkennd.
• Rásin er áreiðanleg. Skilaboðaflutningur felur í sér eftirlit með heiðarleika (með því að nota MAC).

Eiginleikar FTPS

Það eru tvær útfærslur á FTPS, með mismunandi aðferðum til að veita öryggi:

• Óbeina aðferðin felur í sér að nota staðlaða SSL samskiptareglur til að koma á fundi áður en gögn eru send, sem aftur brýtur eindrægni við venjulega FTP viðskiptavini og netþjóna. Fyrir afturábak samhæfni við viðskiptavini sem styðja ekki FTPS er TCP tengi 990 notað fyrir stjórntenginguna og 989 notað fyrir gagnaflutning. Þetta heldur stöðluðu tengi 21 fyrir FTP samskiptareglur. Þessi aðferð er talin úrelt.
• Explicit er miklu þægilegra, þar sem það notar venjulegar FTP skipanir, en dulkóðar gögnin þegar svarað er, sem gerir þér kleift að nota sömu stýritenginguna fyrir bæði FTP og FTPS. Viðskiptavinurinn verður sérstaklega að biðja um öruggan gagnaflutning frá þjóninum og samþykkja síðan dulkóðunaraðferðina. Ef viðskiptavinurinn biður ekki um öruggan flutning hefur FTPS þjónninn rétt til að viðhalda eða loka ótryggðu tengingunni. Auðkenningar- og gagnaöryggissamningaviðræðum var bætt við undir RFC 2228 sem inniheldur nýju FTP AUTH skipunina. Þrátt fyrir að þessi staðall skilgreini ekki beinlínis öryggiskerfi, þá tilgreinir hann að örugg tenging verði að koma af stað af viðskiptavininum með því að nota reikniritið sem lýst er hér að ofan. Ef öruggar tengingar eru ekki studdar af þjóninum ætti að skila villukóða 504. FTPS biðlarar geta fengið upplýsingar um öryggissamskiptareglur sem þjónninn styður með því að nota FEAT skipunina, hins vegar þarf þjónninn ekki að gefa upp hvaða öryggisstig hann er. styður. Algengustu FTPS skipanirnar eru AUTH TLS og AUTH SSL, sem veita TLS og SSL öryggi, í sömu röð.

SFTP

SFTP (Secure File Transfer Protocol) er skráaflutningsaðferð fyrir forritslag sem keyrir ofan á örugga rás. Ekki má rugla saman við (Simple File Transfer Protocol), sem hefur sömu skammstöfun. Ef FTPS er einfaldlega framlenging á FTP, þá er SFTP aðskilin og ótengd siðareglur sem notar SSH (Secure Shell) sem grunn.

Öruggur skel

Samskiptareglurnar voru þróaðar af einum af IETF hópunum sem kallast Secsh. Vinnuskjölin fyrir nýju SFTP-samskiptareglurnar urðu ekki opinber staðall, en byrjaði að vera virkur notaður fyrir þróun forrita. Í kjölfarið voru sex útgáfur af bókuninni gefnar út. Hækkandi aukning virkni í henni leiddi hins vegar til þess að 14. ágúst 2006 var ákveðið að hætta að vinna að þróun bókunarinnar vegna þess að meginverkefni verkefnisins (SSH þróun) var lokið og skorts. af nægilegu sérfræðistigi til að halda áfram að þróa fullgilda fjarskjalakerfissamskiptareglur.

SSH er netsamskiptareglur sem leyfir fjarstýringu á stýrikerfinu og tunneling á TCP tengingum (til dæmis fyrir skráaflutning). Svipað í virkni og Telnet og rlogin samskiptareglur, en ólíkt þeim, dulkóðar það alla umferð, þar með talið send lykilorð. SSH gerir val um mismunandi dulkóðunaralgrím. SSH viðskiptavinir og SSH netþjónar eru fáanlegir fyrir flest netstýrikerfi.

SSH gerir þér kleift að flytja næstum allar aðrar netsamskiptareglur á öruggan hátt í ótryggðu umhverfi. Þannig geturðu ekki aðeins unnið fjarstýrt á tölvunni þinni í gegnum stjórnskelina, heldur einnig sent hljóðstraum eða myndband (til dæmis frá vefmyndavél) yfir dulkóðaða rás. SSH getur einnig notað þjöppun á sendum gögnum fyrir síðari dulkóðun, sem er þægilegt, til dæmis, til að fjarræsa X WindowSystem viðskiptavini.

Fyrsta útgáfan af bókuninni, SSH-1, var þróuð árið 1995 af vísindamanninum Tatu Ulönen frá Tækniháskólanum í Helsinki (Finnlandi). SSH-1 var skrifað til að veita meira næði en rlogin, telnet og rsh samskiptareglur. Árið 1996 var þróuð öruggari útgáfa af samskiptareglunum, SSH-2, sem er ósamrýmanleg SSH-1. Samskiptareglurnar öðluðust enn meiri vinsældir og árið 2000 voru þær með um það bil tvær milljónir notenda. Eins og er þýðir hugtakið „SSH“ venjulega SSH-2, vegna þess að Fyrsta útgáfan af bókuninni er nú nánast ekki notuð vegna verulegra annmarka. Árið 2006 var bókunin samþykkt af vinnuhópi IETF sem internetstaðall.

Það eru tvær algengar útfærslur á SSH: einkaverslun og ókeypis opinn uppspretta. Ókeypis útfærslan er kölluð OpenSSH. Árið 2006 notuðu 80% tölva á netinu OpenSSH. Sérútfærslan er þróuð af SSH Communications Security, dótturfyrirtæki Tectia Corporation að fullu í eigu, og er ókeypis til notkunar sem ekki er í viðskiptalegum tilgangi. Þessar útfærslur innihalda nánast sama sett af skipunum.

SSH-2 samskiptareglan, ólíkt telnet-samskiptareglunum, er ónæm fyrir hlerunarárásum á umferð („sniffing“), en er ekki ónæm fyrir mann-í-miðju árásum. SSH-2 samskiptareglur eru einnig ónæmar fyrir ræningjaárásum, þar sem það er ómögulegt að taka þátt í eða ræna setu sem þegar hefur verið stofnað.

Til að koma í veg fyrir mann-í-miðju árásir þegar tengst er við hýsil þar sem lykillinn er ekki þekktur fyrir viðskiptavininn, sýnir biðlarahugbúnaðurinn notandanum „lyklafingrafar“. Mælt er með því að athuga vandlega „lyklamyndina“ sem sýndar er af biðlarahugbúnaðinum með lyklamynd miðlarans, helst fengin í gegnum áreiðanlegar samskiptaleiðir eða í eigin persónu.

SSH stuðningur er fáanlegur á öllum UNIX-líkum kerfum og flest eru með ssh biðlara og netþjóni sem venjuleg tól. Það eru margar útfærslur á SSH viðskiptavinum fyrir stýrikerfi sem ekki eru UNIX. Samskiptareglurnar öðluðust miklar vinsældir eftir víðtæka þróun umferðargreiningartækja og aðferða til að trufla rekstur staðarneta, sem vallausn við óörugga Telnet-samskiptareglur til að stjórna mikilvægum hnútum.

Samskipti með SSH

Til að vinna í gegnum SSH þarftu SSH netþjón og SSH biðlara. Miðlarinn hlustar eftir tengingum frá vélum biðlara og, þegar tenging er komið á, framkvæmir auðkenningu, eftir það byrjar hann að þjónusta viðskiptavininn. Viðskiptavinurinn er notaður til að skrá sig inn á ytri vél og framkvæma skipanir.

Samanburður við FTPS

Aðalatriðið sem aðgreinir SFTP frá venjulegu FTP og FTPS er að SFTP dulkóðar nákvæmlega allar skipanir, notendanöfn, lykilorð og aðrar trúnaðarupplýsingar.

Bæði FTPS og SFTP samskiptareglur nota blöndu af ósamhverfum reikniritum (RSA, DSA), samhverfum reikniritum (DES/3DES, AES, Twhofish o.s.frv.), Ásamt lyklaskiptareikniriti. Til auðkenningar notar FTPS (eða til að vera nákvæmari, SSL/TLS yfir FTP) X.509 vottorð, en SFTP (SSH samskiptareglur) notar SSH lykla.

X.509 vottorð innihalda opinberan lykil og nokkrar upplýsingar um vottorð eiganda. Þessar upplýsingar gera aftur á móti kleift að sannreyna heilleika skírteinsins sjálfs, áreiðanleika og eiganda skírteinisins. X.509 vottorð eru með samsvarandi einkalykli, sem venjulega er geymdur aðskilið frá vottorðinu af öryggisástæðum.

SSH lykillinn inniheldur aðeins opinbera lykilinn (samsvarandi einkalykill er geymdur sérstaklega). Það inniheldur engar upplýsingar um eiganda lykilsins. Sumar SSH útfærslur nota X.509 vottorð fyrir auðkenningu, en þær sannreyna í raun ekki alla vottorðakeðjuna – aðeins opinberi lykillinn er notaður (sem gerir slíka auðkenningu ófullkomna).

Ályktun

FTP samskiptareglur gegna án efa enn mikilvægu hlutverki í geymslu og dreifingu upplýsinga á netinu þrátt fyrir virðulegan aldur. Það er þægileg, fjölvirk og staðlað samskiptareglur. Mörg skjalasöfn hafa verið byggð á grunni þess, án þeirra væri tæknivinna ekki eins áhrifarík. Að auki er auðvelt að setja það upp og netþjóna- og biðlaraforrit eru til fyrir næstum alla núverandi og ekki eins núverandi palla.

Aftur á móti leysa verndaðar útgáfur þess vandamálið varðandi trúnað um geymd og send gögn í nútíma heimi. Báðar nýju samskiptareglurnar hafa sína kosti og galla og þjóna aðeins mismunandi hlutverkum. Á þeim svæðum þar sem þörf er á skráasafni er æskilegt að nota FTPS, sérstaklega ef klassískt FTP hefur þegar verið notað þar áður. SFTP er sjaldgæfari vegna ósamrýmanleika við gömlu samskiptareglurnar, en það er öruggara og hefur meiri virkni þar sem það er hluti af fjarstjórnunarkerfinu.

Listi yfir heimildir

• Ágrip „FTP samskiptareglur. Almennar upplýsingar og eiginleikar“
• Ágrip „SSH, CMIP, Telnet samskiptareglur“
• Tilkynna "SSL/TLS"

Heimild: www.habr.com