priekšvārds

Tieši pirms nedēļas rakstīju eseju par virsrakstā norādīto tēmu un saskāros ar faktu, ka, teiksim, internetā nav tik daudz izglītojošas informācijas. Pārsvarā sausi fakti un iestatīšanas instrukcijas. Tāpēc es nolēmu nedaudz labot tekstu un ievietot to kā rakstu.

Kas ir FTP

FTP (File Transfer Protocol) ir protokols failu pārsūtīšanai tīklā. Tas ir viens no pamata Ethernet protokoliem. Parādījās 1971. gadā un sākotnēji strādāja DARPA tīklos. Pašlaik, tāpat kā HTTP, failu pārsūtīšanas pamatā ir modelis, kas sastāv no TCP/IP (Transmission Control Protocol/Internet Protocol) protokolu kopas. Definēts RFC 959.

Protokols nosaka sekojošo:

• Kā tiks veikta kļūdu pārbaude?
• Datu iepakošanas metode (ja tiek izmantots iepakojums)
• Kā sūtītāja ierīce norāda, ka tā ir pabeigusi ziņojumu?
• Kā saņēmēja ierīce norāda, ka tā ir saņēmusi ziņojumu?

Komunikācija starp klientu un serveri

Sīkāk aplūkosim procesus, kas notiek FTP darbības laikā. Savienojumu inicializē lietotāja protokola tulks. Apmaiņa tiek vadīta caur vadības kanālu TELNET standartā. FTP komandas ģenerē lietotāja protokolu tulks un nosūta uz serveri. Servera atbildes tiek nosūtītas arī lietotājam, izmantojot vadības kanālu. Parasti lietotājam ir iespēja izveidot kontaktu ar servera protokola tulku un izmantojot citus līdzekļus, nevis lietotāja tulku.

FTP galvenā iezīme ir tā, ka tas izmanto divus savienojumus. Viens no tiem tiek izmantots komandu nosūtīšanai uz serveri un pēc noklusējuma notiek caur TCP portu 21, kuru var mainīt. Kontroles savienojums pastāv tik ilgi, kamēr klients sazinās ar serveri. Pārsūtot datus starp iekārtām, vadības kanālam jābūt atvērtam. Ja tas ir aizvērts, datu pārraide tiek pārtraukta. Izmantojot otro, notiek tieša datu pārsūtīšana. Tas tiek atvērts katru reizi, kad notiek failu pārsūtīšana starp klientu un serveri. Ja vienlaikus tiek pārsūtīti vairāki faili, katrs no tiem atver savu pārraides kanālu.

FTP var darboties aktīvā vai pasīvā režīmā, kura izvēle nosaka savienojuma izveidošanas veidu. Aktīvajā režīmā klients izveido TCP vadības savienojumu ar serveri un nosūta serverim savu IP adresi un patvaļīgu klienta porta numuru un pēc tam gaida, līdz serveris sāks TCP savienojumu ar šo adresi un porta numuru. Ja klients atrodas aiz ugunsmūra un nevar pieņemt ienākošo TCP savienojumu, var izmantot pasīvo režīmu. Šajā režīmā klients izmanto vadības plūsmu, lai nosūtītu PASV komandu serverim, un pēc tam saņem no servera tā IP adresi un porta numuru, ko klients izmanto, lai atvērtu datu plūsmu no sava patvaļīgā porta.

Iespējams, ka datus var pārsūtīt uz trešo iekārtu. Šajā gadījumā lietotājs organizē vadības kanālu ar diviem serveriem un organizē tiešo datu kanālu starp tiem. Vadības komandas iet caur lietotāju, un dati tiek tieši starp serveriem.

Pārsūtot datus tīklā, var izmantot četrus datu attēlojumus:

• ASCII – izmanto tekstam. Ja nepieciešams, dati tiek pārveidoti no rakstzīmju attēlojuma sūtītāja resursdatorā uz "astoņu bitu ASCII" pirms nosūtīšanas un (atkal, ja nepieciešams) uz rakstzīmju attēlojumu saņēmējā resursdatorā. Jo īpaši tiek mainītas jaunas rindiņas rakstzīmes. Rezultātā šis režīms nav piemērots failiem, kas satur ne tikai vienkāršu tekstu.
• Binārais režīms - sūtītāja ierīce nosūta katru failu pa baitam, un saņēmējs saglabā baitu straumi pēc saņemšanas. Atbalsts šim režīmam ir ieteikts visām FTP implementācijām.
• EBCDIC — izmanto, lai pārsūtītu vienkāršu tekstu starp saimniekdatoriem EBCDIC kodējumā. Pretējā gadījumā šis režīms ir līdzīgs ASCII režīmam.
• Lokālais režīms - ļauj diviem datoriem ar identiskiem iestatījumiem nosūtīt datus savā formātā, nepārvēršot ASCII.

Datu pārsūtīšanu var veikt jebkurā no trim režīmiem:

• Straumēšanas režīms - dati tiek nosūtīti kā nepārtraukta straume, atbrīvojot FTP no jebkādas apstrādes. Tā vietā visu apstrādi veic TCP. Faila beigu indikators nav nepieciešams, izņemot datu sadalīšanu ierakstos.
• Bloka režīms - FTP sadala datus vairākos blokos (galvenes bloks, baitu skaits, datu lauks) un pēc tam pārsūta tos uz TCP.
• Saspiešanas režīms – dati tiek saspiesti, izmantojot vienu algoritmu (parasti kodējot darbības garumus).

FTP serveris ir serveris, kas nodrošina iespēju izmantot failu pārsūtīšanas protokolu. Tam ir noteiktas funkcijas, kas to atšķir no parastajiem tīmekļa serveriem:

• Nepieciešama lietotāja autentifikācija
• Visas darbības tiek veiktas pašreizējās sesijas ietvaros
• Spēja veikt dažādas darbības ar failu sistēmu
• Katram savienojumam tiek izmantots atsevišķs kanāls

FTP klients ir programma, kas ļauj izveidot savienojumu ar attālo serveri, izmantojot FTP, kā arī veikt tajā nepieciešamās darbības ar failu sistēmas elementiem. Klients var būt pārlūkprogramma, kuras adreses joslā jāievada adrese, kas ir ceļš uz noteiktu direktoriju vai failu attālajā serverī saskaņā ar vispārējo URL blokshēmu:

ftp://user:pass@address:port/directory/file

Tomēr tīmekļa pārlūkprogrammas izmantošana šajā kontekstā ļaus tikai skatīt vai lejupielādēt interesējošos failus. Lai pilnībā izmantotu visas FTP priekšrocības, klientam jāizmanto specializēta programmatūra.

FTP autentifikācija izmanto lietotājvārda/paroles shēmu, lai piešķirtu piekļuvi. Lietotājvārds tiek nosūtīts serverim ar komandu USER, bet parole tiek nosūtīta ar komandu PASS. Ja serveris akceptē klienta sniegto informāciju, tad serveris nosūtīs klientam ielūgumu un sesija sāksies. Ja serveris atbalsta šo funkciju, lietotāji var pieteikties, nesniedzot akreditācijas datus, taču serveris šādām sesijām var piešķirt tikai ierobežotu piekļuvi.

Uzņēmējs, kas nodrošina FTP pakalpojumu, var nodrošināt anonīmu FTP piekļuvi. Lietotāji parasti piesakās, izmantojot lietotājvārdu “anonīms” (dažos FTP serveros var būt reģistrjutīgs). Lai gan lietotājiem parasti paroles vietā tiek lūgts norādīt savu e-pasta adresi, pārbaude faktiski netiek veikta. Daudzi FTP resursdatori, kas nodrošina programmatūras atjauninājumus, atbalsta anonīmu piekļuvi.

Protokola diagramma

Klienta un servera mijiedarbību FTP savienojuma laikā var vizualizēt šādi:

Drošs FTP

FTP sākotnēji nebija paredzēts kā drošs, jo tas bija paredzēts saziņai starp vairākām militārām iekārtām un aģentūrām. Taču līdz ar interneta attīstību un izplatību neatļautas piekļuves risks ir daudzkārt palielinājies. Bija nepieciešamība aizsargāt serverus no dažāda veida uzbrukumiem. 1999. gada maijā RFC 2577 autori ievainojamības apkopoja šādā problēmu sarakstā:

• Slēptie uzbrukumi (atlēcienu uzbrukumi)
• Maldības uzbrukumi
• Brutālu spēku uzbrukumi
• Pakešu uztveršana, šņaukšana
• Ostas zagšana

Parastajam FTP nav iespēju pārsūtīt datus šifrētā veidā, kā rezultātā uzbrucēji var viegli un viegli pārtvert lietotājvārdus, paroles, komandas un citu informāciju. Parastais šīs problēmas risinājums ir izmantot "drošas", ar TLS aizsargātas ievainojamā protokola (FTPS) versijas vai citu, drošāku protokolu, piemēram, SFTP/SCP, kas tiek nodrošināts ar lielāko daļu Secure Shell protokola implementāciju.

FTPS

FTPS (FTP + SSL) ir standarta failu pārsūtīšanas protokola paplašinājums, kas papildina tā pamata funkcionalitāti šifrētu sesiju izveidi, izmantojot SSL (Secure Sockets Layer) protokolu. Mūsdienās aizsardzību nodrošina tā uzlabotais analogais TLS (Transport Layer Security).

SSL

SSL protokolu ierosināja Netscape Communications 1996. gadā, lai nodrošinātu interneta savienojumu drošību un privātumu. Protokols atbalsta klienta un servera autentifikāciju, ir neatkarīgs no lietojumprogrammām un ir caurspīdīgs HTTP, FTP un Telnet protokoliem.

SSL rokasspiediena protokols sastāv no diviem posmiem: servera autentifikācijas un izvēles klienta autentifikācijas. Pirmajā posmā serveris atbild uz klienta pieprasījumu, nosūtot tā sertifikātu un šifrēšanas parametrus. Pēc tam klients ģenerē galveno atslēgu, šifrē to ar servera publisko atslēgu un nosūta to serverim. Serveris atšifrē galveno atslēgu ar savu privāto atslēgu un autentificējas klientam, atgriežot ziņojumu, kas autentificēts ar klienta galveno atslēgu.

Turpmākie dati tiek šifrēti un autentificēti ar atslēgām, kas iegūtas no šīs galvenās atslēgas. Otrajā darbībā, kas nav obligāta, serveris nosūta pieprasījumu klientam, un klients autentificējas serverī, atgriežot pieprasījumu ar savu ciparparakstu un publiskās atslēgas sertifikātu.

SSL atbalsta dažādus kriptogrāfijas algoritmus. Sakaru izveides laikā tiek izmantota RSA publiskās atslēgas kriptosistēma. Pēc atslēgu apmaiņas tiek izmantoti daudzi dažādi šifri: RC2, RC4, IDEA, DES un TripleDES. Tiek izmantots arī MD5 - algoritms ziņojumu īssavilkuma izveidei. Publiskās atslēgas sertifikātu sintakse ir aprakstīta X.509.

Viena no svarīgajām SSL priekšrocībām ir tā pilnīga programmatūras platformas neatkarība. Protokols izstrādāts pēc pārnesamības principiem, un tā uzbūves ideoloģija nav atkarīga no lietojumprogrammām, kurās tas tiek izmantots. Turklāt ir arī svarīgi, lai citi protokoli tiktu pārredzami pārklāti virs SSL protokola; vai nu vēl vairāk palielināt mērķa informācijas plūsmu aizsardzības pakāpi, vai pielāgot SSL kriptogrāfijas iespējas kādam citam, precīzi definētam uzdevumam.

SSL savienojums

SSL nodrošinātajam drošajam kanālam ir trīs galvenie rekvizīti:

• Kanāls ir privāts. Šifrēšana tiek izmantota visiem ziņojumiem pēc vienkārša dialoga, kas kalpo slepenās atslēgas noteikšanai.
• Kanāls ir autentificēts. Sarunas servera puse vienmēr tiek autentificēta, savukārt klienta puse tiek pēc izvēles autentificēta.
• Kanāls ir uzticams. Ziņojumu pārsūtīšana ietver integritātes pārbaudi (izmantojot MAC).

FTPS funkcijas

Ir divas FTPS ieviešanas, izmantojot dažādas drošības nodrošināšanas metodes:

• Netiešā metode ietver standarta SSL protokola izmantošanu, lai pirms datu nosūtīšanas izveidotu sesiju, kas savukārt izjauc saderību ar parastajiem FTP klientiem un serveriem. Lai nodrošinātu atpakaļsaderību ar klientiem, kuri neatbalsta FTPS, vadības savienojumam tiek izmantots TCP ports 990, bet datu pārsūtīšanai tiek izmantots 989. Tas saglabā FTP protokola standarta portu 21. Šī metode tiek uzskatīta par novecojušu.
• Explicit ir daudz ērtāks, jo tas izmanto standarta FTP komandas, bet atbildot šifrē datus, kas ļauj izmantot vienu un to pašu vadības savienojumu gan FTP, gan FTPS. Klientam ir skaidri jāpieprasa droša datu pārsūtīšana no servera un pēc tam jāapstiprina šifrēšanas metode. Ja klients nepieprasa drošu pārsūtīšanu, FTPS serverim ir tiesības vai nu uzturēt, vai slēgt nedrošo savienojumu. Saskaņā ar RFC 2228 tika pievienots autentifikācijas un datu drošības sarunu mehānisms, kas ietver jauno FTP AUTH komandu. Lai gan šajā standartā nav skaidri definēti drošības mehānismi, tas tomēr nosaka, ka drošs savienojums ir jāuzsāk klientam, izmantojot iepriekš aprakstīto algoritmu. Ja serveris neatbalsta drošus savienojumus, ir jāatgriež kļūdas kods 504. FTPS klienti var iegūt informāciju par servera atbalstītajiem drošības protokoliem, izmantojot komandu FEAT, tomēr serverim nav jāatklāj, kādus drošības līmeņus tas nodrošina. atbalsta. Visizplatītākās FTPS komandas ir AUTH TLS un AUTH SSL, kas nodrošina attiecīgi TLS un SSL drošību.

SFTP

SFTP (Secure File Transfer Protocol) ir lietojumprogrammas slāņa failu pārsūtīšanas protokols, kas darbojas virs droša kanāla. Nejaukt ar (Simple File Transfer Protocol), kam ir tāds pats saīsinājums. Ja FTPS ir vienkārši FTP paplašinājums, tad SFTP ir atsevišķs un nesaistīts protokols, kas par pamatu izmanto SSH (Secure Shell).

Secure Shell

Protokolu izstrādāja viena no IETF grupām ar nosaukumu Secsh. Jaunā SFTP protokola darba dokumentācija nekļuva par oficiālu standartu, bet to sāka aktīvi izmantot lietojumprogrammu izstrādei. Pēc tam tika izlaistas sešas protokola versijas. Tomēr pakāpeniskā funkcionalitātes palielināšanās tajā noveda pie tā, ka 14. gada 2006. augustā tika nolemts pārtraukt darbu pie protokola izstrādes projekta galvenā uzdevuma (SSH izstrāde) izpildes un trūkuma dēļ. pietiekama eksperta līmeņa, lai pārietu uz pilnvērtīgas attālās failu sistēmas protokola izstrādi.

SSH ir tīkla protokols, kas ļauj attālināti vadīt operētājsistēmu un tunelēt TCP savienojumus (piemēram, failu pārsūtīšanai). Funkcionalitātē līdzīgs Telnet un rlogin protokoliem, taču atšķirībā no tiem tas šifrē visu trafiku, ieskaitot pārsūtītās paroles. SSH ļauj izvēlēties dažādus šifrēšanas algoritmus. SSH klienti un SSH serveri ir pieejami lielākajai daļai tīkla operētājsistēmu.

SSH ļauj droši pārsūtīt gandrīz jebkuru citu tīkla protokolu neaizsargātā vidē. Tādējādi jūs varat ne tikai strādāt attālināti datorā, izmantojot komandu apvalku, bet arī pārsūtīt audio straumi vai video (piemēram, no tīmekļa kameras) pa šifrētu kanālu. SSH var izmantot arī pārsūtīto datu saspiešanu turpmākai šifrēšanai, kas ir ērti, piemēram, attālinātai X WindowSystem klientu palaišanai.

Pirmo protokola versiju SSH-1 1995. gadā izstrādāja pētnieks Tatu Ulönens no Helsinku Tehnoloģiju universitātes (Somija). SSH-1 tika uzrakstīts, lai nodrošinātu lielāku privātumu nekā rlogin, telnet un rsh protokoli. 1996. gadā tika izstrādāta drošāka protokola versija SSH-2, kas nav saderīga ar SSH-1. Protokols ieguva vēl lielāku popularitāti, un 2000. gadā tam bija aptuveni divi miljoni lietotāju. Pašlaik termins “SSH” parasti nozīmē SSH-2, jo Protokola pirmā versija tagad praktiski netiek izmantota būtisku trūkumu dēļ. 2006. gadā protokolu kā interneta standartu apstiprināja IETF darba grupa.

Ir divas izplatītas SSH ieviešanas: privātā komerciālā un bezmaksas atvērtā koda. Bezmaksas ieviešana tiek saukta par OpenSSH. Līdz 2006. gadam 80% datoru internetā izmantoja OpenSSH. Patentēto ieviešanu izstrādā SSH Communications Security, pilnībā piederošs Tectia Corporation meitasuzņēmums, un tā ir bezmaksas nekomerciālai lietošanai. Šīs implementācijas satur gandrīz tādu pašu komandu kopu.

SSH-2 protokols, atšķirībā no telnet protokola, ir izturīgs pret satiksmes noklausīšanās uzbrukumiem (“sniffing”), bet nav izturīgs pret uzbrukumiem starp cilvēkiem. SSH-2 protokols ir izturīgs arī pret sesiju nolaupīšanas uzbrukumiem, jo ​​nav iespējams pievienoties vai nolaupīt jau izveidotu sesiju.

Lai novērstu “cilvēka vidū” uzbrukumus, kad tiek izveidots savienojums ar resursdatoru, kura atslēga klientam vēl nav zināma, klienta programmatūra lietotājam parāda “atslēgas pirkstu nospiedumu”. Ieteicams rūpīgi pārbaudīt klienta programmatūras parādīto “atslēgas momentuzņēmumu” ar servera atslēgas momentuzņēmumu, kas vēlams iegūts, izmantojot uzticamus sakaru kanālus vai klātienē.

SSH atbalsts ir pieejams visās UNIX līdzīgajās sistēmās, un lielākajai daļai ir ssh klients un serveris kā standarta utilītas. Ir daudz SSH klientu ieviešanas operētājsistēmām, kas nav UNIX. Protokols ieguva lielu popularitāti pēc plašās trafika analizatoru un vietējo tīklu darbības traucējumu metožu izstrādes kā alternatīvs risinājums nedrošajam Telnet protokolam svarīgu mezglu pārvaldīšanai.

Saziņa, izmantojot SSH

Lai strādātu, izmantojot SSH, ir nepieciešams SSH serveris un SSH klients. Serveris klausās savienojumus no klientu iekārtām un, kad savienojums ir izveidots, veic autentifikāciju, pēc tam sāk apkalpot klientu. Klients tiek izmantots, lai pieteiktos attālā mašīnā un izpildītu komandas.

Salīdzinājums ar FTPS

Galvenais, kas atšķir SFTP no standarta FTP un FTPS, ir tas, ka SFTP šifrē absolūti visas komandas, lietotājvārdus, paroles un citu konfidenciālu informāciju.

Gan FTPS, gan SFTP protokoli izmanto asimetrisku algoritmu (RSA, DSA), simetrisko algoritmu (DES/3DES, AES, Twhofish u.c.) kombināciju, kā arī atslēgu apmaiņas algoritmu. Autentifikācijai FTPS (vai precīzāk, SSL/TLS, izmantojot FTP) izmanto X.509 sertifikātus, savukārt SFTP (SSH protokols) izmanto SSH atslēgas.

X.509 sertifikātos ir iekļauta publiskā atslēga un informācija par īpašnieka sertifikātu. No otras puses, šī informācija ļauj pārbaudīt paša sertifikāta integritāti, autentiskumu un sertifikāta īpašnieku. X.509 sertifikātiem ir atbilstoša privātā atslēga, kas parasti drošības apsvērumu dēļ tiek glabāta atsevišķi no sertifikāta.

SSH atslēgā ir tikai publiskā atslēga (attiecīgā privātā atslēga tiek glabāta atsevišķi). Tajā nav nekādas informācijas par atslēgas īpašnieku. Dažas SSH ieviešanas autentifikācijai izmanto X.509 sertifikātus, taču tās faktiski nepārbauda visu sertifikātu ķēdi — tiek izmantota tikai publiskā atslēga (kas padara šādu autentifikāciju nepilnīgu).

Secinājums

FTP protokolam neapšaubāmi joprojām ir svarīga loma informācijas glabāšanā un izplatīšanā tīklā, neskatoties uz tā cienījamo vecumu. Tas ir ērts, daudzfunkcionāls un standartizēts protokols. Uz tās bāzes izveidoti daudzi failu arhīvi, bez kuriem tehniskais darbs nebūtu tik efektīvs. Turklāt to ir viegli iestatīt, un serveru un klientu programmas pastāv gandrīz visām pašreizējām un ne tik pašreizējām platformām.

Savukārt tā aizsargātās versijas atrisina glabājamo un pārsūtīto datu konfidencialitātes problēmu mūsdienu pasaulē. Abiem jaunajiem protokoliem ir savi plusi un mīnusi, un tiem ir nedaudz atšķirīga loma. Vietās, kur nepieciešams failu arhīvs, vēlams izmantot FTPS, īpaši, ja klasiskais FTP jau ir izmantots iepriekš. SFTP ir retāk sastopams, jo tas nav saderīgs ar veco protokolu, taču tas ir drošāks un tam ir vairāk funkcionalitātes, jo tas ir daļa no attālās pārvaldības sistēmas.

Avotu saraksts

• Kopsavilkums “FTP protokols. Vispārīga informācija un funkcijas"
• Kopsavilkums “SSH, CMIP, Telnet protokoli”
• Ziņot par "SSL/TLS"

Avots: www.habr.com