ФТП или протокол за пренос датотека је један од најпопуларнијих метода преноса података доступних за различите случајеве употребе.
ФТП има различите безбедне варијације које су доступне, познате као ФТПС и СФТП, што укључује неке суптилне и неке не баш суптилне разлике у њиховом раду. Ове разлике се односе на начин на који се подаци размењују, ниво и тип безбедности у комуникацији и разматрања заштитног зида.
Познавање начина на који ови протоколи функционишу и разлике између ових популарних механизама преноса могу вам помоћи да одаберете који од њих најбоље одговара вашим потребама.
Преглед садржаја
ФТП
ФТП је деценијама стар протокол за пренос датотека првобитно предложен под РФЦ 114. Касније се развио у РФЦ 959, што је стандард који се данас користи.
ФТП ради на два канала за размену информација: један за команде, а други за податке. Ово захтева два порта да би ФТП радио – командни канал и канал података.
Командни канал ради на порту 21, који прихвата везе од клијената и управља прослеђивањем команди. Командни канал остаје отворен током целог трајања ФТП сесије све док клијент не пошаље наредбу КУИТ или док сервер не прекине везу због неактивности или било ког другог могућег разлога.
Канал података користи привремени порт на захтев који слуша на серверу (пасивни режим) или клијенту (активни режим). Овај канал је одговоран за дељење стварних података између сервера и клијента у облику листе директоријума и преноса датотека.
За разлику од командног канала, канал података остаје отворен само током преноса датотеке, а чим се заврши, канал података се затвара. За истовремени пренос више датотека или листа директоријума, потребно је више портова канала података.
ФТП је инхерентно несигуран протокол јер и командни и канали података преносе информације у нешифрованом облику, који је лако подложан пресретању од стране било кога ко користи нападе „човјек у средини“.
Као што је раније речено, ФТП захтева улазну везу на порту 21/тцп на страни сервера за командни канал. Пасивни опсег портова је дефинисан за пренос датотека и листе директоријума и дозвољава улазне везе. Овај процес дефиниције може да варира у зависности од ФТП сервера који се користи. За више детаља погледајте његову документацију. На страни клијента треба дозволити излазну везу на порту 21/тцп заједно са пасивним опсегом портова дефинисаним на серверу.
Аутентификација на ФТП-у
Информације о ФТП аутентификацији се прослеђују преко командног канала током почетног успостављања везе. ФТП може да користи корисничко име и лозинку за аутентификацију, или може бити анониман да дозволи било коме да се пријави и приступи серверу.
Активни и пасивни ФТП режими
ФТП користи активни или пасивни режим за постављање веза.
У активном режиму, корисник се повезује са случајног порта на ФТП клијенту на ФТП порт 21/тцп на серверу и шаље команду ПОРТ, наводећи на који порт клијента треба да се повеже сервер. Овај порт ће се користити за канал података.
Сервер се затим повезује са порта 20/тцп на порт клијента који је клијент раније специфицирао командом ПОРТ. Овај канал података се затим користи за пренос датотека између сервера и клијента.
У пасивном режиму, клијент се повезује са случајног порта са ФТП клијента на порт 21/тцп на серверу и шаље ПАСВ команду. Сервер затим одговара насумичним портом који треба да се користи за канал података. Клијент затим користи други насумични порт за повезивање са портом на који је сервер одговорио у ранијем кораку. Ова веза канала података се затим користи за пренос датотека између сервера и клијента.
Дакле, у активном режиму, почетни захтев за повезивање иницира клијент, док захтев за повезивање канала података иницира сервер.
С друге стране, у пасивном режиму, и захтеви за почетну везу и накнадни захтеви за канал података иницира клијент серверу. Ова суптилна разлика понекад утиче на то како заштитни зид дозвољава/блокира традиционалне ФТП захтеве због смера типа долазне/одлазне везе.
ФТПС
Чак и ако сте вољни да преузмете ризике повезане са ФТП-ом са нешифрованим преносом података и нападима „маин-ин-тхе-миддле“, захтеви индустрије вас приморавају да користите безбеднију алтернативу као што су ФТПС и СФТП, који су релативно много сигурнији.
Године 1990, са променом безбедносног окружења, Нетсцапе је створио ССЛ или Сецуре Соцкетс Лаиер (ССЛ, сада познат као ТЛС) протокол за заштиту комуникације преко мреже. ССЛ је примењен на ФТП који је постао ФТПС или сигуран протокол за пренос датотека. ФТПС или ФТП/С обично ради на порту 990/тцп, али се може видети и на порту 21/тцп. Слично, за канал података порт 989/тцп је заједнички порт који се користи за ФТПС. Ако је командни порт 21/тцп, очекује се да ће његов порт података бити 20/тцп.
Као и ФТП, ФТПС користи два канала за комуникацију: командни и податковни канал. Канал података може бити шифрован помоћу ФТПС-а, или се и командни и канали података могу шифровати ради веће безбедности.
ФТПС, као и ФТП, такође користи више портова за командне и канале података. Дакле, порт 21/тцп се користи за почетно повезивање и пренос информација о аутентификацији. Касније ће бити потребни различити портови да се подесе канали података за сваки захтев за пренос датотека или листинг директоријума од клијента. Стога, као и ФТП, потребан му је опсег портова који ће бити дозвољен у вашем заштитном зиду.
Аутентификација у ФТПС-у
Аутентификација за ФТПС функционише коришћењем корисничког имена и лозинке заједно са сертификатом сервера за шифровање. Када се ФТПС клијент повеже са сервером, он проверава да ли је сертификат сервера поуздан за наставак везе. Овај сертификат се може захтевати од клијента и сервера.
СФТП
За разлику од ФТП-а и ФТПС-а, СФТП (ССХ Филе Трансфер Протоцол) је потпуно другачији протокол изграђен на ССХ-у (или Сецуре Схелл-у). СФТП, подразумевано, ради на порту 22/тцп, исто као и ССХ, иако се може конфигурисати да користи прилагођени бесплатни порт на серверу.
СФТП је безбедан ФТП протокол који користи ССХ испод за слање и примање датотека. Пошто је ССХ потпуно шифрован, СФТП је робустан и сигуран метод за пренос датотека преко мреже.
СФТП, за разлику од ФТП-а и ФТПС-а, користи један комуникациони канал за пренос команди и саобраћаја података, који се сви прослеђују у шифрованом облику заједно са почетном аутентификацијом.
Аутентификација у СФТП-у
Аутентификација у СФТП-у се може обавити путем једноставног корисничког имена и лозинке, али за разлику од ФТП-а, све информације, укључујући детаље о аутентификацији, се преносе шифроване преко мреже.
СФТП такође подржава аутентификацију користећи пар кључева ССХ, комбинацију приватних и јавних кључева, где клијент обезбеђује приватни кључ за наведеног корисника, а сервер треба да има одговарајући јавни кључ да би аутентификација успела. То је сигурније него коришћење комбинације корисничког имена/лозинке. Могуће је аутентификовати истог корисника користећи лозинку и ССХ кључеве ако су обе методе конфигурисане на СФТП серверу.
Резиме
Овај чланак сумира основне карактеристике различитих популарних протокола за пренос датотека, односно ФТП, ФТПС и СФТП, и наглашава суптилне и главне разлике између ових протокола. Покрива портове које треба дозволити у заштитном зиду да би се подесио радни ФТП/ФТПС/СФТП сервер, а истовремено наглашава потребу за преласком на безбедније протоколе као што су ФТПС и СФТП.
Када овде кажем ФТП, мислим на све протоколе о којима се расправља у овом чланку. Разлог је то што је ФТП стар деценијама, а чак се и новије безбедне верзије понекад називају ФТП уместо њиховим одређеним именом за свакодневну употребу.
Можда ћете бити заинтересовани и за најбољи софтвер за ФТП сервер и ФТП/СФТП клијенте.