FTP (File Transfer Protocol) in cele doua arome ale lui (pasiv si... activ, care nu se prea foloseste) a fost pus la punct in anii '70 si de atunci incoace s-a dovedit a fi de cel mai mare ajutor adminilor si clientilor oferind in primul rand posibilitatea de a transfera fisiere intre un server si statia locala. A ajuns astfel sa fie esential pentru accesul la website-ul propriu pe server-e. Dar datorita faptului ca autentificarea si transmisia datelor se facea in plain text si deci comunicatiile puteau fi interceptate, recent se opteaza mai degraba pentru FTPS (FTP criptat TLS/SSL, explicit sau implicit, ultimul abandonat de-a dreptul). Acestea fiind zise si respectele aduse, cu nostalgie ii uram adio, renuntand din anul 2015 complet la suportul pentru acesta; vom folosi de acum atat noi cat si voi doar SFTP (Secure sau SSH FTP). Care este cu totul alt animal, fiind doar asemanator ca nume.
De ce am facut acest pas? Pentru ca de-a lungul timpului FTP-ul s-a dovedit echivalentul unui cascaval gaunos cand vorbim de securitate, lista problemelor care le genereaza fiind una dintre cele mai lungi intr-ale IT-ului. Dupa Windows+webDAV. Si este o bizarerie TCP/IP avand nevoie pe langa clasicul port 21 (sau oricare altul ales pentru comunicare) si de un alt interval de porturi superioare neprivilegiate pe care de fapt se desfasoara transmisia datelor. De cele mai multe ori daca nu deschideai pe bune acele porturi, aceasta problema era mitigata din firewall-uri prin intermediul unor helper-e sau module care detecteaza traficul FTP, tin legatura cu server-ul si deschid apoi automat un port aleator, comunicat ambelor parti. Functioneaza chiar si pe FTPS "discutiile" despre porturi fiind necriptate astfel incat firewall-ul sa poate trage cu urechea la ele. Dar asta inseamna ca ametesti un pic un firewall care ar trebui sa fie imuabil ca sa fie firewall, sau ca deschizi cu miile de porturi si atunci sigur nu mai este firewall, basca cei din gasca de la networking care crapa de ras cand vii cu astfel de aberatii :) Si altele. Genereaza mai multe probleme decat rezolva plus ca poate ameti IDS/IPS-urile care exact astfel de comportamente urmaresc.
De ce acum? Am intins coarda cat s-a putut, si spre rusinea noastra ca toti adminii am mai facut trocuri: dificultate pentru noi=convenabil pentru client. Insa in primul rand tocmai pentru ca devine incredibil de popular in ultima vreme. Desi suna bizar, varza de marketing numita "cloud" este raspunzatoare de raspandirea lui fara precedent astfel incat absolut toata lumea a auzit in sfarsit de FTP, webDAV, VNC, VPN etc. Atat ca strict FTP-ul ar fi trebuit abandonat acum 20 de ani macar... Asta principial vorbind; in particular am avut de-a lungul timpului macar 5 evenimente dubioase clar legate de FTP si deja atacurile brute-force pe acest protocol au devenit prea de tot, chiar daca nu reusesc nimic.
Cu ce veti accesa de acum datele de pe server-ele noastre? Raspunsul este SFTP; care nu are nimic de a face cu FTPS. FTP-ul si FTPS-ul (atentie la acel "S" care joaca halucinant ba inainte ba dupa FTP) sunt practic acelasi lucru atat ca ultimul este criptat. SFTP-ul insa, inseamna de fapt protocolul SSH cu acelasi set de comenzi ca FTP care este alta tehnologie, iar autentificarea, trimiterea si primirea datelor este complet securizata si sunt facute printr-un singur port. Mai exista o confuzie aici cu "FTP over SSH" care inseamna de fapt FTP printr-un tunel SSH - nu este cazul nostru.
Ce trebuie sa modificati? Daca folositi un client de FTP dedicat gen Filezilla, este suficient sa schimbati tipul protocolului din FTP sau FTPS, in SFTP. Portul s-a modificat si el, completati de acum cu 2222. In rest nu este necesar sa mai faceti nimic, datele de autentificare si server-ul fiind aceleasi. Cand va veti conecta vi se va cere sa acceptati cheia server-ului nostru; adaugati aceasta permanent pentru a nu mai fi intrebati ulterior. Daca clientul dvs. FTP nu cunoaste acest protocol (ne indoim) pur si simplu optati pentru altul mai la zi si cu facilitatile de rigoare.
Alternative? Da, avem! Puteti folosi si webDAVS, o extensie pentru protocolul HTTPS, de web deci, care foloseste aceluiasi scop. Insa nu este activat implicit pe conturile clientilor, doar la cerere. Pentru ca necesita drepturi o idee mai slabe asupra directorului in care trebuie sa aiba acces si noua nu ne prea place acest lucru. Poate doar in interiorul unui director aparte si deci nu in radacina public_html fiind astfel nerecomandat in cazul nostru pentru lucrul la website-uri. Suplimentar, niciodata nu este bine sa urci ceva important in locatii unde are acces si server-ul web, altceva decat website-ul.
Cam asta ar fi. Va dorim spor la transferuri si poate ar trebui acum sa accesati acest articol pentru suport legat de SFTP pe server-ele Quanta.
Niciun comentariu:
Trimiteți un comentariu