Az FTP protokoll világa
Az FTP, vagyis a File Transfer Protocol, olyan megoldás, amely már az internet korai napjaiban lehetővé tette a fájlok egyszerű cseréjét két számítógép között. Működése során a kliens és a szerver között parancs- és adatcsatornák jönnek létre; ezek a csatornák azonban nem alkalmaznak titkosítást, így a továbbított adatok vagy hitelesítő információk könnyen lehallgathatók. Emiatt az FTP napjainkban már inkább elavultnak számít, hiszen egyre nagyobb hangsúly helyeződik a kommunikáció biztonságára. Ugyanakkor bizonyos, nem kritikus jellegű belső teszthálózatokban vagy egyszerű fájlmegosztás során még mindig előfordulhat, hogy valaki azért választja, mert beállítása és használata viszonylag gyorsan megtanulható és nem igényel különféle tanúsítványokat. A statikus portok mellett dinamikusan nyíló adatkapcsolatok is használatba kerülnek, ami tűzfalon való áthaladást időnként nehezítheti. Ennek következtében az FTP már nem tekinthető hosszú távú, biztonságos megoldásnak, főként akkor, ha érzékeny információk vagy üzleti titkok továbbítása a cél, hiszen a modern támadási technikák könnyedén feltörhetik az ilyen, védtelen csatornákat.
SFTP – biztonság egyetlen csatornában
Az SFTP, vagyis az SSH File Transfer Protocol, más néven Secure File Transfer Protocol, teljesen eltér az FTP-től abból a szempontból, hogy minden kommunikáció egyetlen titkosított alagúton zajlik. Ennek köszönhetően nem csupán a fájlok tartalma, hanem a felhasználói hitelesítő adatok is végponttól végpontig védve vannak a külső behatolásokkal és közbeékelődéses támadásokkal szemben. A rendszer lényegében az SSH protokoll bizalmi és titkosítási mechanizmusait használja fel, így nincs szükség külön adatcsatornák vagy dinamikusan megnyíló portok alkalmazására. Ez nemcsak átláthatóbbá, hanem megbízhatóbbá is teszi a tűzfalakon való áthaladást, mivel általában csak a jól ismert, egyetlen, huszonkettes portot kell engedélyezni a hálózati eszközökön. Ezzel együtt az SFTP beállítása egyszerű, és mivel nem igényel X.509 típusú tanúsítványokat, a karbantartása is kevesebb adminisztratív terhet ró a rendszergazdákra. Emiatt vállalati környezetben és internetes szolgáltatásoknál egyaránt elterjedt, hiszen egyesíti a biztonságot a felhasználóbarát működéssel.
FTPS – SSL/TLS alapú titkosítás FTP felett
Az FTPS hasonlít a hagyományos FTP szerkezetéhez, de kiegészíti azt az SSL/TLS protokollok által nyújtott védelmi réteggel. Így a parancsszintű és az adatátviteli csatornák külön-külön kapcsolódhatnak egy-egy titkosított kapcsolatban, ami jóval biztonságosabbá teszi a fájlmozgást. Mivel azonban az FTP-ből indul ki, továbbra is több port használatát követeli meg, úgy a parancsokra, mint a dinamikusan létrejövő adatkapcsolatokra, emiatt a tűzfalakon történő szabályozás bonyolultabb, több lépésben kell kialakítani a megfelelő átjárhatóságot. Ugyanakkor sok olyan szervezet számára ideális, ahol már hosszú ideje működik FTP infrastruktúra, és nem szeretnék lecserélni a jól bejáratott folyamatokat. Az FTPS esetén X.509 típusú tanúsítványokat alkalmazunk, ezekkel bizonyítjuk a szerver hitelességét, és gondoskodunk az adatfolyam titkosításáról. Így az átállás viszonylag zökkenőmentes lehet olyan helyeken, ahol a kezelők ismerik az FTP parancsait, de most már megkövetelik a jogszabályi vagy üzleti titoktartás feltételeit is biztosító titkosított továbbítást.
A megfelelő protokoll kiválasztása
Amikor arról döntünk, hogy melyik fájlátviteli protokollt érdemes bevezetni, figyelembe kell venni a biztonsági követelményeket, a hálózati környezet összetettségét, valamint a már létező infrastruktúra jellemzőit. Ha sebesség, egyszerűbb beállíthatóság és belső, nem kritikus teszthálózaton történő adatcserélés a cél, akkor továbbra is előfordulhat, hogy valaki az FTP mellett dönt. Amennyiben azonban adataink biztonsága az elsődleges szempont, érdemes olyan megoldást választani, ahol minden kapcsolati réteg titkosított, és minimális a konfigurációs ráfordítás. Ilyen esetben az SFTP a leggyakoribb választás, hiszen egyetlen portot kell átengedni a tűzfalon, valamint nem kell extra tanúsítványokkal bajlódni. Választhatjuk az FTPS-t is, ha ragaszkodunk az FTP-s parancsokhoz és az ehhez kapcsolódó működési logikához, miközben igényeljük az SSL/TLS nyújtotta biztonságot. Ilyenkor azonban számolnunk kell a több porton áthaladó adatkapcsolatok tűzfalon történő engedélyezésével, valamint a tanúsítványkezelés adminisztrációs igényével. A döntésnél mindig azt szem előtt tartva járjunk el, hogy az adatok védelme és a hálózati eszközök kompatibilitása egyaránt biztosított legyen az adott környezetben.
