Home > Bez kategorii > Sicherheit von SFTP gegen FTPS

Sicherheit von SFTP gegen FTPS

In den letzten zehn Jahren, als die Internetsicherheit zu einem Hauptanliegen der IT-Fachkräfte wurde, ist eine der häufigsten Fragen von Administratoren und Anwendern: “Was ist sicherer, SFTP oder FTPS?” Kurz gesagt, bieten beide Protokolle eine Ein hohes Sicherheitsniveau und beides sind geeignet, die Anforderungen zu erfüllen, die die meisten Organisationen durch interne Richtlinien und staatliche und bundesstaatliche Vorschriften erfüllen, einschließlich des HIPAA (Health Insurance Portability and Accountability Act), des Sarbanes-Oxley Act (SOX), der Gramm-Leach -Bliley Act (GLBA), usw.Für diejenigen, die ein tieferes Verständnis der Unterschiede zwischen diesen beiden Dateiübertragungsprotokollen suchen, wird in diesem Artikel überprüft, was wir unter “Sicherheit” verstehen und wie diese Protokolle funktionieren und welche Mechanismen sie verwenden die Sicherheit einer Übertragung. Bei der Bewertung der Sicherheit einer bestimmten Methode zur Übertragung von Daten zwischen Systemen sind die meisten Benutzer damit beschäftigt, drei Bedingungen zu erfüllen: 1. Vertraulichkeit – Sicherstellen, dass niemand außer dem beabsichtigten Empfänger die gesendeten Daten sehen kann.
2. Integrität – Sicherstellen, dass die Daten nicht von einer nicht autorisierten Partei geändert werden können, bevor sie den beabsichtigten Empfänger erreichen.
3. Authentizität – Sicherstellen, dass sowohl der Absender als auch der Empfänger die Personen sind, für die sie sich ausgeben. Nachdem wir nun wissen, welche Art von Sicherheit wir benötigen, können wir untersuchen, wie die FTPS- und SFTP-Protokolle funktionieren und wie diese Sicherheitsziele erreicht werden Kombination von zwei Technologien: FTP und SSL. FTP ist ein Netzwerk-Dateiübertragungsprotokoll, das 1980 erstmals in RFC 959 beschrieben wurde und seitdem zahlreiche Änderungen und Ergänzungen erfahren hat. FTP bietet an sich keine sinnvolle Sicherheit. Verbindungen sind passwortgeschützt, aber alle Daten (einschließlich Passwörter) werden im Klartext über das Netzwerk gesendet. Eine FTP-Verbindung kann durch Verwendung des SSL / TLS-Protokolls gemäß RFC 2228 gesichert werden. Diese Kombination aus FTP mit SSL / TLS wird als FTPS bezeichnet, und die meisten Clients und Server unterstützen sie, ohne dass dafür erhebliches Fachwissen erforderlich ist des Benutzers.SFTP ist ein völlig anderes Protokoll als FTP, obwohl es auf die gleiche Weise verwendet wird. SFTP wurde zuerst in RFC 4253 beschrieben. Wo FTPS SSL zum Sichern der Verbindung verwendet, verwendet SFTP das SSH-Protokoll. SSL und SSH, die Sicherheitsprotokolle, die von FTPS bzw. SFTP verwendet werden, verwenden beide im Wesentlichen die gleichen Techniken zum Sichern einer Verbindung. Der Hauptunterschied besteht darin, wie sie mit der Authentifizierung umgehen (Nummer 3 in unserer Liste der Sicherheitsbedingungen). SSL verwendet X.509-Zertifikate, bei denen SSH stattdessen SSH-Schlüssel verwendet. Viele halten SSL für einen leichten Vorteil gegenüber SSH. Ein X.509-Zertifikat (besser bekannt als SSL-Zertifikat) ist ein Paket, das einen Schlüssel enthält (wie die von SSH verwendeten Schlüssel), aber auch zusätzliche Informationen über den Besitzer des Zertifikats enthält. Ein Zertifikat wird in der Regel von einer Zertifizierungsstelle (auch CA genannt) ausgestellt, bei der es sich um eine vertrauenswürdige Quelle handelt, die Schritte unternommen hat, um die Echtheit des Unternehmens oder der Person zu überprüfen, der / die das Zertifikat ausgestellt hat Schlüssel von einem Handelspartner Sie haben Ihre eigene Methode zur Überprüfung der Echtheit des Schlüssels, wobei SSL Ihnen ermöglicht, diesen Auftrag an die Zertifizierungsstelle zu delegieren, die das SSL-Zertifikat ausgestellt hat. Dieser Unterschied in der Herangehensweise an die Authentifizierung ist nicht notwendigerweise ein Slam-Dunk von SSL. Zum Beispiel, wer ist zu sagen, dass Zertifizierungsstellen über jeden Vorwurf erhaben sind? Es ist sicherlich denkbar, dass ein extrem cleverer böswilliger Benutzer einen Weg finden könnte, eine CA dazu zu bringen, ein Zertifikat an die falsche Person auszustellen. Ebenso werden die informellen Techniken, die häufig verwendet werden, um die Authentizität eines SSH-Schlüssels zu verifizieren (wie z. B. die verbale Bestätigung des Fingerabdrucks eines Schlüssels per Telefon), von vielen als sehr zuverlässig angesehen. In der Praxis wird jedoch immer häufiger SSL (und FTPS) verwendet. Da also FTPS und SFTP ein ähnliches Sicherheitsniveau bieten, gibt es andere Gründe, sich für eines zu entscheiden? Angenommen, Sie haben die Wahl, da viele Benutzer mit Systemen kommunizieren müssen, in denen diese Entscheidung bereits getroffen wurde, gibt es einige Kriterien, die bei der Auswahl zwischen SFTP und FTPS in Betracht gezogen werden. FTPS ist beliebter, daher ist es wahrscheinlicher, dass andere mit wem Sie möchten Daten austauschen, um sie zu unterstützen. Vorteil: FTPS.SFTP ist aus Netzwerksicht einfacher zu administrieren (Firewalls, etc.). SFTP verwendet nur einen einzigen TCP-Port, für den FTPS zwei benötigt. Vorteil: SFTP.FTPS ist flexibler und verwendet unter den richtigen Umständen weniger Rechenressourcen als SFTP, was zu einer schnelleren Leistung führen kann. Advantage FTPS.SFTP ist ein neueres Protokoll mit klar definierten Standards. Zum Beispiel verwendet SFTP ein standardisiertes Verzeichnislistenformat, wobei FTPS dies nicht tut. Neuere Ergänzungen zu FTP bieten eine standardisierte Möglichkeit zum Abrufen einer Verzeichnisliste, obwohl es nicht allgemein unterstützt wird. Es ist nicht unüblich, Interoperabilitätsprobleme aufzudecken, wenn FTP-Implementierungen von verschiedenen Anbietern verbunden werden, wobei SFTP solche Probleme weniger häufig vorfindet (obwohl sie von Zeit zu Zeit auftreten). Vorteil: SFTP.Wie beide Dateiübertragungsprotokolle ihre Vorteile haben, ist es wahrscheinlich, dass sie für die absehbare Zukunft nebeneinander existieren werden. Glücklicherweise haben Anbieter diesen Trend erkannt, und viele Produkte unterstützen beide Protokolle gleichermaßen, so dass die Wahl zwischen SFTP und FTPS weitgehend akademisch ist. Zusammenfassend bieten SFTP und FTPS ein ähnliches Sicherheitsniveau und beide sind gut geeignet, um die Anforderungen der meisten Organisationen zu erfüllen einschließlich solcher, die an staatliche und bundesstaatliche Vorschriften gebunden sind, wie das Gesetz über die Übertragbarkeit und Rechenschaftspflicht der Krankenversicherung (HIPAA), den Sarbanes-Oxley Act (SOX), den Gramm-Leach-Bliley Act (GLBA) usw.

Errol Siegel ist Produktmanager bei Serengeti Systems Incorporated, einem führenden Anbieter von sicheren, automatisierten Dateiübertragungslösungen für kleine und mittlere Unternehmen. Seit 2001 leitet Siegel das Team für die Robo-FTP-Suite, einen sicheren File-Transfer-Server und Client, der von Grund auf für die Automatisierung von FTP-, FTPS-, SFTP-, HTTP- und HTTPS-Dateiübertragungen und damit verbundenen Aufgaben wie PGP-Verschlüsselung entwickelt wurde. ZIP, E-Mail (SMTP) und Datenbankzugriff (ODBC) .Siegel hat einen Bachelor-Abschluss in Luft- und Raumfahrttechnik von der University of Michigan.

You may also like...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.