نقل باستخدام FTP آمن
يمكنك نقل الملفات ذات تشفير باستخدام FTPS في وضع Explicit (FTPES) للاتصال مع خادم وجهة نقل الملف.
إعداد نقل FTP آمن
من أجل نقل FTP آمن، اضبط [Using Secure Protocol] على [On] في إعدادات خادم وجهة نقل الملف ثم قم باستيراد الشهادة.
الاحتياطات المتعلقة بوظيفة FTP
في FTP، لا تكون المحتويات واسم المستخدم وكلمة المرور مشفرة. لنقل الملف بأمان، استخدم FTPES (FTPS).
حول وظيفة FTPS
تدعم وظيفة FTPS خوارزميات التشفير المختلفة لضمان نقل الملفات بأمان. تُدعم خوارزميات التشفير المتعددة التي قد لا يتوافق بعضها مع أفضل ممارسات الحماية الحالية، لتتوافق مع مجموعة كبيرة من الخوادم.
خوارزميات التشفير المدعومة بوظيفة FTPS
إن خوارزميات التشفير التالية مدعومة.
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
خوارزميات التشفير الموصى بها
يُوصى بخوارزميات التشفير التالية بناء على توصيات NIST (NIST SP 800-57 الجزء 1 المراجعة 5) ومعايير الحماية ذات الصلة.
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
حول الخوارزميات غير الموصى به
تدعم وظيفة FTPS أيضًا الخوارزميات التالية للتوافق، ولكن لا يوصى بها بحسب توصيات NIST (NIST SP 800-57 الجزء 1 المراجعة 5) ومعايير الحماية ذات الصلة، وقد تُزال في أي إصدار مستقبلي.
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
حول توافق الاتصال
وظيفة FTPS مصممة بتوازن بين الحماية والتوافق. تُدعم الخوارزميات غير الموصى بها حاليًا للأسباب التالية، لكن يمكن إزالتها في أي إصدار مستقبلي لتحسين الحماية.
- يحتاج المصورون الفوتوغرافيون ومصورو الفيديو المستقلون إلى الاتصال بالخوادم المستضافة لدى العملاء المختلفين.
- يجب الحفاظ على التوافق مع الأنظمة والخوادم القديمة.
- ليس كل المستخدمين مستعدين للتغيير إلى إعدادات أكثر أمانًا لأن تغيير إعدادات خوارزمية التشفير من جانب الخادم يمثل أمرًا معقدًا.
- غالبًا ما تتم مشاركة إعدادات FTPS مع إعدادات SSH وأي تغييرات قد تؤثر على الخدمات الأخرى.
- يجب دعم مجموعة واسعة من خوارزميات التشفير لضمان إمكانية التشغيل البيني في بيئات مختلفة.
تُحدد خوارزمية التشفير المستخدمة أثناء اتصال FTPS عن طريق التفاوض التلقائي مع الخادم الوجهة، وبالتالي تعتمد على إعدادات الخادم. مع إدراك المخاطر الأمنية، تُعطى الأولوية حاليًا للتوافق لتلبية الاحتياجات المتنوعة للمستخدمين.
المخاطر الأمنية
يؤدي استخدام خوارزميات غير موصى بها، بما في ذلك CBC/DHE/RSA/SHA-1، إلى زيادة خطر فك تشفير البيانات المشفرة أو التلاعب بها من قبل المهاجمين، مما يؤدي إلى كشف البيانات أثناء النقل.
توصيات الاتصال الآمن
قبل استخدام وظيفة FTPS، تحقق من أن خادم وجهة الاتصال يدعم خوارزمية التشفير الموصى بها. قم بتمكين الخوارزميات الموصى بها فقط من جهة الخادم وعطل الخوارزميات غير الموصى بها.
المراجع
- Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
- Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
- Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005. (يتضمن التحديثات حتى 06/10/2016)