Siirtäminen käyttämällä suojattua FTP:tä

Voit siirtää FTPS-salattuja tiedostoja tiedostonsiirron kohdepalvelinyhteyden Explicit-tilassa (FTPES).

Salatun FTP-siirron määrittäminen

Jos haluat käyttää suodattua FTP-siirtoa, määritä kohdan [Using Secure Protocol] asetukseksi [On] tiedostonsiirron kohdepalvelimen asetuksissa ja tuo varmenne.

Muistettavaa liittyen FTP-toimintoon

FTP-toiminnossa sisällöt, käyttäjänimi ja salasana eivät ole salattuja. Käytä turvalliseen tiedonsiirtoon FTPES:ää (FTPS).

Tietoja FTPS-toiminnosta

FTPS-toiminto tukee useita salausalgoritmeja, jotka varmistavat turvallisen tiedoston siirron. Monet palvelintyypit ovat yhteensopivia ja tukevat useita salausalgoritmeja, joista osa ei välttämättä ole yhteensopivia tämänhetkisten parhaiden turvallisuuskäytäntöjen kanssa.

FTPS-toiminnon tukemat salausalgoritmit

Seuraavia salausalgoritmeja tuetaan.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Suositeltavat salausalgoritmit

Seuraavia salausalgoritmeja suositellaan NIST-suositusten (NIST SP 800-57 Part 1 Revision 5) ja niihin liittyvien turvallisuusstandardien perusteella.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Tietoja vanhentuneista algoritmeista

FTPS-toiminto tukee myös seuraavia algoritmeja, mutta ne ovat vanhentuneita NIST-suositusten (NIST SP 800-57 Part 1 Revision 5) ja niihin liittyvien turvallisuusstandardien perusteella. Ne voidaan poistaa tulevista versioista.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

Tietoja yhteyden yhteensopivuudesta

FTPS-toiminto on suunniteltu tarjoamaan tasapainoa turvallisuuden ja yhteensopivuuden välillä. Tällä hetkellä vanhentuneita algoritmeja tuetaan seuraavista syistä, mutta ne voidaan poistaa tulevista versioista turvallisuuden parantamiseksi.

  • Freelance-valokuvaajien ja -videokuvaajien on kyettävä muodostamaan yhteys eri asiakkaiden palvelimiin.
  • Yhteensopivuus vanhempien järjestelmien ja perinteisten palvelimien kanssa on säilytettävä.
  • Kaikki käyttäjät eivät ole valmiita vaihtamaan turvallisempaan kokoonpanoon, sillä palvelimen salausalgoritmiasetusten muuttaminen on monimutkaista.
  • FTPS-asetukset jaetaan usein SSH-asetusten kanssa, ja kaikki muutokset voivat vaikuttaa muihin palveluihin.
  • Salausalgoritmien laaja tuki on tarpeen, jotta voidaan varmistaa eri ympäristöjen välinen käyttö.

FTPS-yhteyden aikana käytetty algoritmi määräytyy kohdepalvelimen kanssa käydyn automaattisen neuvottelun tuloksena, ja siksi se riippuu palvelinasetuksista. Vaikka käyttäjät ovat tietoisia turvallisuusriskeistä, yhteensopivuus on yleensä etusijalla käyttäjien erilaisten tarpeiden tyydyttämiseksi.

Turvallisuusriskit

Vanhentuneiden algoritmien, kuten CBC/DHE/RSA/SHA-1, käyttö lisää salattujen tietojen salauksen purkautumis- tai peukalointiriskiä, mikä altistaa tiedot hyökkäyksille siirron aikana.

Suositukset turvalliselle yhteydelle

Ennen kuin käytät FTPS-toimintoa, tarkista että yhteyden kohdepalvelin tukee suositeltavaa salausalgoritmia. Salli vain suositeltujen algoritmien käyttö palvelinpuolella ja poista vanhentuneet algoritmit käytöstä.

Lähteet

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (sisältää 10/06/2016 tehdyt päivitykset).
TP1001680935