Overdragen via Secure FTP

U kunt bestanden met versleuteling overdragen met behulp van FTPS voor de verbinding met de bestemmingsserver voor bestandsoverdracht in Expliciete modus (FTPES).

Veilige FTP-overdracht instellen

Voor veilige FTP-overdracht, stelt u [Using Secure Protocol] in op [On] in de instellingen van de bestemmingsserver voor bestandsoverdracht en importeert u een certificaat.

Voorzorgsmaatregelen met betrekking tot de FTP-functie

Bij FTP zijn de inhoud, de gebruikersnaam en het wachtwoord niet versleuteld. Gebruik FTPES (FTPS) voor beveiligde gegevensoverdracht.

Over de FTPS-functie

De FTPS-functie ondersteunt verschillende versleutelingsalgoritmes om een veilige bestandsoverdracht te garanderen. Verschillende versleutelingsalgoritmes, waarvan sommige mogelijk niet voldoen aan de huidige beste praktijken voor beveiliging, worden ondersteund voor compatibiliteit met een breed scala van servers.

Versleutelingsalgoritmes ondersteund door de FTPS-functie

De volgende versleutelingsalgoritmes worden ondersteund.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Aanbevolen versleutelingsalgoritmes

De volgende versleutelingsalgoritmes worden aanbevolen op basis van de NIST-aanbevelingen (NIST SP 800-57 Deel 1 Revisie 5) en gerelateerde beveiligingsstandaarden.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Over verouderde algoritmes

De FTPS-functie ondersteunt ook de volgende algoritmes voor compatibiliteit, maar deze zijn verouderd op basis van de NIST-aanbevelingen (NIST SP 800-57 Deel 1 Revisie 5) en gerelateerde beveiligingsstandaarden en worden mogelijk in een toekomstige versie verwijderd.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

Over verbindingscompatibiliteit

De FTPS-functie is ontworpen met een evenwicht tussen beveiliging en compatibiliteit. Momenteel worden verouderde algoritme ondersteund om volgende redenen, maar deze worden in een toekomstige versie mogelijk verwijderd om de beveiliging te verbeteren.

  • Freelance fotografen en videografen moeten verbinding maken met servers die op verschillende clients draaien.
  • Compatibiliteit met oudere systemen en verouderde servers moet onderhouden worden.
  • Niet alle gebruikers zijn bereid om over te stappen op veiligere instellingen, omdat het wijzigen van de instellingen van versleutelingsalgoritmes aan de serverkant ingewikkeld is.
  • FTPS-instellingen worden vaak met SSH-instellingen gedeeld en elke wijziging heeft een impact op andere diensten.
  • Er moet een breed scala aan versleutelingsalgoritmes worden ondersteund om interoperabiliteit in verschillende omgevingen te garanderen.

Het versleutelingsalgoritme dat wordt gebruikt tijdens een FTPS-verbinding wordt bepaald door automatische onderhandeling met de bestemmingsserver en is daarom van de serverinstellingen afhankelijk. Hoewel wij ons bewust zijn van de beveiligingsrisico's, wordt op dit moment voorrang gegeven aan compatibiliteit om aan de uiteenlopende behoeften van gebruikers te voldoen.

Beveiligingsrisico's

Het gebruik van verouderde algoritmes, waaronder CBC/DHE/RSA/SHA-1, vergroot het risico dat versleutelde gegevens worden ontsleuteld en gemanipuleerd door een aanvaller, waardoor er tijdens het overdragen toegang is tot gegevens.

Aanbevelingen voor beveiligde verbinding

Controleer voordat u de FTPS-streamingfunctie gebruikt of de bestemmingsserver van de verbinding het aanbevolen versleutelingsalgoritme ondersteunt. Schakel alleen de aanbevolen algoritmes aan de serverkant in en schakel de verouderde algoritmes uit.

Verwijzingen

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (bevat updates per 10/06/2016).
TP1001680793