Prenos pomocou zabezpečeného FTP

Súbory môžete prenášať so šifrovaním pomocou FTPS v explicitnom režime (FTPES) pre spojenie s cieľovým serverom prenosu súborov.

Nastavenie zabezpečeného FTP prenosu

Pre zabezpečený prenos FTP nastavte [Using Secure Protocol] na [On] v nastaveniach cieľového servera prenosu súborov a importujte certifikát.

Bezpečnostné opatrenia týkajúce sa funkcie FTP

Pri FTP nie sú obsah, používateľské meno a heslo šifrované. Na bezpečný prenos údajov použite protokol FTPES (FTPS).

Informácie o funkcii FTPS

Funkcia FTPS podporuje rôzne šifrovacie algoritmy na zabezpečenie bezpečného prenosu súborov. Na zabezpečenie kompatibility so širokou škálou serverov je podporovaných viacero šifrovacích algoritmov, z ktorých niektoré nemusia byť v súlade so súčasnými osvedčenými bezpečnostnými postupmi.

Šifrovacie algoritmy podporované funkciou FTPS

Podporované sú nasledujúce šifrovacie algoritmy.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Odporúčané šifrovacie algoritmy

Na základe odporúčaní NIST (NIST SP 800-57 časť 1 revízia 5) a súvisiacich bezpečnostných noriem sa odporúčajú nasledujúce šifrovacie algoritmy.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

O zastaraných algoritmoch

Funkcia FTPS podporuje z dôvodu kompatibility aj nasledujúce algoritmy, ktoré sú však na základe odporúčaní NIST (NIST SP 800-57 časť 1 revízia 5) a súvisiacich bezpečnostných štandardov zastarané a v budúcej verzii môžu byť odstránené.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

O kompatibilite pripojenia

Funkcia FTPS je navrhnutá s ohľadom na rovnováhu medzi bezpečnosťou a kompatibilitou. V súčasnosti sú zastarané algoritmy podporované z nasledujúcich dôvodov, ale v budúcej verzii môžu byť odstránené s cieľom zlepšiť bezpečnosť.

  • Fotografovia a kameramani na voľnej nohe sa musia pripájať k serverom, ktoré bežia na rôznych klientoch.
  • Je potrebné zachovať kompatibilitu so staršími systémami a staršími servermi.
  • Nie všetci používatelia sú pripravení prejsť na bezpečnejšie nastavenie, pretože zmena nastavení šifrovacieho algoritmu na strane servera je komplikovaná.
  • Nastavenia FTPS sú často zdieľané s nastaveniami SSH a akékoľvek zmeny by mali vplyv na ostatné služby.
  • Na zabezpečenie interoperability v rôznych prostrediach je potrebné podporovať širokú škálu šifrovacích algoritmov.

Šifrovací algoritmus používaný počas pripojenia FTPS sa určuje automatickým vyjednávaním s cieľovým serverom, a preto závisí od nastavení servera. Hoci si uvedomujeme bezpečnostné riziká, v súčasnosti sa uprednostňuje kompatibilita, aby sa uspokojili rôzne potreby používateľov.

Bezpečnostné riziká

Používanie zastaraných algoritmov vrátane CBC/DHE/RSA/SHA-1 zvyšuje riziko, že zašifrované údaje môže útočník dešifrovať alebo s nimi manipulovať, čím sa údaje počas prenosu odhalia.

Odporúčanie pre bezpečné pripojenie

Pred použitím funkcie FTPS skontrolujte, či cieľový server pripojenia podporuje odporúčaný šifrovací algoritmus. Na strane servera povoľte iba odporúčané algoritmy a zakážte zastarané algoritmy.

Odkazy

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (obsahuje aktualizácie k 10. 6. 2016).
TP1001682497