การโอนย้ายโดยใช้ FTP ที่ปลอดภัย

คุณสามารถโอนย้ายไฟล์ที่มีการเข้ารหัสลับไว้โดยใช้ FTPS ในโหมด Explicit (FTPES) สำหรับการเชื่อมต่อกับเซิร์ฟเวอร์ปลายทางการโอนย้ายไฟล์

การตั้งค่าการโอนย้ายด้วย FTP ที่ปลอดภัย

สำหรับการโอนย้ายด้วย FTP ที่ปลอดภัย ให้ตั้ง [Using Secure Protocol] เป็น [On] ในการตั้งค่าเซิร์ฟเวอร์ปลายทางการโอนย้ายไฟล์และนำเข้าใบรับรอง

ข้อควรระวังเกี่ยวกับฟังก์ชัน FTP

ใน FTP เนื้อหา ชื่อผู้ใช้ และรหัสผ่านจะไม่ได้รับการเข้ารหัส สำหรับการโอนย้ายข้อมูลที่ปลอดภัย ให้ใช้ FTPES (FTPS)

เกี่ยวกับฟังก์ชัน FTPS

ฟังก์ชัน FTPS รองรับอัลกอริทึมการเข้ารหัสต่างๆ เพื่อให้มั่นใจถึงการโอนย้ายไฟล์ที่ปลอดภัย รองรับอัลกอริทึมการเข้ารหัสหลายแบบ ซึ่งบางแบบอาจไม่สอดคล้องกับแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดในปัจจุบัน เพื่อให้เข้ากันได้กับเซิร์ฟเวอร์ที่หลากหลาย

อัลกอริทึมการเข้ารหัสที่รองรับโดยฟังก์ชัน FTPS

อัลกอริทึมการเข้ารหัสที่รองรับมีดังต่อไปนี้

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

อัลกอริทึมการเข้ารหัสที่แนะนำ

แนะนำให้ใช้อัลกอริทึมการเข้ารหัสต่อไปนี้ตามคำแนะนำของ NIST (NIST SP 800-57 ส่วนที่ 1 การแก้ไขครั้งที่ 5) และมาตรฐานความปลอดภัยที่เกี่ยวข้อง

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

เกี่ยวกับอัลกอริทึมที่เลิกใช้แล้ว

ฟังก์ชัน FTPS ยังรองรับอัลกอริทึมความเข้ากันได้ต่อไปนี้ แต่จะไม่รองรับอีกต่อไปตามคำแนะนำของ NIST (NIST SP 800-57 ส่วนที่ 1 การแก้ไขครั้งที่ 5) และมาตรฐานความปลอดภัยที่เกี่ยวข้อง และอาจถูกลบออกในเวอร์ชันถัดไป

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

เกี่ยวกับความเข้ากันได้ของการเชื่อมต่อ

ฟังก์ชัน FTPS ได้รับการออกแบบให้มีความสมดุลระหว่างความปลอดภัยและความเข้ากันได้ ปัจจุบัน อัลกอริธึมที่เลิกใช้แล้วได้รับการรองรับด้วยเหตุผลต่อไปนี้ แต่อาจถูกลบออกในเวอร์ชันถัดไปเพื่อปรับปรุงความปลอดภัย

  • ช่างภาพและช่างวิดีโออิสระจำเป็นต้องเชื่อมต่อกับเซิร์ฟเวอร์ที่ทำงานบนไคลเอนท์ต่างๆ
  • จำเป็นต้องรักษาความเข้ากันได้กับระบบเก่าและเซิร์ฟเวอร์เดิม
  • ผู้ใช้บางรายอาจไม่พร้อมที่จะเปลี่ยนเป็นการตั้งค่าที่ปลอดภัยยิ่งขึ้น เนื่องจากการเปลี่ยนการตั้งค่าอัลกอริทึมการเข้ารหัสทางฝั่งเซิร์ฟเวอร์มีความซับซ้อน
  • การตั้งค่า FTPS มักใช้ร่วมกับการตั้งค่า SSH และการเปลี่ยนแปลงใดๆ อาจส่งผลกระทบต่อบริการอื่น
  • จะต้องรองรับอัลกอริทึมการเข้ารหัสที่หลากหลายเพื่อให้แน่ใจว่าสามารถทำงานร่วมกันได้ในสภาพแวดล้อมที่แตกต่างกัน

อัลกอริทึมการเข้ารหัสที่ใช้ในระหว่างการเชื่อมต่อ FTPS ถูกกำหนดโดยการเจรจาอัตโนมัติกับเซิร์ฟเวอร์ปลายทาง ดังนั้นจึงขึ้นอยู่กับการตั้งค่าเซิร์ฟเวอร์ แม้จะตระหนักถึงความเสี่ยงด้านความปลอดภัย แต่ความเข้ากันได้เป็นสิ่งสำคัญที่สุดเพื่อตอบสนองความต้องการที่หลากหลายของผู้ใช้

ความเสี่ยงด้านความปลอดภัย

การใช้อัลกอริธึมที่เลิกใช้แล้ว รวมถึง CBC/DHE/RSA/SHA-1 จะเพิ่มความเสี่ยงที่ข้อมูลที่เข้ารหัสอาจถูกถอดรหัสหรือดัดแปลงโดยผู้โจมตี และส่งผลให้ข้อมูลถูกเปิดเผยระหว่างการโอนย้าย

คำแนะนำสำหรับการเชื่อมต่อที่ปลอดภัย

ก่อนใช้ฟังก์ชัน FTPS ให้ตรวจสอบว่าเซิร์ฟเวอร์ปลายทางการเชื่อมต่อรองรับอัลกอริทึมการเข้ารหัสที่แนะนำหรือไม่ เปิดใช้งานเฉพาะอัลกอริทึมที่แนะนำบนฝั่งเซิร์ฟเวอร์ และปิดใช้งานอัลกอริทึมที่เลิกใช้แล้ว

การอ้างอิง

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (รวมถึงการปรับปรุง ณ วันที่ 10/06/2016).
TP1001682923