A protokoll egyik fő hátránya FTP fájlátvitelhez - a biztonság és a továbbított adatok titkosításának hiánya. Az FTP-kiszolgálóhoz történő csatlakozáskor a felhasználónév és a jelszó szintén tiszta szöveggel kerül továbbításra. Az adatátvitelhez (különösen nyilvános kommunikációs csatornákon keresztül) ajánlott biztonságosabb protokollokat, például FTPS vagy SFTP. Fontolja meg, hogyan kell beállítani FTPS szerver a Windows Server 2012 R2 alapján.
FTPS protokoll (FTP over SSL / TLS, FTP + SSL) - a szokásos FTP protokoll kiterjesztése, de az ügyfél és a kiszolgáló közötti kapcsolat SSL / TLS protokollokkal biztosított (titkosítva). Általában ugyanazt a 21 portot használják a csatlakozáshoz..
megjegyzés. Ne keverje össze az FTPS-t az SFTP-vel (Secure FTP vagy SSH FTP). Ez utóbbi az SSH protokoll kiterjesztése, amelynek semmi köze sincs az FTP-hez.Tartalom:
- Az FTP szerver szerepének telepítése
- IIS SSL tanúsítvány előállítása és telepítése
- FTP-helyet hozunk létre SSL-támogatással
- FTPS és tűzfalak
- FTP tesztelése SSL kapcsolaton keresztül
Az FTP az SSL-támogatáson keresztül bevezetésre került az IIS 7.0-ban (Windows Server 2008). Az FTPS-kiszolgáló működéséhez az IIS-nek SSL-tanúsítványt kell telepítenie az IIS-webkiszolgálóra.
Az FTP szerver szerepének telepítése
Az FTP-kiszolgálói szerepkör telepítése a Windows Server 2012-re nem okoz problémát, és már egyszer leírtuk.
IIS SSL tanúsítvány előállítása és telepítése
Ezután nyissa ki a konzolt IIS menedzser, válassza ki a szervert, és lépjen a szakaszba Szerver tanúsítványok.
Ez a szakasz lehetővé teszi tanúsítvány importálását, tanúsítványkérés létrehozását, tanúsítvány megújítását vagy önaláírt tanúsítvány létrehozását. Bemutatási célokra egy önaláírt tanúsítványra összpontosítunk (ez a New-SelfSifgnedCertificate parancsmag segítségével is létrehozható). A szolgáltatáshoz való hozzáféréskor figyelmeztetés jelenik meg, hogy a tanúsítványt nem megbízható hitelesítésszolgáltató állította ki. A figyelmeztetés letiltásához a tanúsítványhoz hozzáadható a megbízhatóhoz GPO-n keresztül.
kiválasztása Hozzon létre önaláírt tanúsítványt.
A tanúsítvány létrehozásának varázslójában adja meg annak nevét, és válassza ki a tanúsítvány típusát Webtárhely.
Az önaláírt tanúsítványnak megjelennie kell a rendelkezésre álló tanúsítványok listájában. A tanúsítvány érvényessége - 1 év.
FTP-helyet hozunk létre SSL-támogatással
Ezután létre kell hoznia egy FTP-helyet. Az IIS konzolon kattintson az RMB elemre a Sites csomóponton, és hozzon létre egy új FTP helyet (FTP hozzáadása).
Adja meg az FTP-hely gyökérkönyvtárának nevét és elérési útját (az alapértelmezett könyvtár C: \ inetpub \ ftproot).
A varázsló következő lépésében, az SSL tanúsítványok szakaszban válassza ki a létrehozott tanúsítványt.
Választani kell a hitelesítés típusát és a felhasználói hozzáférési jogokat.
Ez befejezi a varázslót. Alapértelmezés szerint SSL védelemre van szükség, és mind a felügyeleti parancsok, mind az átvitt adatok titkosításához használják..
FTPS és tűzfalak
Az FTP protokoll használatakor 2 különféle TCP kapcsolatot használunk, a parancsokat egyenként, az adatokat a másik továbbítja. Minden adatcsatorna megnyitja saját TCP portját, amelynek számát a szerver vagy az ügyfél választja ki. A legtöbb tűzfalak lehetővé teszik az FTP forgalom ellenőrzését és elemzését automatikusan megnyitják a szükséges portokat. Biztonságos FTPS használata esetén az átadott adatok bezáródnak és nem elemezhetők, ennek eredményeként a tűzfal nem tudja meghatározni, melyik portot kell megnyitni az adatátvitelhez..
Annak elkerülése érdekében, hogy az 1024-65535 TCP-portok teljes tartományát ne nyissák meg az FTPS-kiszolgálón kívül, arra kényszerítheti az FTP-kiszolgálót, hogy használja a használt címsort. A tartományt az IIS helybeállításai a szakaszban adják meg FTP tűzfal támogatás.
A porttartomány megváltoztatása után újra kell indítania a szolgáltatást (iisreset).
A beépített Windows tűzfalban a szabályok felelnek a bejövő forgalomért:
- FTP szerver (FTP forgalom-be)
- FTP szerver passzív (FTP passzív forgalom bemenet)
- FTP szerver biztonságos (FTP SSL forgalom-bemenet)
Ennek megfelelően a külső tűzfalon a 21, 990 és 50000-50100 portokat kell megnyitnia (a kiválasztott portok tartományát).
FTP tesztelése SSL kapcsolaton keresztül
Az FTPS-n keresztüli kapcsolat teszteléséhez használja a Filezilla klienst.
- kezdet FileZilla (vagy bármely más FTPS-kompatibilis kliens).
- sajtó fájl > hely menedzser, és hozzon létre egy új kapcsolatot (új oldalon).
- Írja be az FTPS szerver címét (vendéglátó), protokoll típusa (kíván kifejezett FTP felett TLS), felhasználónév (felhasználói mező) és a jelszó megkövetelésének követelménye az engedélyhez (kérdez mert jelszó)
- Nyomógomb Csatlakozás és írja be a felhasználói jelszót.
- Figyelmeztetést kell megjelentetni a nem megbízható tanúsítványról (önaláírt tanúsítvány használata esetén). Erősítse meg a kapcsolatot.
- A kapcsolatot létre kell hozni, és a soroknak megjelenniük kell a naplóban:
Állapot: TLS inicializálása ...
Állapot: igazolás ellenőrzése ...
Állapot: TLS kapcsolat létrejött. - Ez azt jelenti, hogy biztonságos kapcsolat jön létre, és fájlokat továbbíthat az FTPS használatával
