SFTP: безопасный способ передачи данных

Протокол передачи файлов SSH обеспечивает безопасную передачу данных между двумя общающимися сторонами, что стало необходимым для многих рабочих процессов в компаниях. Например, агенты по обслуживанию на местах отправляют результаты своей работы в головной офис компании, серверная архитектура сети компании поддерживается в актуальном и безопасном состоянии посредством удаленного обслуживания, а инструкции по ремонту доступны в режиме онлайн для специалистов по ремонту на месте. Для этого данные должны передаваться двунаправленно через интернет-соединение на сервер компании и обратно. Файлы для веб-сайтов также передаются таким образом на соответствующие веб-пространства. Протокол передачи файлов (FTP) используется для такой передачи данных с 1971 года.

Управление данными через FTP похоже на работу в проводнике Windows Explorer, Mac Finder или Linux Nautilus. Разница заключается в том, что данные передаются на удаленные серверы и обратно. Туннель передачи данных между пользователем (FTP-клиентом) и сервером (FTP-сервером) всегда представляет собой потенциальную точку атаки для кражи и фальсификации данных или внедрения вредоносного ПО в систему пользователя. Не говоря уже о том, что чем ниже стандарт безопасности, тем выше угроза, а у FTP она очень низкая. При использовании FTP имя пользователя и пароль доступа отправляются открытым текстом (т.е. незашифрованными). Таким образом, потенциальные злоумышленники могут перехватить информацию для входа и получить несанкционированный доступ к FTP-клиенту и серверу — с очевидными последствиями.

Чтобы избежать этих потенциальных атак, был разработан SFTP как альтернатива со значительно улучшенной безопасностью.

Одной из мер, принятых для повышения безопасности передачи данных по FTP, стала разработка протокола передачи файлов SSH (Secure Shell). Этот протокол обеспечивает надежную аутентификацию между общающимися сторонами. Как только клиент начинает процесс входа в систему, сервер проверяет личность клиента с помощью SSH. Двусторонняя аутентификация осуществляется с помощью сертификатов и процедуры открытого и закрытого ключа. Доступ разрешается только в том случае, если ключ клиента SFTP подходит к «дверному замку» сервера SFTP. Сервер проверяет, «разблокировал» ли клиент туннель данных с помощью подходящего ключа.

Этот ключ состоит из случайно сгенерированной последовательности букв, цифр и специальных символов с фиксированным количеством битов. Это называется криптографическим протоколом. Он позволяет шифровать обмен данными даже при использовании незащищенного интернет-соединения.

Для функционирования соединения по протоколу SSH File Transfer Protocol требуется доступ к SSH на сервере хоста. Это обеспечивает данные доступа для пользователя SFTP: адрес сервера, имя пользователя и пароль. Эти данные вводятся в программу (S)FTP, используемую клиентом. При первом установлении соединения отображается ключ для проверки, который сохраняется в программе FTP для дальнейшего использования. Клиент использует этот ключ для аутентификации на сервере при каждом установлении соединения. Если сайт или злоумышленник попытается «аутентифицировать» себя во время связи, используя неправильный ключ или вообще не используя ключ, соединение будет немедленно прервано.

Между клиентом и сервером существует двунаправленный туннель SSH, через который осуществляется аутентификация и передача данных. Этот туннель полностью зашифрован, чтобы ни один злоумышленник не смог получить доступ к данным. Таким образом, данные поступают к получателю без подделки. Если злоумышленник все же попытается изменить данные во время их передачи, SSH обнаружит это и немедленно прервет соединение.

Таким образом, передача данных с помощью протокола передачи файлов SSH защищает от следующего:

• Изменения IP-адреса пакета данных — т.е. IP-спуфинга.
• перенаправления первоначально адресованного имени компьютера на IP-адрес злоумышленника (т.е. подмена DNS).
• Перехват злоумышленником данных доступа в виде открытого текста
• Фальсификация передаваемых данных злоумышленником.

В программе (S)FTP протокол выбирается в диалоговом окне, где вводится информация для входа в систему. В клиентском приложении FileZilla, показанном ниже, это менеджер сервера. Обычно вам не нужно выбирать порт, поскольку при выборе SFTP порт автоматически устанавливается на 22.

При первой попытке подключения с помощью протокола передачи файлов SSH клиент SFTP получит сообщение, в котором будет указан стандарт безопасности SSH.

Еще раз проверьте правильность адреса сервера. Когда вы посмотрите на запись о сервере, вы увидите, что используется правильный порт, порт 22, поскольку запись отображает «home….-data.host:22». Установив флажок «Всегда доверять этому хосту, добавить этот ключ в кэш» и нажав «OK», данные соединения будут сохранены, а зашифрованное соединение установлено.

Эти данные не будут запрашиваться при следующем установлении соединения, поскольку SFTP-клиент идентифицирует себя с SFTP-сервером с помощью уникального ключа. Эта цифровая подпись шифрует все передаваемые данные, включая данные для входа в систему для установления соединения. В окне состояния в программе FTP будут отображаться любые уведомления о ходе загрузки или выгрузки.

Основное отличие заключается в том, что при передаче данных по SFTP аутентификация и любой трафик данных между клиентом и сервером шифруются. Даже если злоумышленнику удастся перехватить данные, он не сможет их использовать. Если протокол передачи файлов SSH обнаружит подделанную информацию для входа в систему или попытки атак, он немедленно разорвет соединение. Ниже приведен краткий обзор различий между FTP и SFTP:

Техническая безопасность этой криптографической передачи данных должна быть улучшена как на стороне клиента, так и на стороне сервера с помощью дополнительных средств защиты. Это включает решения, касающиеся таких вещей, как физическое местоположение, физическая безопасность сервераSFTP и безопасное хранение данных для клиентов, обращающихся к серверу. Как правило, если вы небрежно обращаетесь с данными, рано или поздно вы столкнетесь с последствиями.