FTP preko SSL-a (FTPS) na sustavu Windows Server 2012 R2

Jedan od glavnih nedostataka protokola FTP za prijenos datoteka - nedostatak sigurnosti i šifriranja prenesenih podataka. Korisničko ime i lozinka pri povezivanju s FTP poslužiteljem također se prenose u jasnom tekstu. Za prijenos podataka (posebno putem javnih komunikacijskih kanala) preporučuje se uporaba sigurnijih protokola poput FTPS ili SFTP. Razmislite kako postaviti FTPS Server temeljen na Windows Server 2012 R2.

FTPS protokol (FTP preko SSL / TLS, FTP + SSL) - proširenje je standardnog FTP protokola, ali veza između klijenta i poslužitelja osigurana je (šifrirana) korištenjem SSL / TLS protokola. Za povezivanje se koristi isti port 21..

primjedba. Nemojte brkati FTPS sa SFTP (Secure FTP ili SSH FTP). Potonje je proširenje SSH protokola koje nema nikakve veze s FTP-om.

sadržaj:

  • Instaliranje uloge FTP poslužitelja
  • Izrada i ugradnja IIS SSL certifikata
  • Stvaramo FTP mjesto s SSL podrškom
  • FTPS i vatrozidi
  • Testiranje FTP-a preko SSL veze

Podrška za FTP preko SSL uvedena je u IIS 7.0 (Windows Server 2008). Da bi FTPS poslužitelj radio, IIS će trebati instalirati SSL certifikat na IIS web poslužitelj.

Instaliranje uloge FTP poslužitelja

Instaliranje uloge FTP poslužitelja na Windows Server 2012 ne uzrokuje probleme i opisano je više puta.

Izrada i ugradnja IIS SSL certifikata

Zatim otvorite konzolu IIS Manager, odaberite poslužitelj i idite na odjeljak Poslužitelji certifikata.

U ovom odjeljku možete uvesti certifikat, stvoriti zahtjev za certifikatom, obnoviti certifikat ili stvoriti samopotpisanu potvrdu. U demonstrativne svrhe usredotočit ćemo se na samopotpisani certifikat (također se može kreirati pomoću cmdleta New-SelfSifgnedCertificate). Kada pristupite usluzi, pojavljuje se upozorenje da je certifikat izdao nepouzdani CA, da biste onemogućili ovo upozorenje za ovaj certifikat, možete ga dodati pouzdanim putem GPO-a.

Odabir Izradite potvrdu o vlastitom potpisu.

U čarobnjaku za stvaranje certifikata navedite njegovo ime i odaberite vrstu certifikata Web hosting.

Samopotpisan certifikat trebao bi se pojaviti na popisu dostupnih certifikata. Valjanost certifikata - 1 godina.

Stvaramo FTP mjesto s SSL podrškom

Zatim trebate stvoriti FTP mjesto. U IIS konzoli kliknite RMB na čvoru Sites i napravite novu FTP stranicu (Dodaj FTP).

Navedite ime i put do korijenskog direktorija FTP stranice (imamo zadani direktorij C: \ inetpub \ ftproot).

Na sljedećem koraku čarobnjaka, u odjeljku SSL certifikati, odaberite certifikat koji smo stvorili.

Ostaje odabrati vrstu provjere autentičnosti i prava pristupa korisniku.

vijeće. Ako svaki korisnik mora imati vlastiti FTP korijenski direktorij, možete koristiti upute za stvaranje FTP poslužitelja s izolacijom korisnika.

Ovo zaključuje čarobnjak. Prema zadanim postavkama potrebna je SSL zaštita koja se koristi za šifriranje i naredbi upravljanja i poslanih podataka..

FTPS i vatrozidi

Kada se koristi FTP protokol, koriste se 2 različite TCP veze, naredbe se prenose jedna za drugom, podaci druga. Svaki podatkovni kanal otvara svoj TCP port, čiji broj odabire poslužitelj ili klijent. Većina vatrozida omogućuje vam uvid u FTP promet i, analizirajući ga, automatski otvarate potrebne priključke. Kada se koristi siguran FTPS, preneseni podaci su zatvoreni i ne mogu se analizirati, pa kao rezultat, vatrozid ne može odrediti koji port treba otvoriti za prijenos podataka.

Kako ne biste otvorili cijeli raspon TCP portova 1024-65535 izvan FTPS poslužitelja, možete prisiliti FTP poslužitelj da koristi raspon korištenih adresa. Raspon je naveden u postavkama IIS mjesta u odjeljku FTP firewall podrška.

Nakon što promijenite raspon priključaka, ponovo morate pokrenuti uslugu (iisreset).

U ugrađenom Windows vatrozidu za dolazni promet bit će odgovorna pravila:

  • FTP poslužitelj (FTP prometni ulaz)
  • FTP pasivni poslužitelj (FTP pasivni promet)
  • Sigurnost FTP poslužitelja (FTP SSL prometa)

Prema tome, na vanjskom vatrozidu morat ćete otvoriti portove 21, 990 i 50000-50100 (raspon portova koje smo odabrali).

Testiranje FTP-a preko SSL veze

Za testiranje veze putem FTPS koristite Filezilla klijent.

  1. početak FileZilla (ili bilo kojeg drugog klijenta s omogućenom FTPS).
  2. tisak file > mjesto menadžer, i stvorite novu vezu (novi Site).
  3. Unesite adresu FTPS poslužitelja (domaćin), vrsta protokola (zahtijevati eksplicitan FTP više TLS), korisničko ime (korisničko polje) i zahtjev da se zatraži lozinka za autorizaciju (pitati za lozinka)
  4. Pritisnite tipku Povezivanje i unesite korisničku lozinku.
  5. Treba upozoriti na nepouzdan certifikat (kada koristite potvrdu s vlastitim potpisom). Potvrdite vezu.
  6. Treba uspostaviti vezu, a linije se pojaviti u dnevniku:

    Status: Inicijalizacija TLS ...
    Status: Provjera certifikata ...
    Status: uspostavljena TLS veza.

  7. To znači da je uspostavljena sigurna veza i možete prenositi datoteke pomoću FTPS