Geekflare wird von unserem Publikum unterstützt. Wir können Affiliate-Provisionen durch den Kauf von Links auf dieser Website verdienen.
Teilen:

Verständnis von SFTP vs. FTPS vs. FTP

FTP vs. SFTP vs. FTPS
Invicti Web Application Security Scanner – die einzige Lösung, die eine automatische Verifizierung von Schwachstellen mit Proof-Based Scanning™ bietet.

FTP oder File Transfer Protocol ist eine der beliebtesten Datenübertragungsmethoden, die für verschiedene Anwendungsfälle verfügbar sind.

FTP verfügt über verschiedene sichere Varianten, bekannt als FTPS und SFTP, die einige subtile und einige nicht so subtile Unterschiede in ihrer Funktionsweise aufweisen. Diese Unterschiede betreffen die Art und Weise, wie Daten ausgetauscht werden, das Niveau und die Art der Sicherheit bei der Kommunikation und Firewall Überlegungen.

Wenn Sie wissen, wie diese Protokolle funktionieren und welche Unterschiede zwischen diesen gängigen Übertragungsmechanismen bestehen, können Sie auswählen, welches für Ihre Anforderungen am besten geeignet ist.

FTP

FTP ist das jahrzehntealte Dateiübertragungsprotokoll, das ursprünglich unter vorgeschlagen wurde RFC 114. Dies entwickelte sich später als RFC-959, was heute der Standard ist.

FTP arbeitet zum Austausch von Informationen auf zwei Kanälen: einer für Befehle und der andere für Daten. Damit FTP funktioniert, sind zwei Ports erforderlich – der Befehlskanal und der Datenkanal.

Der Befehlskanal arbeitet auf Port 21, der Verbindungen von Clients akzeptiert und die Übergabe von Befehlen übernimmt. Der Befehlskanal bleibt für die gesamte Dauer der FTP-Sitzung offen, bis der Client sendet QUIT oder der Server die Verbindung aufgrund von Inaktivität oder anderen möglichen Gründen zwangsweise trennt.

Der Datenkanal verwendet einen bedarfsgesteuerten temporären Port, der auf dem Server (passiver Modus) oder dem Client (aktiver Modus) lauscht. Dieser Kanal ist für den Austausch tatsächlicher Daten zwischen Server und Client in Form von Verzeichnislisten und Dateiübertragungen verantwortlich.

Im Gegensatz zum Befehlskanal bleibt der Datenkanal nur für die Dauer der Dateiübertragung geöffnet, und sobald sie beendet ist, wird der Datenkanal geschlossen. Für die gleichzeitige Übertragung mehrerer Dateien oder Verzeichnislisten sind mehrere Datenkanalports erforderlich.

FTP ist ein von Natur aus unsicheres Protokoll, da sowohl Befehls- als auch Datenkanäle Informationen in unverschlüsselter Form übertragen, die leicht von jedem abgefangen werden kann, der Man-in-the-Middle-Angriffe verwendet.

Wie bereits erwähnt, erfordert FTP eine eingehende Verbindung auf dem Port 21/tcp auf der Serverseite für den Befehlskanal. Für Dateiübertragungen und Verzeichnislisten ist ein passiver Portbereich definiert, der eingehende Verbindungen zulässt. Dieser Definitionsprozess kann je nach verwendetem FTP-Server variieren. Weitere Einzelheiten finden Sie in der zugehörigen Dokumentation. Auf der Clientseite ausgehende Verbindung auf Port 21/tcp sollte zusammen mit dem auf dem Server definierten passiven Portbereich zugelassen werden.

Authentifizierung bei FTP

FTP-Authentifizierungsinformationen werden während des anfänglichen Verbindungsaufbaus über den Befehlskanal weitergegeben. FTP kann einen Benutzernamen und ein Passwort zur Authentifizierung verwenden, oder es kann anonym sein, damit sich jeder anmelden und auf den Server zugreifen kann.

Active and Passive FTP Modes

FTP verwendet für den Verbindungsaufbau entweder den aktiven oder den passiven Modus.

In aktiver Modus, verbindet sich ein Benutzer von einem beliebigen Port auf dem FTP-Client mit dem FTP-Port 21/tcp auf dem Server und sendet den PORT-Befehl, der den Client-Port angibt, zu dem der Server eine Verbindung herstellen soll. Dieser Port wird für den Datenkanal verwendet.

Der Server verbindet sich dann von Port 20/tcp an den zuvor mit angegebenen Client-Port PORT Befehl durch den Client. Dieser Datenkanal wird dann für Dateiübertragungen zwischen Server und Client verwendet.

In Passivmodus, verbindet sich der Client von einem beliebigen Port des FTP-Clients mit Port 21/tcp auf dem Server und sendet den PASV-Befehl. Der Server antwortet dann mit einem zufälligen Port, der für den Datenkanal verwendet werden soll. Der Client verwendet dann einen anderen zufälligen Port, um sich mit dem Port zu verbinden, der im vorherigen Schritt von einem Server geantwortet wurde. Diese Datenkanalverbindung wird dann für die Dateiübertragung zwischen Server und Client verwendet.

Im aktiven Modus wird also die anfängliche Verbindungsanforderung vom Client initiiert, während die Datenkanal-Verbindungsanforderung vom Server initiiert wird.

Andererseits werden im passiven Modus sowohl anfängliche Verbindungsanforderungen als auch nachfolgende Datenkanalanforderungen vom Client an den Server initiiert. Dieser feine Unterschied wirkt sich manchmal darauf aus, wie eine Firewall herkömmliche FTP-Anforderungen aufgrund der Richtung des eingehenden/ausgehenden Verbindungstyps zulässt/blockiert.

FTPS

Selbst wenn Sie bereit sind, Risiken einzugehen, die FTP mit unverschlüsselter Datenübertragung und Main-in-the-Middle-Angriffen mit sich bringt, zwingen Sie die Branchenanforderungen, eine sicherere Alternative wie FTPS und SFTP zu verwenden, die vergleichsweise viel sicherer sind.

Im Jahr 1990, als sich die Sicherheitslandschaft veränderte, wurde Netscape erstellt SSL oder Secure Sockets Layer (SSL, jetzt bekannt als TLS)-Protokoll zum Schutz der Kommunikation über ein Netzwerk. SSL wurde auf FTP angewendet, das zu FTPS oder wurde Dateiübertragungsprotokoll sicher. FTPS oder FTP/S läuft normalerweise auf Port 990/tcp, kann aber auch auf Port 21/tcp gesehen werden. Ähnlich für den Datenkanalport 989/tcp ist der gemeinsame Port, der für FTPS verwendet wird. Wenn der Befehlsport ist 21/tcp, sein Datenport wird voraussichtlich sein 20/tcp.

Wie FTP verwendet FTPS zwei Kanäle für die Kommunikation: Befehls- und Datenkanal. Entweder kann der Datenkanal mit FTPS verschlüsselt werden, oder sowohl Befehls- als auch Datenkanäle können für mehr Sicherheit verschlüsselt werden.

FTPS verwendet wie FTP auch mehrere Ports für Befehls- und Datenkanäle. Also Hafen 21/tcp wird für die anfängliche Verbindung und die Übertragung von Authentifizierungsinformationen verwendet. Später werden verschiedene Ports benötigt, um Datenkanäle für jede Dateiübertragungs- oder Verzeichnislistenanforderung vom Client einzurichten. Daher benötigt es wie FTP eine Reihe von Ports, die in Ihrer Firewall zugelassen werden müssen.

Authentifizierung bei FTPS

Die Authentifizierung für FTPS funktioniert mit einem Benutzernamen und einem Passwort zusammen mit einem Serverzertifikat zur Verschlüsselung. Wenn der FTPS-Client eine Verbindung zu einem Server herstellt, prüft er, ob dem Zertifikat des Servers vertraut wird, um mit der Verbindung fortzufahren. Dieses Zertifikat kann vom Client und vom Server angefordert werden.

SFTP

Im Gegensatz zu FTP und FTPS ist SFTP (SSH File Transfer Protocol) ist ein völlig anderes Protokoll, das auf SSH (oder Secure Shell) basiert. SFTP funktioniert standardmäßig auf Port 22/tcp, genauso wie SSH, obwohl es so konfiguriert werden kann, dass es einen benutzerdefinierten freien Port auf dem Server verwendet.

SFTP ist ein sicheres FTP-Protokoll, das SSH darunter verwendet, um Dateien zu senden und zu empfangen. Da SSH vollständig verschlüsselt ist, ist SFTP eine robuste und sichere Methode, um Dateien über ein Netzwerk zu übertragen.

SFTP verwendet im Gegensatz zu FTP und FTPS einen einzigen Kommunikationskanal, um Befehle und Datenverkehr zu übertragen, die alle weitergegeben werden verschlüsselt zusammen mit der anfänglichen Authentifizierung.

Authentifizierung bei SFTP

Die Authentifizierung bei SFTP kann über einen einfachen Benutzernamen und ein Passwort erfolgen, aber im Gegensatz zu FTP werden alle Informationen, einschließlich Authentifizierungsdetails, verschlüsselt über das Netzwerk übertragen.

SFTP unterstützt auch die Authentifizierung mit einer Kombination aus SSH-Schlüsselpaar, privatem und öffentlichem Schlüssel, wobei der Client den privaten Schlüssel für den angegebenen Benutzer bereitstellt und der Server über den entsprechenden öffentlichen Schlüssel verfügen sollte, damit die Authentifizierung erfolgreich ist. Es ist sicherer als die Verwendung einer Kombination aus Benutzername und Passwort. Es ist möglich, denselben Benutzer mit Passwort und SSH-Schlüsseln zu authentifizieren, wenn beide Methoden auf dem SFTP-Server konfiguriert sind.

Zusammenfassung

Dieser Artikel fasst die grundlegenden Funktionen verschiedener beliebter Dateiübertragungsprotokolle, nämlich FTP, FTPS und SFTP, zusammen und hebt die feinen und großen Unterschiede zwischen diesen Protokollen hervor. Es deckt die Ports ab, die man in einer Firewall zulassen muss, um einen funktionierenden FTP/FTPS/SFTP-Server einzurichten, und betont gleichzeitig die Notwendigkeit, auf sicherere Protokolle wie FTPS und SFTP umzusteigen.

Wenn ich hier FTP sage, beziehe ich mich auf alle in diesem Artikel besprochenen Protokolle. Der Grund dafür ist, dass FTP Jahrzehnte alt ist, und selbst neuere sichere Versionen werden manchmal als FTP bezeichnet, anstatt mit ihrem eigentlichen Namen für den täglichen Gebrauch.

Sie könnten auch daran interessiert sein, die Besten zu kennen FTP-Server-Software und FTP/SFTP-Clients.

Danke an unsere Sponsoren
Weitere großartige Lektüre zum Thema Networking
Treiben Sie Ihr Geschäft an
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti verwendet das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu verifizieren und innerhalb weniger Stunden umsetzbare Ergebnisse zu generieren.
    Versuchen Sie es mit Invicti
  • Web-Scraping, Wohn-Proxy, Proxy-Manager, Web-Unlocker, Suchmaschinen-Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie es mit Brightdata
  • Semrush ist eine All-in-One-Lösung für digitales Marketing mit mehr als 50 Tools in den Bereichen SEO, Social Media und Content-Marketing.
    Versuchen Sie es mit Semrush
  • Intruder ist ein Online-Schwachstellenscanner, der Cyber-Sicherheitslücken in Ihrer Infrastruktur findet, um kostspielige Datenschutzverletzungen zu vermeiden.
    MIT DER INTELLIGENTEN SCHADENKALKULATION VON Intruder