Geekflare
[gtranslate]
Geekflare est soutenu par son public. Nous pouvons percevoir des commissions d'affiliation sur les liens d'achat présents sur ce site.
En Mise en réseau  |  Dernière mise à jour : 16 septembre 2023
Partager sur :
Invicti Web Application Security Scanner - la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

Comprendre SFTP vs. FTPS vs. FTP

Par
FTP vs SFTP vs FTPS

Le protocole FTP (File Transfer Protocol) est l'une des méthodes de transfert de données les plus populaires pour différents cas d'utilisation.

Le protocole FTP comporte différentes variantes sécurisées, connues sous le nom de FTPS et SFTP, qui intègrent certaines différences subtiles et d'autres moins subtiles dans leur fonctionnement. Ces différences concernent la manière dont les données sont échangées, le niveau et le type de sécurité dans la communication, et la manière dont les données sont échangées. pare-feu des considérations.

Connaître le fonctionnement de ces protocoles et les différences entre ces mécanismes de transfert populaires peut vous aider à choisir celui qui répond le mieux à vos besoins.

FTP

FTP est le protocole de transfert de fichiers, vieux de plusieurs décennies, proposé à l'origine dans le cadre de l'accord de coopération entre l'UE et l'Union européenne. RFC 114. Il s'est ensuite transformé en RFC 959, qui est la norme utilisée aujourd'hui.

Le protocole FTP fonctionne sur deux canaux pour l'échange d'informations : l'un pour les commandes et l'autre pour les données. Il faut donc deux ports pour que FTP fonctionne : le canal de commande et le canal de données.

Le canal de commande fonctionne sur le port 21, qui accepte les connexions des clients et gère la transmission des commandes. Le canal de commande reste ouvert pendant toute la durée de la session FTP jusqu'à ce que le client envoie QUIT ou que le serveur se déconnecte de force pour cause d'inactivité ou pour toute autre raison possible.

Le canal de données utilise un port temporaire à la demande qui écoute le serveur (mode passif) ou le client (mode actif). Ce canal est responsable du partage des données réelles entre le serveur et le client sous la forme de listes de répertoires et de transferts de fichiers.

Contrairement au canal de commande, le canal de données ne reste ouvert que pendant la durée du transfert de fichiers, et dès que celui-ci est terminé, le canal de données est fermé. Pour le transfert simultané de plusieurs fichiers ou listes de répertoires, plusieurs ports de canal de données sont nécessaires.

FTP est un protocole intrinsèquement peu sûr, car les canaux de commande et de données transfèrent des informations sous une forme non cryptée, qui est facilement susceptible d'être interceptée par n'importe qui à l'aide d'attaques de type "man-in-the-middle".

Comme nous l'avons vu précédemment, le protocole FTP nécessite une connexion entrante sur le port 21/tcp du côté du serveur pour le canal de commande. Une plage de ports passifs est définie pour les transferts de fichiers et les listes de répertoires et autorise les connexions entrantes. Ce processus de définition peut varier en fonction du serveur FTP utilisé. Reportez-vous à sa documentation pour plus de détails. Du côté du client, la connexion sortante sur le port 21/tcp doit être autorisé avec la plage de ports passifs définie sur le serveur.

Authentification dans FTP

Les informations d'authentification FTP sont transmises sur le canal de commande lors de l'établissement de la connexion initiale. Le protocole FTP peut utiliser un nom d'utilisateur et un mot de passe pour l'authentification, ou il peut être anonyme pour permettre à n'importe qui de se connecter et d'accéder au serveur.

Modes FTP actif et passif

FTP utilise le mode actif ou passif pour établir des connexions.

En mode actifun utilisateur se connecte au port FTP à partir d'un port aléatoire du client FTP. 21/tcp sur le serveur et envoie la commande PORT, en spécifiant le port client auquel le serveur doit se connecter. Ce port sera utilisé pour le canal de données.

Le serveur se connecte ensuite au port 20/tcp au port client spécifié précédemment avec PORT par le client. Ce canal de données est ensuite utilisé pour les transferts de fichiers entre le serveur et le client.

En mode passifLe client se connecte d'un port aléatoire du client FTP au port 21/tcp du serveur et envoie la commande PASV. Le serveur répond alors en indiquant un port aléatoire qui doit être utilisé pour le canal de données. Le client utilise alors un autre port aléatoire pour se connecter au port répondu par le serveur à l'étape précédente. Cette connexion au canal de données est alors utilisée pour le transfert de fichiers entre le serveur et le client.

Ainsi, en mode actif, la demande de connexion initiale est initiée par le client tandis que la demande de connexion au canal de données est initiée par le serveur.

En revanche, en mode passif, les demandes de connexion initiales et les demandes de canaux de données ultérieures sont initiées par le client vers le serveur. Cette différence subtile affecte parfois la manière dont un pare-feu autorise/bloque les requêtes FTP traditionnelles en raison du sens du type de connexion entrante/sortante.

FTPS

Même si vous êtes prêt à prendre les risques associés au FTP avec la transmission de données non cryptées et les attaques de type "main-in-the-middle", les exigences de l'industrie vous obligent à utiliser une alternative plus sécurisée comme FTPS et SFTP, qui sont comparativement beaucoup plus sûrs.

En 1990, face à l'évolution du paysage de la sécurité, Netscape a créé SSL ou protocole Secure Sockets Layer (SSL, aujourd'hui connu sous le nom de TLS) pour protéger les communications sur un réseau. SSL a été appliqué à FTP, qui est devenu FTPS ou Protocole de transfert de fichiers sécurisé. FTPS ou FTP/S fonctionne généralement sur le port 990/tcpmais il est également visible sur le port 21/tcp. De même, pour le canal de données port 989/tcp est le port commun utilisé pour FTPS. Si le port de commande est 21/tcpson port de données devrait être 20/tcp.

Comme FTP, FTPS utilise deux canaux de communication : le canal de commande et le canal de données. Le canal de données peut être crypté avec FTPS, ou les deux canaux de commande et de données peuvent être cryptés pour plus de sécurité.

FTPS, comme FTP, utilise également plusieurs ports pour les canaux de commande et de données. Ainsi, le port 21/tcp est utilisé pour la connexion initiale et la transmission des informations d'authentification. Par la suite, différents ports seront nécessaires pour mettre en place des canaux de données pour chaque transfert de fichier ou demande d'inscription dans un répertoire de la part du client. Ainsi, comme pour le protocole FTP, une série de ports doit être autorisée par votre pare-feu.

Authentification dans FTPS

L'authentification pour FTPS fonctionne à l'aide d'un nom d'utilisateur et d'un mot de passe, ainsi que d'un certificat de serveur pour le cryptage. Lorsque le client FTPS se connecte à un serveur, il vérifie si le certificat du serveur est fiable pour poursuivre la connexion. Ce certificat peut être demandé au client et au serveur.

SFTP

Contrairement à FTP et FTPS, SFTP (SSH File Transfer Protocol) est un protocole complètement différent basé sur SSH (ou Secure Shell). Par défaut, SFTP fonctionne sur le port 22/tcp, comme SSH, mais il peut être configuré pour utiliser un port libre personnalisé sur le serveur.

SFTP est un protocole FTP sécurisé qui utilise SSH pour envoyer et recevoir des fichiers. SSH étant entièrement crypté, SFTP est une méthode robuste et sécurisée pour transférer des fichiers sur un réseau.

SFTP, contrairement à FTP et FTPS, utilise un seul canal de communication pour transférer les commandes et les données, qui sont toutes transmises en crypté en même temps que l'authentification initiale.

Authentification dans SFTP

L'authentification dans SFTP peut se faire par un simple nom d'utilisateur et un mot de passe, mais contrairement à FTP, toutes les informations, y compris les détails de l'authentification, sont transmises de manière cryptée sur le réseau.

SFTP prend également en charge l'authentification à l'aide d'une paire de clés SSH, une combinaison de clés privée et publique, où le client fournit la clé privée pour l'utilisateur spécifié, et le serveur doit avoir la clé publique correspondante pour que l'authentification réussisse. Cette méthode est plus sûre que l'utilisation d'une combinaison nom d'utilisateur/mot de passe. Il est possible d'authentifier le même utilisateur à l'aide d'un mot de passe et de clés SSH si les deux méthodes sont configurées sur le serveur SFTP.

Résumé

Cet article résume les caractéristiques de base des différents protocoles de transfert de fichiers populaires, à savoir FTP, FTPS et SFTP, et met en évidence les différences subtiles et majeures entre ces protocoles. Il traite des ports qu'il faut autoriser dans un pare-feu pour mettre en place un serveur FTP/FTPS/SFTP fonctionnel, tout en soulignant la nécessité de passer à des protocoles plus sûrs tels que FTPS et SFTP.

Lorsque je parle de FTP ici, je fais référence à tous les protocoles abordés dans cet article. La raison en est que FTP est vieux de plusieurs décennies et que même les versions sécurisées plus récentes sont parfois appelées FTP au lieu de leur nom désigné dans l'usage quotidien.

Vous pouvez également être intéressé par les meilleurs Logiciel de serveur FTP et Clients FTP/SFTP.

  • Abhishek Nair
    Auteur
Merci à nos sponsors
Autres lectures intéressantes sur la mise en réseau
Alimentez votre entreprise
Quelques outils et services pour aider votre entreprise à se développer.
  • Invicti
    Invicti utilise le Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Brightdata
    Web scraping, proxy résidentiel, proxy manager, web unlocker, search engine crawler, et tout ce dont vous avez besoin pour collecter des données web.
    Essayez Brightdata
  • Lundi.com
    Monday.com est un système d'exploitation tout-en-un qui vous aide à gérer vos projets, vos tâches, votre travail, vos ventes, votre CRM, vos opérations, vos flux de travail et bien plus encore.
    Essayez le lundi
  • Intrus
    Intruder est un scanner de vulnérabilité en ligne qui détecte les faiblesses de votre infrastructure en matière de cybersécurité, afin d'éviter des violations de données coûteuses.
    Essayer l'intrus