Един от основните недостатъци на протокола FTP за прехвърляне на файлове - липса на сигурност и криптиране на предаваните данни. Потребителското име и паролата при свързване към FTP сървъра също се предават с ясен текст. За предаване на данни (особено чрез канали за обществена комуникация) се препоръчва да се използват по-сигурни протоколи като FTPS или SFTP. Помислете как да настроите FTPS Server на базата на Windows Server 2012 R2.
FTPS протокол (FTP over SSL / TLS, FTP + SSL) - е разширение на стандартния FTP протокол, но връзката между клиента и сървъра е защитена (криптирана) с помощта на SSL / TLS протоколи. Обикновено за свързване се използва един и същ порт 21..
забележка. Не бъркайте FTPS с SFTP (Secure FTP или SSH FTP). Последното е разширение на SSH протокола, което няма нищо общо с FTP.Съдържание:
- Инсталиране на ролята на FTP сървъра
- Генериране и инсталиране на IIS SSL сертификат
- Създаваме FTP сайт със SSL поддръжка
- FTPS и защитни стени
- Тестване на FTP през SSL връзка
Поддръжката на FTP през SSL беше въведена в IIS 7.0 (Windows Server 2008). За да работи FTPS сървърът, IIS ще трябва да инсталира SSL сертификат на уеб сървъра на IIS.
Инсталиране на ролята на FTP сървъра
Инсталирането на ролята на FTP сървър на Windows Server 2012 не създава проблеми и е описано повече от веднъж.
Генериране и инсталиране на IIS SSL сертификат
След това отворете конзолата IIS Manager, изберете сървъра и отидете на секцията Серверни сертификати.
Този раздел ви позволява да импортирате сертификат, да създадете заявка за сертификат, да подновите сертификат или да създадете самоподписан сертификат. За демонстрационни цели ще се съсредоточим върху самоподписан сертификат (той може да бъде създаден и с командлета New-SelfSifgnedCertificate). При достъпа до услугата се появява предупреждение, че сертификатът е издаден от недоверен CA, за да деактивирате това предупреждение за този сертификат, той може да бъде добавен към доверени лица чрез GPO.
Изборът Създайте самоподписан сертификат.
В съветника за създаване на сертификат посочете името му и изберете типа на сертификата Уеб хостинг.
Самоподписаният сертификат трябва да се появи в списъка на наличните сертификати. Валидност на сертификата - 1 година.
Създаваме FTP сайт със SSL поддръжка
След това трябва да създадете FTP сайт. В конзолата IIS щракнете върху RMB на възела Sites и създайте нов FTP сайт (Добавяне на FTP).
Посочете името и пътя към главната директория на FTP сайта (имаме директория по подразбиране C: \ inetpub \ ftproot).
На следващата стъпка на съветника, в секцията SSL сертификати, изберете сертификата, който създадохме.
Остава да изберем вида на удостоверяването и правата за достъп на потребителите.
Това завършва съветника. По подразбиране е необходима SSL защита и се използва за криптиране както на командите за управление, така и на предаваните данни..
FTPS и защитни стени
При използване на FTP протокол се използват 2 различни TCP връзки, команди се предават една по една, данни от друга. Всеки канал за данни отваря свой собствен TCP порт, чийто номер е избран от сървъра или клиента. Повечето защитни стени ви позволяват да инспектирате FTP трафика и, анализирайки го, автоматично отваряте необходимите портове. Когато използвате защитен FTPS, предаваните данни са затворени и не могат да бъдат анализирани; в резултат защитната стена не може да определи кой порт трябва да бъде отворен за трансфер на данни.
За да не отваряте цялата гама TCP портове 1024-65535 извън FTPS сървъра, можете да принудите FTP сървъра да използва обхвата на използваните адреси. Диапазонът е посочен в настройките на IIS сайта в секцията FTP Firewall подкрепа.
След промяна на обхвата на порт, трябва да рестартирате услугата (iisreset).
Във вградената защитна стена на Windows правилата ще отговарят за входящия трафик:
- FTP сървър (FTP трафик)
- Пасивен FTP сървър (FTP пасивен трафик)
- FTP Server Secure (FTP SSL трафик)
Съответно, на външната защитна стена ще трябва да отворите портове 21, 990 и 50000-50100 (обхвата на портовете, които сме избрали).
Тестване на FTP през SSL връзка
За да тествате връзката чрез FTPS, използвайте клиента Filezilla.
- начало FileZilla (или всеки друг FTPS клиент).
- преса досие > място мениджър, и създайте нова връзка (нов Site).
- Въведете адреса на FTPS сървъра (домакин), тип протокол (Изискване изричен FTP над TLS), потребителско име (поле на потребителя) и изискването за изискване на парола за упълномощаване (попитам за парола)
- Натиснете бутона Connect и въведете паролата на потребителя.
- Трябва да се появи предупреждение за ненадежден сертификат (когато използвате самоподписан сертификат). Потвърдете връзката.
- Връзката трябва да се установи и линиите да се появят в дневника:
Състояние: Инициализиране на TLS ...
Състояние: Проверка на сертификата ...
Състояние: установена е TLS връзка. - Това означава, че е установена сигурна връзка и можете да прехвърляте файлове с помощта на FTPS
