Jedna z hlavních nevýhod protokolu FTP pro přenos souborů - nedostatek zabezpečení a šifrování přenášených dat. Uživatelské jméno a heslo při připojení k FTP serveru jsou také přenášeny prostým textem. Pro přenos dat (zejména prostřednictvím veřejných komunikačních kanálů) se doporučuje používat bezpečnější protokoly jako FTPS nebo SFTP. Zvažte, jak nastavit FTPS server založený na Windows Server 2012 R2.
Protokol FTPS (FTP přes SSL / TLS, FTP + SSL) - je rozšíření standardního protokolu FTP, ale spojení mezi klientem a serverem je zabezpečeno (šifrováno) pomocí protokolů SSL / TLS. Pro připojení se obvykle používá stejný port 21..
Poznámka:. Nezaměňujte FTPS s SFTP (Secure FTP nebo SSH FTP). Ten je rozšířením protokolu SSH, který nemá nic společného s FTP.Obsah:
- Instalace role FTP serveru
- Generování a instalace certifikátu IIS SSL
- Vytváříme FTP server s podporou SSL
- FTPS a firewally
- Testování FTP přes SSL připojení
Podpora FTP přes SSL byla zavedena ve službě IIS 7.0 (Windows Server 2008). Aby server FTPS fungoval, bude muset služba IIS nainstalovat certifikát SSL na webový server IIS.
Instalace role FTP serveru
Instalace role FTP serveru v systému Windows Server 2012 nezpůsobuje problémy a byla popsána vícekrát.
Generování a instalace certifikátu IIS SSL
Poté otevřete konzolu Správce služby IIS, vyberte server a přejděte do sekce Certifikáty serveru.
Tato část umožňuje importovat certifikát, vytvořit žádost o certifikát, obnovit certifikát nebo vytvořit certifikát podepsaný sám sebou. Pro demonstrační účely se zaměříme na certifikát s vlastním podpisem (lze jej také vytvořit pomocí rutiny New-SelfSifgnedCertificate). Při přístupu ke službě se objeví varování, že certifikát byl vydán nedůvěryhodnou certifikační autoritou. Chcete-li toto varování pro tento certifikát deaktivovat, lze jej přidat k důvěryhodným prostřednictvím GPO.
Vyberte si Vytvořit certifikát podepsaný uživatelem.
V průvodci vytvořením certifikátu zadejte jeho název a vyberte typ certifikátu Webhosting.
Certifikát s vlastním podpisem by se měl objevit v seznamu dostupných certifikátů. Platnost certifikátu - 1 rok.
Vytváříme FTP server s podporou SSL
Dále musíte vytvořit server FTP. V konzole IIS klikněte na uzel Weby na RMB a vytvořte nový server FTP (Přidat FTP).
Zadejte název a cestu do kořenového adresáře serveru FTP (máme výchozí adresář C: \ inetpub \ ftproot).
V dalším kroku průvodce vyberte v části Certifikáty SSL certifikát, který jsme vytvořili.
Zbývá zvolit typ ověřování a přístupová práva uživatelů.
Tip. Pokud každý uživatel musí mít svůj vlastní kořenový adresář FTP, můžete použít pokyny pro vytvoření FTP serveru s izolací uživatele.Tím se průvodce ukončí. Ve výchozím nastavení je vyžadována ochrana SSL a používá se k šifrování jak příkazů pro správu, tak přenášených dat..
FTPS a firewally
Při použití protokolu FTP se používají 2 různá připojení TCP, příkazy se přenášejí jeden po druhém, data druhým. Každý datový kanál otevírá svůj vlastní port TCP, jehož číslo vybere server nebo klient. Většina bran firewall umožňuje kontrolovat provoz FTP a při jeho analýze automaticky otevírat potřebné porty. Při použití zabezpečeného FTPS jsou přenášená data uzavřena a nelze je analyzovat, takže firewall nemůže určit, který port by měl být otevřen pro přenos dat.
Aby se neotevřel celý rozsah portů TCP 1024-65535 mimo server FTPS, můžete vynutit FTP serveru, aby používal rozsah použitých adres. Rozsah je určen v nastavení webu IIS v části FTP Firewall Podpora.
Po změně rozsahu portů je třeba službu restartovat (iisreset).
Ve vestavěné bráně Windows firewall budou pravidla odpovídat za příchozí provoz:
- FTP server (FTP Traffic-In)
- Pasivní FTP server (FTP Passive Traffic-In)
- Zabezpečení FTP serveru (FTP SSL Traffic-In)
Proto na externím firewallu budete muset otevřít porty 21, 990 a 50000-50100 (rozsah portů, které jsme vybrali).
Testování FTP přes SSL připojení
Chcete-li otestovat připojení pomocí FTPS, použijte klienta Filezilla.
- Běh Filezilla (nebo jakýkoli jiný klient s povoleným FTPS).
- Klikněte na Soubor > Web Manažer, a vytvořit nové připojení (Nové Web).
- Zadejte adresu serveru FTPS (Hostitel), typ protokolu (Vyžadovat explicitně FTP konec TLS), uživatelské jméno (pole uživatele) a požadavek vyžadovat heslo pro autorizaci (Zeptejte se pro heslo)
- Tlačítko Připojte se a zadejte uživatelské heslo.
- Mělo by se zobrazit varování o nedůvěryhodném certifikátu (při použití certifikátu s vlastním podpisem). Potvrďte připojení.
- Připojení by mělo být navázáno a v protokolu by se měly objevit řádky:
Stav: Inicializace TLS ...
Stav: Ověření certifikátu ...
Stav: Bylo navázáno připojení TLS. - To znamená, že je navázáno zabezpečené připojení a soubory můžete přenášet pomocí FTPS