Један од главних недостатака протокола ФТП за пренос датотека - недостатак сигурности и шифровање пренесених података. Корисничко име и лозинка приликом повезивања на ФТП сервер такође се преносе у јасном тексту. За пренос података (посебно путем јавних комуникационих канала) препоручује се употреба сигурнијих протокола попут ФТПС или СФТП. Размислите како да подесите ФТПС Сервер заснован на Виндовс Сервер 2012 Р2.
ФТПС протокол (ФТП преко ССЛ / ТЛС, ФТП + ССЛ) - је проширење стандардног ФТП протокола, али веза између клијента и сервера је обезбеђена (шифрована) коришћењем ССЛ / ТЛС протокола. Обично се за повезивање користи исти порт 21..
Напомена. Не бркајте ФТПС са СФТП (Сецуре ФТП или ССХ ФТП). Потоњи је продужетак ССХ протокола који нема никакве везе са ФТП-ом.Садржај:
- Инсталирање улоге ФТП сервера
- Израда и инсталација ИИС ССЛ сертификата
- Правимо ФТП локацију са ССЛ подршком
- ФТПС и фиревалл
- Тестирање ФТП-а преко ССЛ везе
Подршка за ФТП преко ССЛ-а уведена је у ИИС 7.0 (Виндовс Сервер 2008). Да би ФТПС сервер радио, ИИС ће морати да инсталира ССЛ сертификат на ИИС веб сервер.
Инсталирање улоге ФТП сервера
Инсталирање улоге ФТП сервера на Виндовс Сервер 2012 не проузрокује проблеме и описано је више пута.
Израда и инсталација ИИС ССЛ сертификата
Затим отворите конзолу ИИС Манагер, одаберите сервер и идите на одељак Сертификати сервера.
Овај одељак вам омогућава да увезете сертификат, креирате захтев за сертификат, обновите сертификат или креирате потврду која се само потписује. У демонстративне сврхе усредсредит ћемо се на самопотписани цертификат (може се креирати и помоћу цмдлета Нев-СелфСифгнедЦертифицате). Када приступите услузи, појављује се упозорење да је сертификат издао непоуздан ЦА, да бисте онемогућили ово упозорење за овај сертификат, можете да га додате повереним путем ГПО-а.
Изаберите Креирајте Потврду о сопственом потпису.
У чаробњаку за креирање сертификата наведите његово име и одаберите врсту сертификата Веб хостинг.
Потпис само-потписан треба да се појави на листи доступних сертификата. Важност сертификата - 1 година.
Правимо ФТП локацију са ССЛ подршком
Затим треба да креирате ФТП локацију. У ИИС конзоли кликните на РМБ на чвору Ситес и направите нову ФТП локацију (Додај ФТП).
Наведите име и пут до коријенског директорија ФТП странице (имамо задани директоријум Ц: \ инетпуб \ фтпроот).
На следећем кораку чаробњака, у одељку ССЛ сертификати, изаберите сертификат који смо креирали.
Остаје да одаберете врсту аутентификације и права приступа кориснику.
Савет. Ако сваки корисник мора имати свој ФТП роот директориј, можете користити упутства за креирање ФТП сервера са изолацијом корисника.Ово закључује чаробњака. Подразумевано је потребна ССЛ заштита и користи се за шифрирање и команди за управљање и послатих података..
ФТПС и фиревалл
Када се користи ФТП протокол, користе се 2 различите ТЦП везе, команде се преносе једна за другом, подаци за другом. Сваки канал података отвара сопствени ТЦП порт, чији број бира сервер или клијент. Већина фиревалл-а омогућава вам увид у ФТП саобраћај и, анализирајући га, аутоматски отварате потребне портове. Када се користи безбедан ФТПС, пренешени подаци су затворени и не могу се анализирати; као резултат, ватрозид не може одредити који порт треба да се отвори за пренос података.
Да не бисте отворили целокупни опсег ТЦП портова 1024-65535 изван ФТПС сервера, можете приморати ФТП сервер да користи распон коришћених адреса. Распон је наведен у поставкама ИИС локације у одељку ФТП Фиревалл Подршка.
Након промене распона порта, морате поново покренути услугу (иисресет).
У уграђеном Виндовс заштитном зиду правила ће бити одговорна за долазни саобраћај:
- ФТП сервер (ФТП Траффиц-Ин)
- ФТП пасивни сервер (ФТП пасивни промет)
- Сигурност ФТП сервера (ФТП ССЛ промет-ин)
Сходно томе, на спољном фиревалл-у ћете морати да отворите портове 21, 990 и 50000-50100 (распон портова које смо изабрали).
Тестирање ФТП-а преко ССЛ везе
Да бисте тестирали везу путем ФТПС-а, користите клијент Филезилла.
- Трчи Филезилла (или било који други клијент са ФТПС).
- Кликните на Филе > Сајт Менаџер, и створите нову везу (Ново Сајт).
- Унесите адресу ФТПС сервера (Домаћин), врста протокола (Захтевај експлицитна ФТП преко ТЛС), корисничко име (корисничко поље) и захтев да се захтева лозинка за ауторизацију (Питајте за лозинку)
- Притисните тастер Повежи се и унесите корисничку лозинку.
- Требало би да се појави упозорење о непоузданом сертификату (када користите цертификат са властитим потписом). Потврдите везу.
- Веза би требало да буде успостављена, а линије би требало да се појаве у дневнику:
Статус: Иницијализација ТЛС ...
Статус: Верификација сертификата ...
Статус: ТЛС веза успостављена. - То значи да је успостављена сигурна веза и да можете пренијети датотеке користећи ФТПС