Pogadanka na WordUp Warszawa 2021 na temat szyfrowania transmisji plików miedzy użytkownikiem a serwerem

1. Es jak FTPS SFTP
Niedoszły Bibliotekarz
przedstawia:
http://am.vj.pl sierpień2021

2. Połączenia do serwera
Przykładowe dane:
• Użytkownik (user name): nazwa_uzytkownika
• Hasło (password): tajne_hasło
• Adres serwera, Nazwa hosta (host name):
ftp.adres-twoja-domena.pl
• Protokół pliku (file protocol): FTPS
• Numer portu (port number): 990

3. Protokół Secure Shell

4. SFTP - zalecany
Rozszerzenie protokołu SSH. Potrzebuje dostępu do
konta typu shell na serwerze. Bezpieczny ale niestety
wymaga konta użytkownika w systemie więc albo
jest blokowany przez dostawców (zwłaszcza w
niższych pakietach hostingowych) albo jest dawane
tylko jedne konto w systemie co utrudnia a czasem
wręcz kładzie całą politykę bezpieczeństwa z
powodu braku rozliczalności działań na serwerze.
Pracuje domyślnie na porcie 22.

5. SCP - przestarzały
W założeniu to było połączenie cp i ssh
czyli program umożliwiający kopiować
pliki miedzy komputerami po
"wbudowanym" połączeniu SSH. Od 2019
oznaczony jako przestarzałe rozwiązanie
ze wskazaniem na SFTP.
Pracuje domyślnie na porcie 22

6. rsync - tylko synchronizacja
Program do synchronizacji zawartości katalogów
(taki diff ale w locie)
Szybki bo sprawdza sumy kontrolne bloków a nie
całe przesłane pliki. Jego główne zastosowanie jest
przy backupach.
Pracuje domyślnie na porcie 22.

7. 1971
The Doors - Riders On The Storm
The Rolling Stones - Brown Sugar
Pierwszy na świecie mikroprocesor Intel 4004
Dwa Plus Jeden - Chodź, Pomaluj Mój Świat
Pierwszy w Polsce program telewizyjny w kolorze.
I sekretarz KC PZPR
Edward Gierek

8. FTP - niestosować
Najstarszy protokół który z racji braku szyfrowania
transmisji powinien być przez dostawców blokowany.
Jeżeli FTP to jedyny protokół jaki jest przez dostawcę
udostępniany do przesyłania plików rozważ czy na
pewno chcesz trzymać u niego swoje pliki. Zwróć uwagę
że skoro zwykłe FTP jest nie szyfrowane to może
pojawić się problem jak w sposób bezpieczny przesłać
dane osobowe np. listę mailingową czy pobrać plik z
danymi klientów w Twoim sklepie?
Pracuje domyślnie na porcie 21 i 20. W ustawieniach
jest opisywany jako "No encryption".

9. tcpdump -nn -v port ftp or ftp-data

10. 79.96.152.252.21 > 192.168.0.152.59824: Flags [P.], cksum 0x78f2 (correct), seq 1:76, ack 1, win 510,
options [nop,nop,TS val 571185703 ecr 3637523345], length 75: FTP, length: 75
220-Idea FTP Server 3.0.0 (rura20.home.pl) [79.96.152.252]
220 Ready
18:03:04.841126 IP (tos 0x10, ttl 64, id 43425, offset 0, flags [DF], proto TCP (6), length 52)
192.168.0.152.59824 > 79.96.152.252.21: Flags [.], cksum 0x5b77 (correct), ack 76, win 502,
options [nop,nop,TS val 3637523481 ecr 571185703], length 0
18:03:36.805094 IP (tos 0x10, ttl 64, id 43426, offset 0, flags [DF], proto TCP (6), length 83)
192.168.0.152.59824 > 79.96.152.252.21: Flags [P.], cksum 0xc98f (correct), seq 1:32, ack 76, win
502, options [nop,nop,TS val 3637555445 ecr 571185703], length 31: FTP, length: 31
USER dev@dev.rura20.pl
18:03:36.871067 IP (tos 0x0, ttl 49, id 38503, offset 0, flags [DF], proto TCP (6), length 52)
79.96.152.252.21 > 192.168.0.152.59824: Flags [.], cksum 0x614f (correct), ack 32, win 510,
options [nop,nop,TS val 571217739 ecr 3637555445], length 0
18:03:36.871274 IP (tos 0x0, ttl 49, id 38504, offset 0, flags [DF], proto TCP (6), length 107)
79.96.152.252.21 > 192.168.0.152.59824: Flags [P.], cksum 0xf54b (correct), seq 76:131, ack 32,
win 510, options [nop,nop,TS val 571217739 ecr 3637555445], length 55: FTP, length: 55
331 Password required for 'dev@dev.rura20.pl'.
18:03:36.871314 IP (tos 0x10, ttl 64, id 43427, offset 0, flags [DF], proto TCP (6), length 52)
192.168.0.152.59824 > 79.96.152.252.21: Flags [.], cksum 0x60de (correct), ack 131, win 502,
options [nop,nop,TS val 3637555511 ecr 571217739], length 0
18:03:47.884701 IP (tos 0x10, ttl 64, id 43428, offset 0, flags [DF], proto TCP (6), length 73)
192.168.0.152.59824 > 79.96.152.252.21: Flags [P.], cksum 0x098d (correct), seq 32:53, ack 131,
win 502, options [nop,nop,TS val 3637566525 ecr 571217739], length 21: FTP, length: 21
PASS dv+c@hKLru7
18:03:47.943676 IP (tos 0x0, ttl 49, id 38505, offset 0, flags [DF], proto TCP (6), length 52)
79.96.152.252.21 > 192.168.0.152.59824: Flags [.], cksum 0x0a7b (correct), ack 53, win 510,
options [nop,nop,TS val 571228811 ecr 3637566525], length 0
18:03:47.943924 IP (tos 0x0, ttl 49, id 38506, offset 0, flags [DF], proto TCP (6), length 94)
79.96.152.252.21 > 192.168.0.152.59824: Flags [P.], cksum 0x9eb2 (correct), seq 131:173, ack 53,
win 510, options [nop,nop,TS val 571228812 ecr 3637566525], length 42: FTP, length: 42
230 'dev@dev.rura20.pl' login ok.

11. Zestaw narzędzi Open SSL

12. FTPS - zalecany
Protokół FTP z wymuszający szyfrowania
transferu. Jeżeli chcesz się łączyć bezpiecznie to
dobry wybór. W przypadku braku możliwości
szyfrowania transmisji nie łączy z serwerem aby
Cię chronić.
Pracuje domyślnie na porcie 990 i 989.
W ustawieniach jest opisywany jako "SSL/TLS
explicit encryption".

13. FTPES - nieużywam
Aktualizacja do najstarszego protokołu FTP
umożliwiająca szyfrowanie transmisji. Jego zaletą
jest że łatwiej przechodzi przez firmowe firewalle i
używa nowszych komend więc jest lepiej.
Problemem tego protokołu jest że można wymusić w
negocjacjach brak szyfrowania a więc da się złym
ludziom go stosunkowo łatwo obejść :(
Pracuje domyślnie na porcie 21. W ustawieniach jest
opisywany jako "SSL/TLS implicit encryption".

14. Oprogramowanie

15. WinSCP
Licencja: GPL
Obsługuje: FTP, FTPES, FTPS, SFTP, SCP
System: Windows
Strona domowa: https://winscp.net/

16. FileZilla
Licencja: GPL
Obsługuje: FTP, FTPES, FTPS, SFTP
System: Mac, Windows, Linux
Strona domowa: https://filezilla-project.org

17. Total Commander
Licencja: Shareware
Obsługuje: FTP, FTPS, po zainstalowaniu
rozszerzenia również SFTP
System: Windows
Strona domowa: https://www.ghisler.com/

18. Cyberduck
Licencja: GPL – Donationware
Obsługuje: FTP, FTPES, FTPS, SFTP
System: Mac, Windows
Strona domowa: https://cyberduck.io/

19. Stunnel
Licencja: GNU General Public License
System: Mac, Windows, Linux
Strona domowa: https://www.stunnel.org/

20. Dobre praktyki
https://www.rijksmuseum.nl/en/collection/RP-P-1907-3906

21. Higiena połączeń
•Używanie FTPS lub SFTP
•Odpowiednio wiele kont (rozliczalność)
•Kasowanie zbędnych kont
•Niezapisywanie haseł do połączenia w programach
do przesyłu plików

22. Nazwy plików
Żeńśłóński %$ źęć #@ anzelma.doc
W przypadku wgrywania plików przez media w
WordPress wtyczka "Filenames to latin"
https://pl.wordpress.org/plugins/filenames-to-
latin/
przy wgrywaniu przez „FTP” trzeba poprawiać
nazwy plików ręcznie.

23. Lokalizacja plików
Dobrym miejscem na lokalizację własnego katalogu
jest np.:
wp-contentuploadsnazwa-mowiaca-o-
zawartosci
wtedy wszystkie wgrywane pliki są w logicznej
strukturze.

24. Koniec opowieści
/bibliotekarz
arek@bibliotekarz.com
WordUp Warszawa sierpień 2021

25. Licencja
Prezentacja:
„Es jak FTPS SFTP”
autorstwa Niedoszły Bibliotekarz
jest udostępniana na licencji Creative Commons
Uznanie autorstwa Użycie niekomercyjne Na tych samych
warunkach 3.0 Unported License.