FTP 프로그램은 안전합니까?

FTP 보안 위험과 안전한 대안 키 포인트 :

FileZilla와 같은 FTP 프로그램은 비밀번호를 숨길 수 있지만 자격 증명이 저장되면 구성 파일에서 쉽게 액세스 할 수있어 보안을 위태롭게합니다. FTP 자체는 보안이 부족하고 일반 텍스트로 데이터와 자격 증명을 전송하여 쉽게 가로 채고 남용됩니다. FTP 및 SFTP와 같은 보안 대안은 전송 중 데이터를 암호화하여 기존 FTP보다 높은 수준의 보안을 제공합니다.

SSH 키는 민감한 정보를 전송하지 않고 인증하여 보안을 향상시켜 효과적으로 가로 채기를 방지합니다.

SFTP 및 FTP와 같은 도구를 지속적으로 전달하고 안전한 FTP 프로토콜을 보안하면 수동 파일 전송 중에 사람 오류의 위험이 완화 될 수 있습니다.
FTP를 사용하여 파일을 배포하거나 전송합니까? 프로토콜의 오래된 특성과 많은 호스팅 회사들 사이에서 광범위한 인기를 감안할 때, 당신은 그것을 사용하고 있다고 말할 수 있습니다.
• 그러나 이것이 당신과 당신의 비즈니스에 대한 보안 문제를 일으킬 수 있다는 것을 알고 있습니까? 이 상황에 깊이 빠져 들자.
filezilla , Cyberduck ,
• 와 같은 프로그램은 또는
Captain ftp 등을 전송합니다. 다른 사람들이 보는 것을 방지하기 위해 암호 숨기기와 같은 조치를 구현할 수 있습니다. 그러나 FTP를 사용하여 데이터를 전송하면 이러한 측정이 실제로 약화됩니다.

나는 내가 쓴 이유가 8 월에 itepoint에 대한 흥미로운 토론이라고 둔하게 말했다. 토론은 주로 Filezilla에 중점을 두어 그것이 얼마나 안전하지 않은지에 대한 일련의 주장을 만들었습니다.

토론의 주요 측면은 암호를 FileZilla에 저장 해야하는지 여부에 중점을 둡니다. 주석 중 하나는 소프트웨어를 사용할 때 자격 증명이 숨겨져 있지만 저장하면 쉽게 검색 할 수 있음을 보여주는 설명 기사로 연결됩니다.

이 기사를 읽지 않은 경우 FileZilla는 다음과 같이 간단한 XML 파일에 연결 세부 정보를 저장합니다.

연결에 대한 많은 정보를 저장하므로 기억할 필요가 없습니다. 그러나 비밀번호도 일반 텍스트로 저장합니까?

물론, 프로그램을 사용하면 위의 스크린 샷과 같이 비밀번호를 숨기므로 어깨에서 읽지 않습니다. 그러나 컴퓨터에 액세스 할 수있는 경우 컴퓨터에서 암호를 추출하는 것은 의미가 없습니다. 공정하게 말하면, 최신 버전의 FileZilla에서는 기본적으로 비밀번호 스토리지가 허용되지 않습니다. 구성 파일을 암호화하는 것은 어떻습니까? 누군가는 최소한 구성 파일을 암호화하거나 1Password 및 KeepAssx와 같이 액세스를 부여하기 전에 마스터 비밀번호를 요청하는 방식으로 설정해야한다고 제안했습니다. 그런 다음 루이스 라자리스는이 견해를 반박하기 위해 스택 교환에 대한 토론에 연결됩니다. 다음은이 기사의 핵심 내용입니다.

자격 증명을 암호화하려면 암호화 키가 필요하며 어딘가에 저장해야합니다. 사용자 계정에서 맬웨어가 실행중인 경우 귀하 (또는 같은 수준에서 실행되는 다른 응용 프로그램)가 있습니다. 즉, 암호화 키 또는 암호화 키를 암호화하는 키에 액세스 할 수 있습니다.

위의 주장은 1Password 및 KeepAssx와 같은 프로그램의 설계 고려 사항을 완전히 이해하지 못한다고 생각합니다. 비밀번호 및 기타 보안 정보를위한 보안 금고로 구체적으로 설계된 응용 프로그램은이 답변에서 알 수 있듯이 갈라지기가 쉽지 않을 수 있습니다.

예를 들어 1Password의 최근 블로그 게시물에는 해커에 대한 주요 메커니즘이 나열됩니다.

여기에는 128 비트 및 256 비트 대칭 키, SHA512 및 PBKDF2 암호화가 포함되며 액세스 된 데이터 파일을 보호하면서 사용 편의성과 단순성을 유지하기위한 다양한 기능이 포함됩니다.

따라서 따라서, 특히 이러한 모든 기술을 고려할 때 보안 암호화 금고를 사용하는 것이 실제로 더 안전하지 않다는 것을 추론하는 것이 부정확합니다.

는 응용 프로그램이 아니라 FTP입니다!

그러나 FTP 자체를 사용하면 자격 증명이 핵심 요점을 무시하기 때문에 자격 증명을 저장 해야하는지에 대한 주장은 관련이 없습니다. 자격 증명과 데이터는 일반 텍스트로 전송됩니다. 나를 믿지 않습니까? Deccanhosts 블로그에서 FTP가 안전하지 않은 이유를 읽으십시오.

를 알지 못하면 Wireshark와 같은 간단한 그룹화 스나이퍼를 사용하여 사용되는 사용자 이름과 비밀번호를 검색 할 수 있으며 보내는 파일에 저장된 다른 자격 증명과 알고리즘, 데이터베이스 구조를 검색 할 수 있습니다. 다른 내용에 저장되었습니다.

이 정보를 .ini 및 구성 파일에 오랫동안 저장하는 것이 일반적인 관행이라는 점을 감안할 때 WordPress, Joomla 등과 같은 상당한 양의 다운로드 소프트웨어가 개발 될 것을 제안합니다. 방법.

ftp는 보안을 위해 설계되지 않았습니다. 이 디자인에는 본질적으로 보안을 고려하지 않는 일련의 추가 가정이 포함되어 있습니다. Zend의 선임 소프트웨어 엔지니어 Enrico Zimuel은 심지어 다음과 같이 말했습니다. FTP를 절대 사용하지 마십시오 - 영원히!

예, 보안 변경은 나중에 나왔지만 내장되지 않은 것이 아니라 첨부되었습니다. Brute Force 공격에 대한 보호는 없으며 SSH 터널링이 가능하지만 명령 및 데이터 채널을 암호화해야하기 때문에 어렵습니다. 따라서 귀하의 선택은 제한적입니다. 어려움 계수가 구현하려고 할 때 항상 사소한 것은 아닙니다.

당신은 웹 사이트 관리자입니까? FTP 사용자를 위해 Chroot Jail을 활성화 했습니까? Chroot라는 용어에 익숙하지 않은 경우 사용자 이동 및 액세스를 제한하는 방법입니다. 로그인하는 디렉토리에서 시작하여 모든 하위 디렉토리로 이동할 수 있지만 해당 디렉토리 외부로 이동할 수는 없습니다.

ftp 대안 나는 모든 것이 끔찍하다는 것을 설득하기 전에. 오늘날의 FTP 프로그램 중 일부, 특히 위에서 언급 한 프로그램은보다 안전한 FTP 파생 상품 및 대안을 지원합니다. 그들을 보자.

ftps 및 sftp

HTTPS가 안전한 HTTP와 마찬가지로 FTP는 안전한 FTP입니다. SSL (Secure Sockets Layer) 및 TLS (전송 계층 보안) 위에서 실행됩니다. 사용자 자격 증명과 데이터는 더 이상 일반 텍스트로 전송되지 않으며 먼저 암호화 된 다음 전송됩니다.

서버가 허용하는 경우 클라이언트 소프트웨어는 또한 통신의 일부만 암호화 할 수있는 유연성을 가지고 있습니다. 현재의 논의를 바탕으로 이것은 반 직관적 인 것 같습니다.

그러나 전송 된 파일이 암호화되었거나 민감한 특성에 대한 정보가 전송되지 않으면 암호화에 오버 헤드가 필요하지 않을 수 있습니다.

그러나 FTPS로 전환하는 것은 가격 (및 가격)이 있습니다. FTPS를 사용하려면 자체 서명 된 SSL 인증서를 생성하거나 신뢰할 수있는 인증서 기관으로부터 인증서를 구매해야합니다. 따라서 더 나은 보안을 이용할 수 있지만 더 많은 노력과 비용이 필요합니다.

그러나 물러서기 전에 스스로에게 물어보십시오. 귀하의 정보는 비즈니스에 얼마의 가치가 있습니까? 이것은 당신이 그것을 고수하도록 설득 할 수 있습니다.

지금 SFTP를 봅시다. SFTP 또는 SSH 파일 전송 프로토콜은 FTP와 다르게 작동합니다. SFTP는 SSH 2.0의 확장으로 설계되어 일반적인 FTP 연결을 생성하지만 이미 암호화 된 연결에서 실행합니다. FTP 데이터 스트림 자체는 일반 FTP보다 안전하지는 않지만 실행되는 연결은 더 안전합니다.

SSH, SCP 및 기타 로그인 쉘

FTP를 포기하고 싶다면 왜 절반을 포기하기위한 조치를 취합니까? 왜 FTP를 사용합니까? SFTP가 설치되어 있으면 SSH 도구가 설치되어 있습니다.

SSH 자체에서 는 원격 시스템에 대한 전체 사용자 액세스를 제공하여 표준 FTP 이상을 수행 할 수 있습니다. 연결은 안전하고 데이터는 한 시스템에서 다른 시스템으로 쉽게 복사 할 수 있습니다.

명령 라인 전문가 인 경우 SSH에서 RSYNC와 같은 도구를 사용할 수도 있습니다.

간단한 사용 사례에서는 로컬 디렉토리의 모든 파일을 원격 컴퓨터의 디렉토리로 재귀 적으로 복사하는 데 사용할 수 있습니다. 첫 번째 실행되면 모든 파일이 복사됩니다.

두 번째와 이후 실행되면 파일 차이를 확인하고, 다른 최신 파일 만 전송하며, 원격 컴퓨터에 더 이상 존재하지 않는 로컬 파일 및 디렉토리를 삭제할 수있는 옵션이 있습니다.

문제는이 액세스를 부여하는 것이 그 자체로 보안 문제라는 것입니다. 그러나 효과는 줄어들 수 있습니다. OpenSsh는 루트 액세스 허용을 허용하지 않고 원격으로 로그인 할 수있는 사용자를 제한하고 사용자를 특정 디렉토리로 chrooting과 같은 많은 구성 옵션을 허용합니다.

아마도 사용자는 원격 컴퓨터에 전혀있을 필요가 없거나 그곳에있을 때 많은 권한이 필요하지 않습니다. 그렇다면 아마도 이러한 상황에 적응하도록 설계된 여러 껍질 중에서 선택할 수 있습니다.

가장 좋은 것은 scponly와 rssh입니다. SCPONLY를 사용하면 사용자가 원격 컴퓨터에만 파일을 복사 할 수 있습니다.

사용자는 파일 로그인, 이동,보기 또는 변경할 수 없습니다. 좋은 점은 여전히 ​​rsync (및 기타 도구)를 사용할 수 있다는 것입니다. RSSH는 한 걸음 더 나아가 SCP, SFTP, RDIST, RSYNC 및 CVS에 액세스 할 수 있습니다.

를 구현하려면 시스템 관리자는 선택한 도구를 사용하여 사용자의 쉘을 변경 한 다음 /etc/rssh.conf를 편집하여 허용 프로토콜을 나열합니다. 다음은 샘플 구성입니다

이 구성을 통해 사용자는 SCP 및 SFTP 만 사용할 수 있습니다.

ssh 키 다음, SSH 키를 고려해 봅시다. 이 과정은 약간의 설명이 필요하지만, 짧고 간결하게 만들려고 노력하고, 스택 교환 에이 답을 다시 작성하려고합니다.

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><filezilla3></filezilla3>
    <servers></servers>
        <server></server>
            <host>localhost</host>
            <port>21</port>
            <protocol>0</protocol>
            <type>0</type>
            <user>anonymous</user>
            <pass>user</pass>
            <logontype>1</logontype>
            <timezoneoffset>0</timezoneoffset>
            <pasvmode>MODE_DEFAULT</pasvmode>
            <maximummultipleconnections>0</maximummultipleconnections>
            <encodingtype>Auto</encodingtype>
            <bypassproxy>0</bypassproxy>
            <name>test site</name>
            <comments> </comments>
            <localdir> </localdir>
            <remotedir> </remotedir>
            <syncbrowsing>0</syncbrowsing>test site
        >
    >
>

먼저, 서버의 공개 키는 나머지 세션을 보호하는 데 사용될 대칭 키를 협상하여 채널 기밀, 무결성 보호 및 서버 인증을 가능하게하는 대칭 키를 협상하여 안전한 SSH 채널을 구축하는 데 사용됩니다. 채널 기능이 안전한 후에는 사용자 인증이 수행됩니다.

다음으로, 서버는 임의의 값을 생성하고 사용자의 공개 키로 암호화하여이를 보냅니다. 사용자가 사용자가되어야하는 경우 도전 과제를 해독하여 서버로 다시 보낼 수 있으며 사용자의 ID가 확인됩니다. 이것은 고전적인 챌린지 응답 모델입니다.

이 기술의 주요 이점은 개인 키가 클라이언트를 떠나지 않으며 사용자 이름이나 비밀번호를 보내지 않는다는 것입니다. 누군가가 SSL 트래픽을 가로 채서이를 해독 할 수있는 경우 (손상된 서버 개인 키 사용 또는 서버에 연결할 때 잘못된 공개 키를 수락하는 경우) 개인 세부 정보는 공격자의 손에 들어 가지 않습니다.

SCP 또는 SFTP와 함께 사용하면 보안을 개선하면서 사용하는 데 필요한 작업의 양이 더욱 줄어 듭니다. SSH 키는 개인 키를 잠금 해제하기 위해 암호가 필요할 수 있으므로 사용하기가 더 어려워 보입니다.

그러나 컴퓨터에 로그인 할 때이를 사용자 세션에 연결할 수있는 도구가 있습니다. 올바르게 설정되면 비밀번호가 자동으로 제공되므로 시스템을 최대한 활용할 수 있습니다.

지속적인 배송은 어떻습니까?

어쩌면 당신은 전에이 용어에 대해 들어 본 적이 없지만 한동안 주변에있었습니다. 우리는 지난 주에 itepoint에 전에 그것에 대해 글을 썼습니다. Martin Fowler가 만든 지속적인 전달은 다음과 같이 정의됩니다.

소프트웨어 개발 분야에서, 당신은 언제든지 소프트웨어를 생산 환경에 게시 할 수있는 방식으로 소프트웨어를 구축합니다.

이를 구현하는 방법에는 여러 가지가 있지만 Codeship 및 Beanstalk와 같은 서비스는 통증을 크게 제거합니다.

다음은 작동 방식에 대한 거친 은유입니다. 테스트 코드 및 배포 스크립트를 포함하여 소프트웨어 프로젝트를 설정 하고이 모든 것을 버전 제어하에 저장하십시오. Github 또는 Bitbucket과 같은 온라인 서비스를 사용하고 있다고 가정합니다.

코드 브랜치에서 커밋 또는 게시 후 서비스는 이러한 서비스 중 하나로 푸시 될 때마다 응용 프로그램의 테스트를 실행합니다. 테스트가 통과되면 테스트 또는 생산에 관계없이 응용 프로그램이 배포됩니다.

모든 것이 잘 진행되는 한 자동으로 배포를 처리합니다. 그런 다음 배포가 성공적이거나 실패한다는 알림을 받게됩니다.

성공하면 다음 기능 또는 버그 수정으로 진행할 수 있습니다. 문제가 잘못되면 문제의 원인을 찾도록 확인할 수 있습니다. 아래의 짧은 비디오를 확인하십시오.이 비디오는 실제로 코드 샤프를 사용하여 테스트 저장소를 배포하는 프로세스를 보여줍니다.

무엇을해야합니까? Github 리포지토리에 푸시 커밋 - 그게 다야! 스크립트가있는 스크립트, 스크립트가있는 옵션, 전환으로 전환하는 스크립트를 기억할 필요는 없습니다 (특히 금요일 밤 늦었을 때 직장보다는 어디에도있을 것입니다). 인간 오류 문제 마지막으로, FTP를 사용하는 기본 보안 문제에서 일상적인 사용의 효과로 이동합시다. 예를 들어, 전자 상거래 상점과 같은 웹 사이트를 개발 중이며 배포 프로세스가 FTP, 특히 FileZilla를 사용한다고 가정 해 봅시다.

인간 오류와 관련된 몇 가지 고유 한 문제가 있습니다.

모든 파일이 올바른 위치에 업로드되어 있습니까?

파일이 필요한 권한을 유지하거나 얻습니까?

하나 또는 두 파일을 잊어 버리시겠습니까?

제작에서 개발 이름을 변경해야합니까? 배포 후 스크립트를 실행해야합니까?

이 모든 것이 유효한 문제이지만 연속 전달 도구를 사용할 때는 모두 쉽게 완화 할 수 있습니다. 늦었다면 압력이 높으면, 관련 사람이 회사를 떠나려고하거나 휴가를 간절히 원한다면, FTP를 통해 파일을 수동으로 전송하는 것은 문제를 요구합니다.

좋아, 파일을 수동으로 전송하는 것은 단지 문제를 요구하고있다. 인간 오류는 피하기가 너무 어렵습니다.

FileZilla에게 사과 나는 마치 FileZilla를 대상으로하는 것처럼 나타나고 싶지 않습니다. 몇 년 동안 사용한 아주 좋은 앱입니다. 그리고 기술은 그것을 더 안전하게 만들기 위해 사용되었습니다.

내 핵심 요점은 FileZilla뿐만 아니라 FTP 자체에 있습니다.

요약 이것은 FTP 보안 토론에 대한 나의 의견입니다. 내 조언 - 배포를 관리 할 때도 보안을 명심하십시오. 결국, 이것은 귀하의 데이터입니다.

그러나 당신의 아이디어는 무엇입니까? 아직도 FTP를 사용하고 있습니까? 마이그레이션을 고려해 보셨습니까? 실용적이고 사용하기 쉬운 솔루션을 찾기 위해 열심히 노력할 수 있도록 의견과 의견에서 시도한 솔루션을 공유하십시오.

추가 읽기와 자원 ZendCryptPassword 비밀번호 (in) 보안 (슬라이드)

ftp가 안전하지 않은 이유 Wireshark (네트워크 프로토콜 분석기) 1 비밀번호에서의 보안 4

조심 : FileZilla는 암호를 보호 할 수 없습니다 Linux 제한 쉘 : RSSH 및 SCPONLY

FTP 프로그램 보안에 대한 자주 질문

FTP 프로그램과 관련된 주요 보안 위험은 무엇입니까?

FTP 프로그램은 파일 전송에 유용하지만 보안 위험도 있습니다. 주요 문제는 FTP가 데이터를 암호화하지 않는다는 것입니다. 즉, 민감한 데이터 (예 : 사용자 이름 및 비밀번호)를 포함한 모든 전송 된 정보가 일반 텍스트로 전송된다는 것을 의미합니다. 이를 통해 사이버 범죄자 가이 정보를 가로 채고 남용 할 수 있습니다. 또한 FTP는 Brute Force 공격, 패킷 캡처 및 스푸핑 공격과 같은 공격에 취약합니다. 이러한 위험은 데이터 유출, 무단 액세스 및 기타 심각한 보안 문제로 이어질 수 있습니다.

FTP 프로그램 사용 위험을 완화하는 방법은 무엇입니까?

FTP 프로그램과 관련된 위험을 완화하는 몇 가지 방법이 있습니다. 가장 효과적인 방법 중 하나는 SFTP 또는 FTP와 같은 보안 버전의 FTP를 사용하는 것입니다. 이 프로토콜은 전송 중에 데이터를 암호화하여 사이버 범죄자가 가로 채기가 어렵습니다. 또한 강력하고 고유 한 비밀번호를 사용하여 정기적으로 업데이트하면 무차별 적 공격을 방지 할 수 있습니다. 업데이트에는 일반적으로 보안 패치가 포함되어 있으므로 FTP 프로그램을 업데이트하는 것도 중요합니다.

FTP, SFTP 및 FTPS의 차이점은 무엇입니까?

ftp 또는 파일 전송 프로토콜은 인터넷을 통해 파일에서 다른 호스트에서 다른 호스트로 파일을 전송하는 데 사용되는 표준 네트워크 프로토콜입니다. 그러나 암호화를 제공하지 않습니다. SFTP 또는 보안 파일 전송 프로토콜은 SSH (보안 쉘)를 사용하여 전송 중에 데이터를 암호화하는 보안 버전입니다. FTPS 또는 FTP Secure는 SSL (Secure Sockets Layer) 또는 TLS (전송 계층 보안)를 사용하여 암호화되는 또 다른 보안 버전의 FTP입니다.

오늘 아직도 FTP를 사용하십니까?

예, FTP는 오늘날에도 여전히 큰 파일 또는 배치 파일을 전송하기위한 엔터프라이즈 환경에서 여전히 널리 사용됩니다. 그러나 보안 위반으로 인해 많은 조직이 SFTP 또는 FTP와 같은 더 안전한 대안으로 전환하고 있습니다.

내 FTP 프로그램이 안전한지 알리는 방법은 무엇입니까?

FTP 프로그램이 안전한지 확인하려면 파일 전송 중에 암호화를 사용하는지 확인해야합니다. SFTP 및 FTPS와 같은 FTP의 보안 버전은 전송 중에 데이터를 암호화합니다. 일반적으로 프로그램의 문서 또는 설정 에서이 정보를 찾을 수 있습니다. 또한 안전한 FTP 프로그램은 강력한 암호의 필수, 2 단계 인증 및 정기 업데이트와 같은 기능을 제공해야합니다. FTP 프로그램과 함께 VPN을 사용하여 보안을 향상시킬 수 있습니까?

예, FTP 프로그램과 함께 VPN (Virtual Private Network)을 사용하면 보안을 향상시킬 수 있습니다. VPN은 FTP 트래픽을 포함하여 인터넷을 통해 전송 된 모든 데이터를 암호화합니다. 이것은 사이버 범죄자에 의해 데이터가 가로 채지 못하도록 보호하는 데 도움이 될 수 있습니다.

FTP에 대한 보안 대안은 무엇입니까?

FTP에 대한 일부 보안 대안에는 SFTP, FTP 및 SCP (보안 복제 프로토콜)가 포함됩니다. 이 프로토콜은 모두 암호화를 사용하여 전송 중 데이터를 보호합니다. 또한 클라우드 기반 파일 전송 서비스는 종종 암호화, 2 요인 인증 및 액세스 제어를 포함한 강력한 보안 조치를 제공합니다.

무차별 적 공격은 무엇이며 FTP에 어떤 영향을 미칩니 까?

Brute Force 공격은 암호를 추측하여 공격자가 시스템에 액세스하려고하는 사이버 공격의 한 유형입니다. FTP는 비밀번호를 일반 텍스트로 전송하므로 특히 무차별 적 공격에 취약합니다. 공격자가 암호를 성공적으로 추측하면 승인없이 시스템에 액세스 할 수 있으며 데이터를 훔치거나 조작 할 수 있습니다.

내 FTP 프로그램을 스푸핑 공격으로부터 보호하는 방법은 무엇입니까?

스푸핑 공격 (공격자는 합법적 인 사용자 또는 장치 인 척)은 FTP 프로그램에 심각한 위협이 될 수 있습니다. 이러한 공격을 방지하기 위해 SFTP 또는 FTP와 같은 암호화 된 FTP의 보안 버전을 사용할 수 있습니다. 또한 강력하고 고유 한 비밀번호를 사용하여 정기적으로 업데이트하면 스푸핑 공격을 방지 할 수 있습니다.

패킷 캡처는 무엇이며 FTP에 어떤 영향을 미칩니 까?

패킷 스니핑 (Packet Sniffing)이라고도하는 패킷 캡처는 패킷이 네트워크를 통해 전송 될 때 사이버 범죄자가 가로 채고 분석하는 데 사용되는 방법입니다. FTP는 데이터를 암호화하지 않기 때문에 패킷 캡처가 특히 취약합니다. 공격자는이 방법을 사용하여 사용자 이름 및 비밀번호와 같은 민감한 정보를 훔칠 수 있습니다. 패킷 캡처를 방지하려면 SFTP 또는 FTP와 같은 암호화 된 보안 버전의 FTP를 사용해야합니다.

위 내용은 FTP 프로그램은 안전합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!