FTP协议的分析和扩展 (8)

0x0040 18ca e0ab 1b17 461e bf71 515f 6837 5c1a ......F..qQ_h7\.
\======================================================================/

[page]
4.0 总结
FTP的替代应用
如今，如果考虑到其他一些安全的文件传输选择，可能看起来没有理由再使用FTP了，如SCP或
者SFTP，与FTP应用相似但运用SSH（注：Secure
Shell）来进行验证和加密，如果你使用一台基于UNIX的服务器，你可以在命令方式下调用SCP
或者SFTP，如果你想获得更多的关于SSH的信息，参考如下URL：http://www.openssh.com
如果你只是用FTP来更新你的Web页面，有别的替代应用，称为WebDAV的新的协议，WebDAV
是HTTP的扩展，它允许多个用户共同编辑和维护远程WEB服务器上的文件，如果想了解WebDAV
的详细信息，参考：http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc2518.html

FTP是在70年代设计出来的，那个时候互联网还是一个封闭的网络，网络安全不是一个大的问
题。当FTP在使用NAT网关、防火墙、CISCO访问列表的现代网络环境中运用的时候，不管你使
用Port模式还是Passive模式，都可能产生一些问题，FTP在公网上作为一些关键应用的文件传
输手段可能就是一个错误；当然近年很多人为了是FTP协议更加安全进行了不懈的努力，这些
努力却使对于FTP的排错更加复杂，而且都没有解决FTP最大的问题，即明文传输用户名和口令
。有许多应用可以替代FTP，如SCP，SFTP或者WebDAV。

以上为原文总结，本文下半部分补充了ftp自身的安全扩展，使用SSL/TLS进行ftp传输过程的
验证和加密，良好的实现了与传统ftp协议的兼容性和优良的数据保密性与完整性。在无法使用
替代服务的环境下，是一种非常好的ftp服务改进计划。

略有不足的是，由于历史兼容性因素，很多ftp client和server对ssl ftp扩展的实现都存在
着各种缺陷，例如加密算法不足，指令顺序有错误等等，这可能会引起一些安全保护级别的削弱。
1, 由于没有良好的PKI体系支撑，很多ftp server的证书合法性无法得到验证，可能存在无法
信任或被伪造的可能；
2, 由于Explicit SSL模式的历史兼容问题，AUTH指令和USER/PASS指令序列的优先级没有明确
约定，可能存在指令序列错误造成信息泄露的问题；
3, 由于SSL自身体系的一些问题，可能受到证书泄露，伪造，或SSL中间人攻击;
4, 在不完整的CA或PKI体系下，只能够采用自签名证书，这时SSL ftp得到的安全性提高仅仅
是通讯过程加密，并无法完成身份认证的功能。

当然，排除无法实现身份认证功能和略微的实现缺陷，ssl ftp仍然是一种优秀的ftp服务安全加强
措施。


5.0 参考

ftp协议簇
http://www.ietf.org/rfc/rfc959.txt
http://www.ietf.org/rfc/rfc1579.txt

ftp安全扩展
http://www.ietf.org/rfc/rfc2228.txt
http://www.ietf.org/rfc/rfc2246.txt

ftp安全扩展，SSL接口草案:
http://www.ietf.org/internet-drafts/draft-murray-auth-ftp-ssl-13.txt

ssl/tls协议规范:
http://www.ietf.org/rfc/rfc2246.txt

OpenSSL,一个广为应用的SSL实现:
http://www.openssl.org

支持ssl ftp的ftp client:
http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext_col.html#client

支持ssl ftp的ftp server:
http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext_col.html#server

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有