0x0040 18ca e0ab 1b17 461e bf71 515f 6837 5c1a ......F..qQ_h7\.
\======================================================================/
[page]
4.0 总结
FTP的替代应用
如今,如果考虑到其他一些安全的文件传输选择,可能看起来没有理由再使用FTP了,如SCP或
者SFTP,与FTP应用相似但运用SSH(注:Secure
Shell)来进行验证和加密,如果你使用一台基于UNIX的服务器,你可以在命令方式下调用SCP
或者SFTP,如果你想获得更多的关于SSH的信息,参考如下URL:http://www.openssh.com
如果你只是用FTP来更新你的Web页面,有别的替代应用,称为WebDAV的新的协议,WebDAV
是HTTP的扩展,它允许多个用户共同编辑和维护远程WEB服务器上的文件,如果想了解WebDAV
的详细信息,参考:http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc2518.html
FTP是在70年代设计出来的,那个时候互联网还是一个封闭的网络,网络安全不是一个大的问
题。当FTP在使用NAT网关、防火墙、CISCO访问列表的现代网络环境中运用的时候,不管你使
用Port模式还是Passive模式,都可能产生一些问题,FTP在公网上作为一些关键应用的文件传
输手段可能就是一个错误;当然近年很多人为了是FTP协议更加安全进行了不懈的努力,这些
努力却使对于FTP的排错更加复杂,而且都没有解决FTP最大的问题,即明文传输用户名和口令
。有许多应用可以替代FTP,如SCP,SFTP或者WebDAV。
以上为原文总结,本文下半部分补充了ftp自身的安全扩展,使用SSL/TLS进行ftp传输过程的
验证和加密,良好的实现了与传统ftp协议的兼容性和优良的数据保密性与完整性。在无法使用
替代服务的环境下,是一种非常好的ftp服务改进计划。
略有不足的是,由于历史兼容性因素,很多ftp client和server对ssl ftp扩展的实现都存在
着各种缺陷,例如加密算法不足,指令顺序有错误等等,这可能会引起一些安全保护级别的削弱。
1, 由于没有良好的PKI体系支撑,很多ftp server的证书合法性无法得到验证,可能存在无法
信任或被伪造的可能;
2, 由于Explicit SSL模式的历史兼容问题,AUTH指令和USER/PASS指令序列的优先级没有明确
约定,可能存在指令序列错误造成信息泄露的问题;
3, 由于SSL自身体系的一些问题,可能受到证书泄露,伪造,或SSL中间人攻击;
4, 在不完整的CA或PKI体系下,只能够采用自签名证书,这时SSL ftp得到的安全性提高仅仅
是通讯过程加密,并无法完成身份认证的功能。
当然,排除无法实现身份认证功能和略微的实现缺陷,ssl ftp仍然是一种优秀的ftp服务安全加强
措施。
5.0 参考
ftp协议簇
http://www.ietf.org/rfc/rfc959.txt
http://www.ietf.org/rfc/rfc1579.txt
ftp安全扩展
http://www.ietf.org/rfc/rfc2228.txt
http://www.ietf.org/rfc/rfc2246.txt
ftp安全扩展,SSL接口草案:
http://www.ietf.org/internet-drafts/draft-murray-auth-ftp-ssl-13.txt
ssl/tls协议规范:
http://www.ietf.org/rfc/rfc2246.txt
OpenSSL,一个广为应用的SSL实现:
http://www.openssl.org
支持ssl ftp的ftp client:
http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext_col.html#client
支持ssl ftp的ftp server:
http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext_col.html#server
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
