SFTP-Port-Anleitung: Sichere Dateiübertragung über SSH

SFTP ist kein FTP mit zusätzlicher Verschlüsselung. Es handelt sich um ein separates Protokoll, das innerhalb einer SSH-Sitzung ausgeführt wird. Der Client stellt eine Verbindung zum SSH-Server her, authentifiziert sich mit einem Passwort, einem Schlüssel, einem Zertifikat oder einer anderen von SSH unterstützten Methode und startet dann das SFTP-Subsystem, um Verzeichnisse aufzulisten, Dateien hochzuladen, Dateien herunterzuladen, Pfade umzubenennen und Berechtigungen zu verwalten.

Da SFTP auf SSH basiert, profitiert es von der SSH-Verschlüsselung, der Überprüfung des Hostschlüssels und ausgereiften Authentifizierungskontrollen. Bei den meisten Bereitstellungen ist der SFTP-Port daher TCP 22. Einige Organisationen verlagern SSH und SFTP auf einen anderen Port, um das Hintergrund-Scan-Rauschen zu reduzieren, aber eine Änderung des Ports ersetzt nicht die Authentifizierungs- und Autorisierungskontrollen.

Klassisches FTP verwendet üblicherweise Port 21 für Befehle und separate Datenports für Übertragungen. Dadurch werden Firewall und NAT komplexer, und einfaches FTP sendet Anmeldeinformationen und Daten unverschlüsselt. FTPS fügt TLS zu FTP hinzu, behält aber weiterhin das FTP-Modell mit Befehls- und Datenkanälen bei.

SFTP verwendet eine SSH-Verbindung, was normalerweise einfacher durch Firewalls zuzulassen und einfacher zu überwachen ist. SCP verwendet ebenfalls SSH, aber SFTP bietet umfangreichere Dateiverwaltungsvorgänge und ist die bessere Standardeinstellung für interaktive Übertragungen, Partner-Drops und automatisierte Datei-Workflows.

Öffnen Sie den SFTP-Zugriff, wenn ein Partner, ein Automatisierungsjob, ein Backup-Prozess, eine Bereitstellungspipeline oder ein internes Team Dateien sicher mit einem Server austauschen muss. Zu den gängigen Beispielen gehören Lieferantendaten-Feeds, nächtliche Exporte, Protokollerfassung, sichere Dokumentenzustellung und kontrollierte Upload-Bereiche für Kunden oder Feldgeräte.

Stellen Sie SFTP nicht allgemein zur Verfügung, nur weil es verschlüsselt ist. Ein mit dem Internet verbundener SSH-Dienst zieht Angriffe auf Anmeldeinformationen und automatisierte Scans nach sich. Wenn nur eine kleine Gruppe Zugriff benötigt, beschränken Sie die Quell-IPs, veröffentlichen Sie SFTP hinter einem VPN oder einem privaten Netzwerk oder verwenden Sie ein verwaltetes Transfer-Gateway mit strengeren Richtlinienkontrollen.

Bevor Sie Port 22 für SFTP öffnen, bestätigen Sie, dass der SSH-Server installiert, ausgeführt und konfiguriert ist, um das SFTP-Subsystem zuzulassen. Entscheiden Sie dann, welche Benutzer oder Dienstkonten eine Verbindung herstellen sollen, welche Verzeichnisse sie sehen können, ob eine Passwortauthentifizierung zulässig ist und wie Uploads und Downloads protokolliert werden.

Trennen Sie die Netzwerkerreichbarkeit von der Kontoautorisierung. Ein Port-Checker kann anzeigen, ob TCP 22 aus dem Internet erreichbar ist, er kann jedoch nicht nachweisen, dass sich ein bestimmter Benutzer anmelden kann oder dass ein Chroot-Verzeichnis korrekt ist. Verwenden Sie einen SFTP-Client oder SSH-Befehlszeilentests, um das Verhalten auf Anwendungsebene zu überprüfen.

Installieren und aktivieren Sie auf Windows Server den OpenSSH-Server, lassen Sie eingehendes TCP 22 in der Windows Defender-Firewall zu und bestätigen Sie, dass der SSHD-Dienst ausgeführt wird. Wenn sich der Server in einer Cloud-Umgebung befindet, lassen Sie auch Port 22 in der Cloud-Firewall oder Sicherheitsgruppe zu. Verwenden Sie dedizierte Konten anstelle eines breiten Administratorzugriffs.

Installieren Sie unter Linux den OpenSSH-Server, bestätigen Sie, dass sshd Port 22 überwacht, und stellen Sie sicher, dass das SFTP-Subsystem in sshd_config aktiviert ist. Konfigurieren Sie für eingeschränkte Dateiübertragungskonten Chroot-Verzeichnisse, Besitzregeln und ForceCommand internal-sftp, damit Benutzer keine interaktive Shell erhalten.

Unter macOS ist SFTP über den integrierten SSH-Dienst verfügbar. Es wird am häufigsten für lokale Netzwerke, Entwicklungsmaschinen oder Laborumgebungen verwendet. Wenn Sie es außerhalb eines vertrauenswürdigen Netzwerks verfügbar machen, wenden Sie dieselben schlüsselbasierten Authentifizierungs- und Firewallregeln an, die Sie auch auf einem Server verwenden würden.

Beginnen Sie mit einer externen Portprüfung anhand des öffentlichen Hostnamens oder der IP-Adresse und Port 22. Wenn der Port geöffnet ist, ist der TCP-Pfad zum SSH-Dienst erreichbar. Verwenden Sie als Nächstes einen SFTP-Client oder führen Sie sftp user@example.com aus, um die Authentifizierung, die Hostschlüssel-Vertrauenswürdigkeit, den Verzeichniszugriff und die Upload-Berechtigungen zu überprüfen.

Wenn Sie Details auf niedrigerer Ebene benötigen, testen Sie den SSH-Handshake mit ssh -vvv user@example.com oder überprüfen Sie die Listener auf dem Server mit ss -tlnp, netstat oder PowerShell. Vergleichen Sie bei Cloud-Servern die Host-Firewall-Regeln mit den Cloud-Sicherheitsgruppen, da beide Ebenen die Verbindung zulassen müssen.

Wenn der SFTP-Port geschlossen angezeigt wird, wird sshd möglicherweise nicht ausgeführt, lauscht möglicherweise an einem anderen Port oder wird möglicherweise von der Host-Firewall blockiert. Wenn bei der Prüfung eine Zeitüberschreitung auftritt, kann es sein, dass eine Cloud-Sicherheitsgruppe, eine Router-NAT-Regel, ein ISP-Filter, eine VPN-Richtlinie oder eine Quell-IP-Zulassungsliste Pakete verwirft, bevor sie den Server erreichen.

Wenn der Port geöffnet ist, aber die SFTP-Anmeldung fehlschlägt, überprüfen Sie den Benutzernamen, die Schlüsselberechtigungen, die Passwortrichtlinie, die MFA-Anforderung, die zugelassenen Benutzer, den Chroot-Besitz, die ForceCommand-Regeln und die Serverprotokolle. Ein häufiger Fehler besteht darin, einem Benutzer Schreibrechte für ein Chroot-Verzeichnis zu erteilen; OpenSSH erfordert bestimmte Besitz- und Berechtigungsmuster, damit Chroot sicher funktioniert.

Bevorzugen Sie SSH-Schlüssel oder zertifikatbasierte Authentifizierung gegenüber Passwörtern. Deaktivieren Sie die Root-Anmeldung, beschränken Sie die Anzahl der Benutzer, die eine Verbindung herstellen können, rotieren Sie Schlüssel, entfernen Sie nicht verwendete Konten und schützen Sie private Schlüssel mit Passphrasen oder hardwaregestütztem Speicher. Erstellen Sie für den Partnerzugriff ein Konto pro Partner, damit Aktivitäten sauber zugeordnet und widerrufen werden können.

Beschränken Sie den Dateisystemzugriff mit Chroot oder eng begrenzten Verzeichnissen, vermeiden Sie freigegebene beschreibbare Ordner, sofern diese nicht erforderlich sind, und überwachen Sie fehlgeschlagene Anmeldungen und ungewöhnliche Übertragungsvolumina. Wenn SFTP mit dem Internet verbunden ist, kombinieren Sie Ratenbegrenzung, Quellenzulassungslisten, Einbruchserkennung und regelmäßiges Patchen des SSH-Servers.