SFTP-poortgids: veilige bestandsoverdracht via SSH

SFTP is geen FTP waaraan codering is toegevoegd. Het is een apart protocol dat binnen een SSH-sessie draait. De client maakt verbinding met de SSH-server, authenticeert met een wachtwoord, sleutel, certificaat of andere door SSH ondersteunde methode en start vervolgens het SFTP-subsysteem om mappen weer te geven, bestanden te uploaden, bestanden te downloaden, paden te hernoemen en machtigingen te beheren.

Omdat SFTP op SSH draait, profiteert het van SSH-encryptie, hostsleutelverificatie en volwassen authenticatiecontroles. Voor de meeste implementaties is de SFTP-poort daarom TCP 22. Sommige organisaties verplaatsen SSH en SFTP naar een andere poort om achtergrondscanruis te verminderen, maar het wijzigen van de poort is geen vervanging voor authenticatie- en autorisatiecontroles.

Klassieke FTP gebruikt gewoonlijk poort 21 voor opdrachten en aparte datapoorten voor overdrachten. Dat maakt firewalling en NAT complexer, en gewone FTP verzendt inloggegevens en gegevens zonder codering. FTPS voegt TLS toe aan FTP, maar behoudt nog steeds het FTP-model met opdracht- en datakanalen.

SFTP gebruikt één SSH-verbinding, die doorgaans gemakkelijker door firewalls kan worden doorgelaten en eenvoudiger te controleren is. SCP maakt ook gebruik van SSH, maar SFTP biedt rijkere bestandsbeheerbewerkingen en is de betere standaard voor interactieve overdrachten, partnerdrops en geautomatiseerde bestandsworkflows.

Open SFTP-toegang wanneer een partner, automatiseringstaak, back-upproces, implementatiepijplijn of intern team veilig bestanden moet uitwisselen met een server. Veelvoorkomende voorbeelden zijn datafeeds van leveranciers, nachtelijke exporten, het verzamelen van logbestanden, beveiligde documentlevering en gecontroleerde uploadgebieden voor klanten of veldapparatuur.

Stel SFTP niet breed beschikbaar alleen omdat het versleuteld is. Een op internet gerichte SSH-service trekt inloggegevensaanvallen en geautomatiseerd scannen aan. Als slechts een kleine groep toegang nodig heeft, beperk dan de bron-IP's, publiceer SFTP achter een VPN of particulier netwerk, of gebruik een beheerde overdrachtsgateway met sterkere beleidscontroles.

Voordat u poort 22 voor SFTP opent, moet u bevestigen dat de SSH-server is geïnstalleerd, actief is en geconfigureerd is om het SFTP-subsysteem toe te staan. Bepaal vervolgens welke gebruikers of serviceaccounts verbinding moeten maken, welke mappen ze kunnen zien, of wachtwoordverificatie is toegestaan ​​en hoe uploads en downloads worden geregistreerd.

Scheid netwerkbereikbaarheid van accountautorisatie. Een poortcontrole kan aantonen of TCP 22 bereikbaar is vanaf internet, maar kan niet bewijzen dat een specifieke gebruiker kan inloggen of dat een chroot-directory correct is. Gebruik een SFTP-client of ssh-opdrachtregeltests om het gedrag op applicatieniveau te verifiëren.

Op Windows Server installeert en schakelt u OpenSSH Server in, staat binnenkomend TCP 22 toe in Windows Defender Firewall en bevestigt u dat de sshd-service actief is. Als de server zich in een cloudomgeving bevindt, sta dan ook poort 22 toe in de cloudfirewall of beveiligingsgroep. Gebruik speciale accounts in plaats van brede beheerderstoegang.

Op Linux installeert u OpenSSH Server, bevestigt u dat sshd luistert op poort 22 en zorgt u ervoor dat het SFTP-subsysteem is ingeschakeld in sshd_config. Voor accounts met beperkte bestandsoverdracht configureert u chroot-mappen, eigendomsregels en ForceCommand internal-sftp zodat gebruikers geen interactieve shell kunnen krijgen.

Op macOS is SFTP beschikbaar via de ingebouwde SSH-service. Het wordt meestal gebruikt voor lokale netwerken, ontwikkelmachines of laboratoriumomgevingen. Als u het buiten een vertrouwd netwerk blootstelt, pas dan dezelfde sleutelgebaseerde authenticatie- en firewallregels toe die u op een server zou gebruiken.

Begin met een externe poortcontrole aan de hand van de openbare hostnaam of het IP-adres en poort 22. Als de poort open is, is het TCP-pad naar de SSH-service bereikbaar. Gebruik vervolgens een SFTP-client of voer sftp user@example.com uit om de authenticatie, de hostsleutelvertrouwen, directorytoegang en uploadmachtigingen te verifiëren.

Als u details op een lager niveau nodig heeft, test u de SSH-handshake met ssh -vvv user@example.com of controleert u luisteraars op de server met ss -tlnp, netstat of PowerShell. Voor cloudservers vergelijkt u de hostfirewallregels met cloudbeveiligingsgroepen, omdat beide lagen de verbinding moeten toestaan.

Als de SFTP-poort gesloten wordt weergegeven, is sshd mogelijk niet actief, luistert mogelijk op een andere poort of wordt mogelijk geblokkeerd door de hostfirewall. Als er een time-out optreedt bij de controle, kan het zijn dat een cloudbeveiligingsgroep, een NAT-regel van een router, een ISP-filter, een VPN-beleid of een bron-IP-toelatingslijst pakketten droppen voordat ze de server bereiken.

Als de poort open is maar inloggen via SFTP mislukt, inspecteer dan de gebruikersnaam, sleutelrechten, wachtwoordbeleid, MFA-vereiste, toegestane gebruikers, chroot-eigendom, ForceCommand-regels en serverlogboeken. Een veelgemaakte fout is het geven van schrijfrechten aan de gebruiker aan een chroot-map; OpenSSH vereist specifieke eigendoms- en toestemmingspatronen om chroot veilig te laten werken.

Geef de voorkeur aan SSH-sleutels of op certificaten gebaseerde authenticatie boven wachtwoorden. Schakel root-login uit, beperk welke gebruikers verbinding kunnen maken, roteer sleutels, verwijder ongebruikte accounts en bescherm privésleutels met wachtwoordzinnen of door hardware ondersteunde opslag. Voor partnertoegang maakt u één account per partner aan, zodat activiteiten netjes kunnen worden toegewezen en ingetrokken.

Beperk de toegang tot het bestandssysteem met chroot of mappen met een strak bereik, vermijd gedeelde schrijfbare mappen tenzij ze nodig zijn, en controleer mislukte aanmeldingen en ongebruikelijke overdrachtsvolumes. Als SFTP internetgericht is, combineer dan snelheidsbeperking, toelatingslijsten voor bronnen, inbraakdetectie en regelmatige patching van de SSH-server.