FTP-Zugang konfigurieren

Vermitteln Sie FTP über Access Gate: gewähren Sie Zugang pro Enclave, fixieren Sie die Datenports des Passiv-Modus und sichern Sie den Server hinter Identitätsprüfung mit einem Access Screen.

FTP (File Transfer Protocol) überträgt Dateien zwischen einem Client und einem Server. Es ist in industriellen und Legacy-Umgebungen nach wie vor üblich, um Rezepte, Firmware, Konfigurationsdateien und Berichte zu übertragen. Standardmäßig ist es ein Klartextprotokoll mit schwacher oder fehlender Authentifizierung und nutzt mehrere Netzwerkports für die Datenübertragung. Access Gate vermittelt FTP so, dass nur die richtigen Personen und Systeme den Server erreichen, und mit einem Access Screen erst nach erfolgter Authentifizierung.

Was Sie erhalten

Wenn Sie ein FTP-Asset über ein Enclave veröffentlichen, kann das Gate:

Den Benutzer zuerst authentifizieren über einen Access Screen, bevor der FTP-Server überhaupt erreichbar ist.
Zugriff per ACL einschränken: nur die Benutzer, Gruppen oder Rollen, die Sie freigeben, erreichen den Server, und nur über die Ports, die Sie erlauben.
DNS-Auflösung, Authentifizierung und Protokollierung am Gate abwickeln, sodass der Legacy-Server auf seiner Seite unverändert bleibt und jede Sitzung aufgezeichnet wird.

Einrichtung

Fügen Sie den FTP-Server als Asset hinzu und definieren Sie seinen FTP-Dienst.
Erstellen Sie ein Enclave und gewähren Sie dem Benutzer oder der Gruppe, die ihn benötigt, mit einer allow-Regel Zugang.

Wie FTP Ports nutzt

FTP ist ungewöhnlich, da eine einzelne Sitzung zwei separate Verbindungen verwendet:

1. Steuerverbindung (Port 21), zuerst vom Client geöffnet. Befehle (USER, PASS, LIST, RETR, STOR) und deren Antworten laufen hier. Diese Verbindung bleibt während der gesamten Sitzung offen.

2. Datenverbindung (ein zweiter, separater Port), pro Übertragung geöffnet (eine Verzeichnisauflistung, ein Datei-Upload oder -Download). Wie dieser zweite Port gewählt wird, wird ausgehandelt und hängt vom Modus ab:

Aktiver Modus: vom Server zum Client. Der Client sendet einen PORT-Befehl, der dem Server mitteilt, zu welchem Client-Port er zurück verbinden soll.
Passiver Modus: vom Client zum Server. Der Server antwortet auf PASV mit einer IP und einem Port, den er für diese Übertragung geöffnet hat.

Da der Datenport dynamisch ist, fixieren Sie ihn auf einen bekannten Bereich, damit das Enclave genau diese Ports erlauben kann. Mit vsftpd setzen Sie dies beispielsweise in /etc/vsftpd.conf, um den Passiv-Modus auf einen präzisen Bereich von 3 Ports festzulegen:

# Passive mode: pin data connection to a precise 3-port range
pasv_enable=YES
pasv_min_port=30000
pasv_max_port=30002

Im Einklang mit einem Zero-Trust-Ansatz wird diese Härtungskonfiguration empfohlen: ein enger, bekannter Portbereich erlaubt es dem Gate, nur die Ports freizugeben, die eine Übertragung benötigt, und nichts darüber hinaus.

Identität hinzufügen

In diesem Fall haben wir der IT-Gruppe Zugang gewährt, sodass sich ein Benutzer über einen Access Screen authentifiziert, bevor der Server erreichbar ist. Siehe Benutzer mit Access Screens authentifizieren.

Sobald sich der Benutzer authentifiziert hat, wird die Verbindung hergestellt, einschließlich DNS-Auflösung, Benutzerauthentifizierung und Protokollierung.

Connection to the FTP server established through Access Gate

Zusammenfassung

Sie haben einen FTP-Server über ein Enclave vermittelt, die Datenports des Passiv-Modus auf einen bekannten Bereich fixiert und den Zugang mit einem Access Screen und einer ACL hinter Identitätsprüfung gesichert.

Greifen Sie dazu, wenn ein Standort für den Dateitransfer noch auf FTP angewiesen ist und Sie Zugriffskontrolle, Identitätsprüfung und Protokollierung vor einem Klartext-Protokoll mit mehreren Ports benötigen, ohne den Server zu verändern.