Manuale d`esercizio «File Transfer Client» File Delivery Services

Transcript

Manuale d’esercizio «File Transfer
Client»
File Delivery Services
Editore
Posta CH SA
Tecnologia dell’informazione
Webergutstrasse 12
CH-3030 Berna (Zollikofen)
Contatto
Posta CH SA
Tecnologia dell’informazione
Webergutstrasse 12
CH-3030 Berna (Zollikofen)
IT261 FDS Betrieb
E-mail: [email protected]
Versione 4.0 / febbraio 2016
La versione attuale è disponibile su: https://www.posta.ch/fds
Manuale d’esercizio «File Transfer Client»
Version 4.0 / febbraio 2016 / © Posta CH SA
2/30
Indice
1. Aspetti generali ............................................................................................................................................ 4
1.1 Scopo ........................................................................................................................................................ 4
1.2 Definizioni, acronimi e abbreviazioni .......................................................................................................... 4
1.3 Nomi, prezzi, versioni, ecc. ......................................................................................................................... 4
2. SFTP.............................................................................................................................................................. 5
2.1 Introduzione .............................................................................................................................................. 5
2.2 Sicurezza ................................................................................................................................................... 5
2.3 Public e Private Key .................................................................................................................................... 6
2.3.1 Creazione di una coppia di chiavi SSH con PuTTY ................................................................................... 6
2.3.2 Creazione di una coppia di chiavi SSH con OpenSSH .............................................................................. 9
3. FTP ............................................................................................................................................................. 11
3.1 Breve panoramica .................................................................................................................................... 11
3.2 La politica in materia di password ............................................................................................................ 11
3.3 Modifica della password .......................................................................................................................... 11
3.3.1 Command-Line FTP Client..................................................................................................................... 12
3.3.2 Client FTP grafico .................................................................................................................................. 12
3.3.2.1 WS_FTP ............................................................................................................................................. 12
3.3.2.2 Filezilla ............................................................................................................................................... 13
3.4 Trasmissione dei dati in ASCII e/o in modalità BINARY .............................................................................. 13
4. Collegamento a FDS ................................................................................................................................... 14
4.1 Introduzione ............................................................................................................................................ 14
4.2 Test del collegamento .............................................................................................................................. 14
5. FileZilla........................................................................................................................................................ 15
5.1 Importazione della chiave con FileZilla ...................................................................................................... 15
5.2 Importazione automatica con il Pageant di PuTTY .................................................................................... 15
5.3 Note su FileZilla ........................................................................................................................................ 19
6. CuteFTP ...................................................................................................................................................... 20
6.1 Importazione della chiave con CuteFTP .................................................................................................... 20
7. WS_FTP Professional ................................................................................................................................... 24
7.1 Importazione della chiave con WS_FTP Professional ................................................................................. 24
8. WinSCP ...................................................................................................................................................... 29
8.1 Importazione della chiave con WinSCP .................................................................................................... 29
8.2 Nota sul WinSCP ...................................................................................................................................... 29
3/30
1.
Aspetti generali
1.1
Scopo
I clienti FDS utilizzano per il trasferimento dei dati software client e script molto diversi. Per contrastare la crescita
dei client, abbiamo deciso di testare i più utilizzati, di descriverne le funzioni più importanti e, quindi, di limitare
l’impiego e il supporto a questi.
1.2
Definizioni, acronimi e abbreviazioni
Parola
Definizione
ftp
ssh
File Transfer Protocol (inglese, sta per «protocollo di trasferimento file»)
Il termine SSH o Secure Shell indica sia un protocollo di rete sia i relativi programmi, grazie
ai quali è possibile creare in modo sicuro un collegamento di rete cifrato con un computer
remoto.
Secure Copy o SCP è un protocollo per la trasmissione cifrata di dati tra due computer
mediante una rete informatica.
SFTP o SSH File Transfer Protocol è una fase successiva dell’SCP e consente il trasferimento
sicuro dei dati a sistemi remoti.
PuTTY è un client SSH gratuito, sviluppato da Simon Tatham per Microsoft Windows.
scp
sftp
PuTTY
1.3
Nomi, prezzi, versioni, ecc.
Software
Prezzo
Versione*
ftp
sftp
URL
(02’2016)
FileZilla (progetto
filezilla)
(consigliato)
CuteFTP Professional
(globalSCAPE)
WS_FTP Professional
(Ipswitch)
WinSCP
gratuito
3.15.0
sì
sì
https://filezilla-project.org/
a pagamento
9.0
sì
sì
http://www.cuteftp.com
a pagamento
12.4
sì
sì
http://www.ipswitchft.com
gratuito
5.7.6
sì
sì
http://winscp.net
*Anche se le precedenti e future versioni di software, nonché altri client sftp e ftp dovrebbero, in linea di
massima, funzionare senza problemi con l’FDS, in caso di problemi, Tecnologia dell’informazione può offrire solo
un supporto limitato.
4/30
2.
SFTP
2.1
Introduzione
L’SFTP (SSH Secure File Transfer Protocol) è un protocollo di trasferimento dati e un’alternativa all’FTP. Tra client
e server viene infatti stabilito un collegamento ininterrotto e cifrato tramite il quale i dati e i nomi utente
risultano illeggibili per eventuali intrusi. Tramite l’autenticazione public key sono garantite l’integrità e la
riservatezza dei dati scambiati. L’SSH garantisce la trasmissione completa e integrale dei dati dal mittente al
destinatario.
Attenzione: l’SFTP non va confuso con l’FTPS (FTP mediante SSL) o con l’FTP mediante SSH (detto talvolta Secure
FTP).
L’FDS SFTP Server supporta:
 versione 2 di SSH
 versione 3 del protocollo SFTP
 comandi SCP in ingresso mediante protocollo SSH/SCP Importante: SCP non supporta list, rename e
delete
 trasmissioni di file fino a un volume massimo di 15 GB
 30 collegamenti contemporanei dallo stesso account
 blocco dell’account per 30 minuti dopo 5 tentativi di login errati
 le chiavi supportate sono quelle in formato openSSH, ssh.com e PuTTY
 per ciascun account possono essere configurate 1 o più chiavi
L’FDS SFTP Server non supporta:
 versione 1 di SSH
 sedute Shell interattive
 ripresa di trasmissioni
 modifica di password
 modifiche di attributi del file
 manipolazione della struttura della directory
2.2
Sicurezza
I clienti FDS devono garantire che il loro software di trasferimento di file siano aggiornati. È particolarmente
importante che vengono utilizzati algoritmi di cifratura considerati sicuri e codici di autenticazione dei messaggi
(MAC).
La Posta CH SA e le sue unità di servizio e d'affari non assumono nessuna responsabilità e non è responsabile per
danni causati da uso di algoritmi non sicuri e / o metodi di MAC.
2.2.1 Algoritmi di crittografia
L'algoritmo AES deve essere selezionato. La lunghezza minima della chiave deve essere 128 bit.
La Tecnologia dell'Informazione della Posta si riserva il diritto di non sostenere più senza preavviso algoritmi
vecchi come twofish, blowfish o arcfour e algoritmi con una lunghezza della chiave <128 bit.
2.2.2 Message Authentication Codes (MAC)
MAC è un critto sistema basato su chiavi simmetriche con lo scopo di garantire l'integrità dei messaggi.
Il metodo MAC consentito è hmac-sha2-256.
La Tecnologia dell'Informazione della Posta si riserva il diritto di non sostenere più senza preavviso metodi MAC
obsoleti, come hmac-sha1 o hmac-md5.
5/30
2.3
Public e Private Key
Mediante un sistema di cifratura, le informazioni presenti in una rete possono essere firmate in forma digitale e
cifrate e, con la scelta dei parametri giusti (ad es. la lunghezza della chiave), si impedisce la loro violazione in
poco tempo.
Un sistema di crittografia asimmetrico è una modalità di cifratura nella quale ognuna delle parti in
comunicazione possiede una coppia di chiavi. Essa è costituita da una parte segreta (private key) e da una parte
non segreta (public key). La chiave pubblica consente a ognuno di cifrare i dati per il titolare della chiave privata,
di verificare le sue firme digitali e di autenticarlo. La chiave privata consente al suo titolare di decodificare i dati
cifrati con la chiave pubblica, di creare firme digitali o di autenticarsi.
Per ogni trasmissione cifrata, il mittente necessita tuttavia della chiave pubblica (public key) del destinatario.
Questa può essere, ad esempio, inviata per e-mail o scaricata da un sito web.
-
La PUBLIC Key deve essere consegnata alla Posta (come da istruzioni della lettera di conferma FDS) e
viene salvata sul server FDS della Posta
-
La Private Key deve rimanere sempre nel vostro PC e non va MAI trasmessa a terzi
-
La coppia di chiavi deve essere generata dal cliente FDS
-
FDS supporta sia il sistema di crittografia «RSA» (Rivest-Shamir-Adleman), sia «DSA» (Digital Signature
Algorithm)
-
Le chiavi generate devono avere una lunghezza di minimo 4096 bit.
NOTA: Affinché la Private Key sia protetta dall’uso non autorizzato, si consiglia di generarla con una passphrase.
Si deve però considerare che, a seconda del software utilizzato, in tal modo l’automazione del login può risultare
più difficile.
2.3.1 Creazione di una coppia di chiavi SSH con PuTTY
PuTTY è un software Open Source per Microsoft Windows. Può essere scaricato da http://www.putty.org.
Accanto a un SSH/SFTP-Client (putty.exe), con PUTTYGEN è possibile generare coppie di chiavi.
Avviare PUTTYGEN
6/30
Verificare se sono stati selezionati SSH2 e
almeno 4096 (bit), quindi fare clic su
«Generate»
4096
Muovere il cursore del mouse sulla
superficie sotto la barra blu
7/30
Al termine dell’operazione compare la
maschera con le chiavi
Selezionare «Save public key»
4096
Denominare la «public key»
in modo “adeguato” e
salvare
8/30
Selezionare «Save private key»
ATTENZIONE: la Private Key deve rimanere sempre
nel vostro PC e non va MAI trasmessa a terzi
Affinché la Private Key sia protetta dall’uso non
autorizzato, si consiglia di generarla con una
passphrase. Si deve però considerare che, a seconda
del software utilizzato, in tal modo l’automazione
del login può risultare più difficile. In questo
esempio si prosegue senza passphrase
4096
Denominare la «private
key» in modo “adeguato”
e salvare
2.3.2 Creazione di una coppia di chiavi SSH con OpenSSH
OpenSSH è disponibile come pacchetto di programma su tutte le piattaforme Unix.
Ulteriori informazioni su OpenSSH sono disponibili su http://www.openssh.com.
La coppia di chiavi può essere generata ad esempio con il seguente comando:
9/30
ssh-keygen -b 4096 -t rsa -f /tmp/demo_key -C "Commento per chiave demo"
Ecco un esempio di Private Key:
# cat /tmp/demo_key
-----BEGIN RSA PRIVATE KEY----MIIJKAIBAAKCAgEAybf8vCaIZc8pSTgpbVUD3aBVC1AnKfBHIqGZA9E7w/TMcs9p
meOU4Nfb9vHqbxPtWlg/qFTG6xRcXhLCjWfE3rV5EQ3sBj3tvLQIZ89Sh/GG21si
< --- SNIP --- >
ACdBLStDxIURm03gmMcBhKHDq4owQlDyESva0LWhIaxFwHpzamOAbPYVqBMbqT38
Bc1eGl0EE4d3yyWoMLOpwbsbhbmjSUjVV4JeDpNciqADBK5mQ3HNGNyKNqQ=
-----END RSA PRIVATE KEY----Ecco un esempio di Public Key (viene generata automaticamente con il suffisso .pub):
# cat /tmp/demo_key.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABA < --- SNIP --- > 6mEO5Gh28Vw== Commento per chiave
demo
10/30
3.
FTP
3.1
Breve panoramica
Il protocollo FTP è stato creato quando ancora internet non esisteva nella forma attuale. Allora si trattava di
trasmettere dati da un computer a un altro. All’epoca si poteva lavorare senza antivirus e firewall. Può quindi
accadere che il primo protocollo FTP abbia delle particolarità non riconoscibili da alcuni firewall. Per risolvere i
problemi tipici dell’FTP, è stato sviluppato un protocollo FTP diverso, l’«FTP passivo». I problemi si verificano
soprattutto in relazione ai firewall e all’accesso a internet. Il servizio FTP classico utilizza due porte invece di una:
la porta 21 per i comandi (control port) e la porta 20 per i dati (data port).
Il problema principale dell’FTP è la sicurezza, poiché tutti i dati (compreso nome utente e password) vengono
trasmessi in chiaro. Per questo, l'uso del protocollo FTP traverso l'Internet per nuovi utenti non è più consentito a
partire da giugno 2015. Gli utenti esistenti avranno tempo fino al primo ottobre 2016 per passare al
protocollo SFTP.
L’FDS FTP Server supporta:
 trasmissioni di file fino a un volume massimo di 15 GB
 30 collegamenti contemporanei dallo stesso account
 blocco dell’account per 30 minuti dopo 5 tentativi di login errati
 modifica di password tramite comando SITE
L’FDS FTP Server non supporta:
 ripresa di trasmissioni
 modifiche di attributi del file
 manipolazione della struttura della directory
3.2










3.3
La politica in materia di password
Le password hanno una validità massima di 90 giorni e devono essere modificate entro questo termine.
In caso di omissione il sistema FDS blocca l’accesso.
Non è ammesso riutilizzare le ultime 24 password.
La nuova password è attiva immediatamente.
Il limite minimo di lunghezza è di 8 caratteri e quello massimo di 28.
Le password che vengono ripristinate dall’FDS di IT Posta devono essere modificate dopo il primo
accesso.
Le password devono contenere almeno due dei seguenti caratteri: !, @, $, %, &, ^, *, numeri [0-9],
maiuscole [A-Z].
Si consiglia di non creare le password modificando semplicemente le cifre in ordine crescente (ad
esempio: MyPaWo-01, MyPaWo-02, MyPaWo-03, …).
Le password vanno scelte in modo tale che non siano facilmente intuibili.
Pertanto non devono essere costituite da lettere o numeri identici o consecutivi, da una sequenza
semplice di tasti sulla tastiera o da parole conosciute.
La password va cambiata immediatamente se sussiste il sospetto che una persona non autorizzata ne sia
a conoscenza.
Modifica della password
Il comando FTP per modificare la password necessita del seguente formato:
site cpwd <nuova password>
11/30
Di seguito tre esempi di client con Command Line e due client FTP grafici. Se un client FTP grafico non supporta
la funzione «Esegui comando FTP», la modifica della password può sempre essere eseguita tramite il client DOS
FTP di Windows.
3.3.1 Command-Line FTP Client
~> ftp –d fdsbc.post.ch
Connected
220 FDS FTP Server ready.
ftp_login: user `<null>' pass `<null>'
---> USER ftpuser1
331 Password required for ftpuser1.
---> PASS XXXX
230 User ftpuser1 logged in.
---> SYST
215 UNIX Type: A
Remote system type is UNIX.
---> site cpwd breve
550 Requested action not taken. password violates policy.
---> site cpwd va!bene!
200 command successful.
---> QUIT
221 Goodbye.
3.3.2 Client FTP grafico
3.3.2.1 WS_FTP
Per modificare la password con il client FTP grafico «WS_FTP» occorre procedere come segue:
Denominazione
Alla visualizzazione del server FDS, aprire il
menu contestuale con il pulsante destro del
mouse. Selezionare il menu «Operations».
Screen shot
Aprire il sottomenu «FTP Commands» e
successivamente il sottomenu «SITE».
12/30
Inserire nella finestra «Site command» il
comando
site cpwd <nuova password>
e confermare l’immissione facendo clic su
OK.
L’esecuzione dei comandi può essere
controllata dalla finestra di Log.
3.3.2.2
Filezilla
Per modificare la password con il client FTP grafico «FileZilla» occorre procedere come segue:
In FileZilla, nel menu
«Server» aprire il sottomenu
«Inserire comando definito
dall’utente».
Nella finestra che si apre
inserire il comando
site cpwd
seguito dalla nuova
password. Confermare
l’immissione con OK.
L’esecuzione dei comandi
può essere controllata dalla
finestra di Log.
3.4
Trasmissione dei dati in ASCII e/o in modalità BINARY
Per il trasferimento dei file, si distinguono due modalità: la modalità ASCII per i file di solo testo e la modalità
Binary per tutti gli altri file.

Nella modalità ASCII, la struttura delle righe del computer sorgente viene applicata alla
struttura delle righe del computer di destinazione, può avvenire una conversione di codifica (ad
es. EBCDIC --> ASCII).

Nella «modalità Binary», il file viene trasferito sotto forma di «byte», cosa assolutamente
necessaria per i file archivio. I file binari devono essere trasferiti con questa modalità affinché
combinazioni di byte casuali, che rappresentano i byte dell’accapo automatico da convertire
(come nella modalità ASCII), non vengano modificate per errore, rendendo nella peggiore delle
ipotesi il file binario non utilizzabile.
ASCII
BINARY
13/30
4.
Collegamento a FDS
4.1
Introduzione
Gli utenti FDS possono impiegare un client per il trasferimento file scelto a piacere.
In caso di problemi con versioni e software non trattati in questo documento, nonché per l’implementazione di
soluzioni di trasferimento file, Tecnologia dell’informazione può offrire solo un supporto limitato.
È possibile accedere al server FDS tramite gli indirizzi fdsbc.post.ch (internet, linee noleggiate/IPSS) o
fdsbc.pnet.ch (rete postale/DMZ della Posta).
I protocolli FDS utilizzano le porte standard (21 per FTP e 22 per SFTP).
Il nome utente e dettagli relativi a nomi delle directory e dei file, tempi di trasmissione ecc. vengono comunicati
nell’ambito dell’ordinazione del servizio.
Le finestre di manutenzione previste vengono pubblicate su https://www.posta.ch/fds.
4.2
Test del collegamento
Il collegamento a FDS può essere testato tramite telnet:
# telnet fdsbc.post.ch 22
Trying fdsbc.post.ch...
Connected to fdsbc.post.ch.
Escape character is '^]'.
SSH-2.0-SFTP Server
# telnet fdsbc.post.ch 21
Trying fdsbc.post.ch...
Connected to fdsbc.post.ch.
Escape character is '^]'.
220- Welcome to Swiss Post FDS FTP Server
220 Server ready for new user.
Attenzione: vengono utilizzati due indirizzi IP. I due indirizzi IP possono essere determinati per mezzo di
risoluzione DNS traverso diversi tentativi (nslookup fdsbc.post.ch).
Gli indirizzi IP possono essere utilizzati solo per la configurazione delle regole del firewall. Per stabilire la
connessione è bisogna assolutamente usare il nome DNS.
Se il server FDS non può essere raggiunto, deve essere controllato che la connessione non venga bloccata dal
vostro firewall.
Se non fosse possibile collegarsi al server FDS, è necessario controllare se il proprio firewall blocca il
collegamento.
Affinché Tecnologia dell’informazione della Posta possa fornire aiuto in modo efficace, è importante fornire le
necessarie informazioni (nome di utente, messaggio d’errore, ora esatta del tentativo, nome del file e della
directory)
14/30
5.
FileZilla
5.1
Importazione della chiave con FileZilla
È possibile importare in FileZilla chiavi sia in formato PUTTY, sia in formato OpenSSH.
Avviare FileZilla
1) Menu Modifica
2) Menu Impostazioni (si
apre una finestra)
=> SFTP
=> Aggiungi
file chiave
(quindi selezionare il file
della private key giusto)
Questa riga (gialla)
indica che la chiave è
stata importata
correttamente.
5.2
Importazione automatica con il Pageant di PuTTY
Il «Pageant» (PuTTY authentication agent) è un agent SSH con il quale è possibile trasmettere le autenticazioni
SSH. Il Pageant può caricare le chiavi e rendere disponibili, su richiesta, programmi locali. L’interfaccia è aperta,
cosicché altri programmi possono collegarsi a questo servizio di Pageant.
15/30
Avvertenza sul Pageant di PuTTY
in FileZilla
16/30
Avviare PAGEANT.EXE
Pageant si trova nella system tray a destra in basso, nella barra di avvio veloce e contiene tutte le sessioni salvate
in Pageant.
Quest’icona compare nella barra delle
applicazioni:
Doppio clic “sul cappello” nella system tray:
Dopo l’apertura compare la
finestra «Pageant Key List» (ancora) vuota:
17/30
Mediante «Add Key», selezionare
la private key e confermare con
«Apri». Qui viene accettato
solamente il formato PuTTY.
2048
Se la chiave viene visualizzata
come nell’esempio seguente, è
stata caricata correttamente e si
trova nella memoria del PC.
Diversi programmi SSH e
soprattutto FileZilla hanno accesso
diretto alla chiave dalla memoria.
18/30
5.3
Note su FileZilla
La Posta CH SA
utilizza, tra i suoi
meccanismi di
protezione, anche un
sistema IDS/IPS.
Per non essere
bloccati, consigliamo
di limitare a uno o tre
al massimo il numero
di trasferimenti
contemporanei
19/30
6.
CuteFTP
6.1
Importazione della chiave con CuteFTP
=> Tools
=> Global Options
20/30
In Security:
selezionare «SSH2
Security»!
Quindi: attivare il
campo «Use public
key authentication»
21/30
In «Public key
path», fare clic
sulla «cartella»:
… e selezionare
la chiave giusta
(.pub).
22/30
In «Private key
path», fare clic
sulla «cartella»:
… e selezionare la
chiave privata
giusta (.ppk).
Ecco le chiavi importate
correttamente:
… e per effettuare il login
automatico senza password:
disattivare il campo «Use password
authentication».
23/30
7.
WS_FTP Professional
7.1
Importazione della chiave con WS_FTP Professional
=> Options
=> SSH
e
=> selezionare Client Keys
24/30
=> Import
=> selezionare
Public Key …
25/30
=> qui:
ESEMPIO.pub:
selezionare e fare
clic su «Apri» …
=> continua …
26/30
=> selezionare
Private Key…
=> qui:
ESEMPIO.ppk:
selezionare e fare
clic su «Apri» …
27/30
=> continua …
…. e:
«Chiudi»
28/30
8.
WinSCP
8.1
Importazione della chiave con WinSCP
1) Avviare WinSCP
2) Fare clic su “Modifica”
3) Fare clic su“Avanziate …”
Fare clic sul campo «Apri» 
[…]
e selezionare la private key.
8.2
Nota sul WinSCP
Se si verificano problemi con le
autorizzazioni dopo la
trasmissione dei file…
29/30
… potete rimuoverli andando in
«Avanzate …»  “Regola
Impostazioni Trasferimento” …
=> disattivare l’opzione
«Imposta permessi» e attivare i
campi «Ignora errori sui
permessi».
30/30

Manuale d`esercizio «File Transfer Client» File Delivery Services

Transcript

Documenti analoghi

FTP - CREGED

il client ftp

Corso Base di CPANEL

Sostituire NewCS

Configurazione dominio tramite pannello ISP Config

01 Manuale FTP

course programme - Ordine Avvocati Milano

Istruzioni per installazione HOD

Nota incontro - filt-cgil

LTSP - RELug

Manuale FDS File Delivery Services