Почему FTP нельзя считать безопасным | robot_dreams
Для отслеживания статуса заказа — авторизируйтесь
Введите код, который был выслан на почту Введите код с SMS, который был выслан на номер
 
Код действителен в течение 5 минут Код с sms действителен в течение 5 минут
Вы уверены, что хотите выйти?
Сеанс завершен
На главную
Почему FTP нельзя считать безопасным

Почему FTP нельзя считать безопасным

Как передавать файлы по сети.

FTP (File Transfer Protocol) — прикладной протокол для передачи файлов по сети, с помощью которого можно загружать данные с удаленного сервера и на него. FTP появился в 1971 году, а спецификация, которой мы пользуемся сейчас, — только в 1985. Этот протокол позволяет быстро пересылать файлы. Он был востребованным, когда передача данных была дорогой и лимитированной.

Как устроен FTP

FTP очень прост в настройке и выдаче доступа на скачивание. Вашему браузеру (если он поддерживает FTP) не нужен дополнительный файловый менеджер, чтобы скачать файл. Для обмена информацией по сети достаточно установить FTP-клиент — например, FileZilla.

В отличие от HTTP, FTP может передавать только файлы. Они передаются по клиент-серверному принципу и не содержат дополнительной (служебной) информации. Клиент может подключаться к удаленному серверу, работать с его файловой системой — просматривать, загружать, записывать и перемещать файлы на сервере. Для их адресации используется URL: идентификатор протокола + имя сервера + путь к файлу. Управление протоколом происходит через текстовые команды. Соединение клиента с сервером может проходить в двух режимах: 

  • активный (по умолчанию) — сервер сам может установить соединение с клиентом;
    пассивный — соединение может установить только клиент.

Ранее существовало несколько способов передачи данных по этому протоколу, но сейчас остался только бинарный (файлы передаются побайтово, без использования дополнительной кодировки и обработки).

Для аутентификации соединения применяется имя пользователя и пароль. Проблема в том, что все данные и пароль передаются в незашифрованном виде. При этом пароль теоретически можно забрутфорсить, а данные — перехватить.

Для подключения новых клиентов к одному серверу необходимо новое TCP-соединение через отдельный порт — чем больше клиентов, тем больше портов. То, что разным пользователям можно выставить разные права для доступа и редактирования файлов, не спасает от проблем с безопасностью.

статьи по теме:
Post cover Как устроен протокол HTTP и почему это важно

Что нужно знать о соглашении, которое помогает нам посещать сайты.

Post cover Что такое API

Как интерфейсы упрощают обмен данными.

FTPS и SFTP

«Классический» FTP имеет несколько более безопасных реализаций. Основные из них — FTPS (FTP+SSL) и SFTP (SSH File Transfer Protocol). При этом реализациями они могут считаться достаточно условно, так как используют совершенно другие технологические решения.

В FTPS подключение защищено с помощью криптографического протокола SSL (или основанного на нем TLS). SSL работает по принципу выдачи сертификата, который помогает идентифицировать источник и клиент для получения данных. С SSL мы сталкиваемся каждый день — сайты, защищенные этим протоколом, обозначаются замком в строке URL. FTPS использует те же команды, что и FTP, но c шифрованием. Третья сторона не может перехватить или подменить трафик — только отследить параметры соединения и примерный объем трафика. Несмотря на свои плюсы, не все FTP-серверы способны поддерживать SSL.

SFTP построен на SSH (Secure Shell). Такая реализация может шифровать и команды, и данные. SFTP задействует по умолчанию только один порт — 22. Соединение через один порт защитить проще, чем через несколько, как в классической реализации.

В сравнении с FTPS, SFTP более гибок с точки зрения безопасности, так как поддерживает больше шифров. Еще одно отличие в том, что SFTP использует только один поток, а FTPS — минимум два (управляющий и поток для передачи данных). Поэтому FTPS может быть быстрее SFTP. FTPS сейчас используется только там, где нет поддержки SSH (а значит, и SFTP). Для удобной работы с этими протоколами созданы файловые клиенты, например, SSHFS — приложение для подключения сетевых дисков по SFTP.

Почему протокол передачи файлов до сих пор используется, несмотря на проблемы с безопасностью?

Несмотря на известные риски безопасности, традиционный протокол FTP до сих пор можно встретить:

1. Для некоторых контролируемых сред, таких как закрытые сети или передачи нечувствительных данных, базовый протокол FTP может быть достаточным.

2. Многие старые системы и приложения были разработаны с применением этого протокола. Обновление таких систем может быть дорогостоящим и сложным, поэтому организации часто выбирают оставить существующие решения.

3. Простота настройки и использования FTP делает его удобным, особенно для тех, кто уже работает с ним много лет.

4. Протокол широко поддерживается различными платформами и операционными системами, что обеспечивает его высокую совместимость.

5. Для передачи больших файлов в пределах безопасных внутренних сетей FTP может предложить лучшую производительность благодаря меньшей накладной по сравнению с зашифрованными альтернативами.

Риски безопасности при использовании протокола передачи файлов

Итак, сейчас 2025 год, а FTP до сих пор применяется. О чем нужно помнить тем, кто не может отказаться от FTP server:

  • Отсутствие шифрования передаваемых данных

    Главная проблема FTP — это отсутствие шифрования. Когда вы передаете файлы или учетные данные через FTP, они путешествуют по сети в виде открытого текста. Это означает, что любой, кто сможет перехватить трафик, без труда прочитает ваши данные, что может привести к утечке чувствительной информации или паролей. И хотя FTPS и SFTP решают эту проблему, однако только частично и уже не оправдывают требований к кибербезопасности.
  • Уязвимость к атакам типа «посредник»

    Без шифрования протокол FTP становится легкой мишенью для атак типа «посредник» (Man-in-the-Middle). Злоумышленник может перехватить связь между клиентом и сервером, изменить данные во время передачи или вставить вредоносное содержимое в файлы.
  • Риск кражи паролей и компрометации учетных записей

    Поскольку данные для входа передаются без шифрования, они могут быть перехвачены. Это создает реальный риск несанкционированного доступа к вашему серверу, что может привести к серьезным последствиям — потере данных и доступа к системам.

Как минимизировать риски, если без FTP не обойтись:

▪ Используйте только надежные FTP-клиенты с поддержкой FTPS или SFTP.

▪ Не оставляйте FTP port открытым публично — ограничивайте доступ через брандмауэр.

▪ Регулярно обновляйте ПО FTP-сервера и следите за уязвимостями.

▪ Внедрите двухфакторную аутентификацию, если платформа это позволяет.

▪ Проверяйте журналы соединений и настройте автоматические оповещения о подозрительной активности.

Современные альтернативы FTP-протоколу

К счастью, растут не только требования к передаче и хранению чувствительных данных, но и способы это обеспечить. Вот несколько новых альтернатив, которые пригодятся.

  • Безопасное копирование (SCP)

    Подобно SFTP, Secure Copy (SCP) применяет SSH для гарантирования безопасности. Команда SCP в SSH использует такое же надежное шифрование, как и SFTP. Но SCP идет еще дальше, предоставляя простой интерфейс командной строки, подходящий для сценариев и автоматизации. Это означает, что вы можете легко интегрировать безопасные передачи файлов в ваши текущие рабочие процессы и сценарии развертывания.
scp /local/path/file.txt user@example.com:/remote/path/file.txt
  • Файловые передачи на основе HTTPS

    HTTPS теперь не только для просмотра веб-страниц. Используя те же протоколы, что и для гарантирования безопасности онлайн-банкинга, HTTPS-файловые передачи предлагают шифрование и широкую совместимость. Кроме того, часто они имеют удобные интерфейсы, что делает безопасные передачи файлов доступными для пользователей без технических знаний.
  • WebDAV (Web Distributed Authoring and Versioning)

    WebDAV расширяет протокол HTTP, позволяя осуществлять совместное редактирование и управление файлами.

    Используя HTTPS, WebDAV предлагает безопасные передачи файлов с дополнительной функцией версионности. Это означает, что вы можете отслеживать изменения, эффективно сотрудничать и сохранять четкую историю своих файлов — все это в безопасной среде.
     
  • Решение для управляемой передачи файлов (MFT)

    Для организаций, работающих с чувствительными данными или имеющих сложные требования к соответствию, решения для управляемой передачи файлов, такие как Progress MOVEit, предлагают надежный подход к гарантированию безопасности и управлению передачей файлов.

    MFT не только передают файлы — они предоставляют экосистему для управления, мониторинга и защиты ваших передач файлов. Благодаря таким функциям, как передовое шифрование, подробные журналы аудита и возможности автоматизации, решения MFT могут превратить передачи файлов из угрозы безопасности в стратегический актив.

В завершение

Цифровой мир значительно изменился с момента создания FTP-протокола. Сегодня пользователи интернета ожидают и заслуживают безопасные соединения для всех своих онлайн-активностей, включая передачу файлов. Если вы все еще используете базовый протокол, сейчас самое время подумать о переходе к более безопасной альтернативе.

Помните: безопасность ваших данных — это не только защита информации, но и поддержание доверия со стороны ваших пользователей, партнеров и клиентов. Приоритет на безопасных методах передачи файлов —- это не только следование лучшим практикам, но и инвестиция в долгосрочный успех и надежность ваших цифровых операций.

Автор: Биденко Дмитрий
Ещё статьи
Vibecoding: Чи дійсно AI вміє кодити краще за вас?
Порівнюємо швидкість, якість і відповідальність за результат
8 SQL-запитів, які розв’язують 80% робочих завдань
З прикладами коду
Все материалы