www.MegaLab.it

Se configurato con attenzione così come indicato fino ad ora, il server FTP è un applicativo che possiamo considerare "affidabile".

È però afflitto da un problema di sicurezza che potrebbe mettere in pericolo la riservatezza della comunicazione: tutti i dati viaggiano "in chiaro".

Un utente che riuscisse a sniffare ("intercettare") i pacchetti in transito, potrebbe facilmente leggere sia i documenti, sia le credenziali utilizzate per autenticarsi al server FTP stesso.

Questa possibilità può essere considerata alquanto remota fino a quando il client utilizza una rete cablata all'interno di una abitazione o un piccolo ufficio, ma costituisce un pericolo concreto in caso il computer fosse a contatto con calcolatori potenzialmente ostili o, peggio ancora, il client accedesse al server sfruttando una connessione wireless.

SSL/TLS

Per proteggere la comunicazione, è necessario abilitare una funzionalità in grado di crittografare in tempo reale i dati scambiati: in questo modo, anche in caso l'aggressore riuscisse ad intercettare i paccetti, si ritroverebbe con lunghe serie di byte privi di significato.

Per farlo, aprite nuovamente il pannello delle opzioni del server (Edit -> Settings), portatevi al ramo di opzioni SSL/TLS settings, ed abilitate la casella di controllo Enable SSL/TLS support

Cliccate quindi sul pulsante Generate new certificate.., compilate tutti i campi richiesti (anche informazioni di fantasia vanno benissimo), indicate il percorso in cui desiderate salvare la chiave in Save key and certificare to this file e quindi completate il processo con Generate certificate

Notate il valore Key size: più il numero di bit impiegato è elevato, maggiormente difficile è "craccare" a forza bruta la chiave di codifica. Poiché utilizzare chiavi crittografiche più lunghe ha però un impatto notevole sulla CPU, raccomando di utilizzare il valore di default 1024 bit, già di per sé impossibile da craccare in un tempo accettabile.

Una volta generata la chiave, i campi verranno automaticamente compilati con gli opportuni percorsi.

Compatibilità contro sicurezza

Per poter sfruttare le funzionalità crittografiche, sarà necessario collegarsi al server utilizzando un client FTP dedicato: questo significa che non potrete sfruttare questa interessante caratteristica utilizzando un browser web o l'utilità da linea di comando.

FileZilla Server consente di gestire questa situazione in due modi differenti: rifiutare le connessioni da client sprovvisti di tale caratteristica, oppure ripiegare sulla tradizionale connessione "in chiaro" in caso l'utente remoto impiegasse un programma senza supporto SSL/TLS.

Per esperienza, posso dire che la maggior parte di coloro i quali utilizzeranno il vostro FTP lo faranno via browser web. È quindi saggio, a meno che non si debbano scambiare informazioni veramente riservate, utilizzare la scelta più compatibile.

A tale scopo, sinceratevi che Allow explicit SSL/TLS on normal connections sia abilitata, di modo che qualsiasi client opportunamente configurato possa utilizzare la crittografia anche sulla porta standard, ma che Force explicit SSL/TLS sia disattivato: in caso contrario, i client meno sofisticati visualizzeranno un messaggio d'errore simile a questo

Fortemente consigliato abilitare Force PROT P...: come illustrato dallo sviluppatore in questa discussione, tale opzione costringe i client a stabilire connessioni sicure non solo per quanto riguarda la control connection, ma anche per quella che veicola i dati veri e propri.

Cancellate infine il numero di porta proposta in Listen for SSL/TLS-only...: poiché i client dotati delle opportune funzionalità potranno utilizzare la crittografia già sul canale standard, non v'è infatti bisogno di utilizzare, rilanciare ed aprire alcun ulteriore socket.

Potete ora confermare e tentare di collegarvi.

Testare il servizio

Come già notato in precedenza, sarà necessario utilizzare un client dedicato per avvalersi della connessione sicura.

Dopo averne scelto uno, procedete a configurarlo per collegarsi al vostro server utilizzando FTPES - FTP over explicit TLS/SSL (i passaggi sono differenti a seconda del software impiegato).

Con tutta probabilità, il client mostrerà un avviso simile a questo:

Confermate e non ve ne preoccupate: è tutto regolare, poiché stiamo utilizzando un certificato SSL "fatto in casa", e non rilasciato da una vera Certification Authority.

A questo punto, dovreste poter accedere al server: verificate solamente nell'interfaccia di FileZilla Server che sia presente un comando AUTH TLS

Avrete così la sicurezza che tutte le informazioni scambiate d'ora in avanti saranno al riparo da occhi indiscreti.

Forzare SSL/TLS per alcuni account

Se desiderate avere la certezza che taluni account possano essere utilizzati solamente in modo sicuro (quello di amministratore con accesso totale al sistema, ad esempio), potete abilitare l'opzione Force SSL for user login disponibile nel ramo General della videata di gestione degli utenti

Tutti i client che provassero ad usare tale utente su connessione "in chiaro", verranno immediatamente respinti.