HelpSystems Blog

SFTP vs. FTPS: ¿Cuál es el mejor protocolo para asegurar FTP?

Cada vez más clientes están buscando alejarse del protocolo estándar de transferencia de archivos (FTP) para intercambiar sus datos, por lo que suelen preguntarse qué protocolo FTP es recomendable, cuáles son las opciones disponibles y sus principales diferencias.

Descripción general

Los dos protocolos más populares para transferencias seguras en FTP se llaman SFTP (FTP sobre SSH) y FTPS (FTP sobre SSL). Ambas ofrecen un alto nivel de protección ya que implementan potentes algoritmos como AES y Triple DES para encriptar cualquier transferencia de datos. Las dos opciones también soportan una amplia variedad de funcionalidades con un extenso conjunto de comandos para transferencias y trabajar con archivos. Entonces, la diferencia más notable entre SFTP y FTPS es cómo las conexiones son autenticadas y gestionadas.

Autenticación: SFTP vs. FTPS

Con SFTP (FTP sobre SSH), una conexión puede ser autenticada utilizando diferentes técnicas. Para una autenticación básica, usted (o su socio comercial) debe requerir el ID de usuario y contraseña para conectar con el servidor SFTP. Es importante saber que cualquier ID de usuario o contraseña proporcionada a través de la conexión SFTP será encriptada, lo que es una gran ventaja por sobre el estándar FTP.

Las claves SSH también pueden ser utilizadas para autenticar las conexiones SFTP además de, o en reemplazo de, las contraseñas. Con una autenticación basada en claves, primero necesitará generar una clave privada SSH y una clave pública. Si se necesita conectar al servidor SFTP de un socio comercial, usted le enviará su clave pública SSH, que ellos cargaran en su servidor y asociar a su cuenta. Cuando usted se conecte con su servidor SFTP, el software de su cliente transmitirá su clave pública al servidor para su autenticación. Si las claves coinciden, junto con cualquier otro usuario/contraseña proporcionado, entonces la autenticación será exitosa.

Con FTPS (FTP sobre SSL), una conexión es autenticada utilizando el ID de usuario, la contraseña y el/los certificado/s. Como en SFTP, los usuarios y las contraseñas para las conexiones FTPS también serán encriptadas. Cuando se conecte al servidor FTPS de un socio comercial, su cliente FTPS primero chequeará que el certificado del servidor sea confiable. El certificado se considera de confianza cuando el certificado fue firmado por una autoridad certificada (CA), como Verisign, o si el certificado fue auto-firmado (por su socio comercial) y usted tiene una copia de su certificado público en su almacén de claves de confianza.

Su socio comercial también puede requerir que usted proporcione un certificado cuando se conecte a ellos. Su certificado puede ser firmado por una CA o su socio comercial puede permitirle auto-firmar su certificado, siempre y cuando le envíe con antelación la parte pública se su certificado (la que cargarán en su almacén de claves de confianza).

Implementación: SFTP vs. FTPS

Si tenemos en cuenta la facilidad para implementar los protocolos seguros de FTP, SFTP es claramente el ganador ya que posee un firewall extremadamente amigable. SFTP solo necesita un número de puerto (predeterminado en 22) para ser abierto a través del firewall. Este puerto será utilizado por todas las comunicaciones SFTP, incluyendo la autenticación inicial, cualquier comando emitido, así como todos los datos transferidos.

Por otro lado, FTPS puede ser muy difícil de emparchar a través de un firewall altamente seguro, ya que FTPS utiliza múltiples números de puerto. El número de puerto inicial (predeterminado en 21) es utilizado para la autenticación o pase de cualquier comando. Sin embargo, cada vez que se realiza una solicitud de transferencia de archive (get, put) o una solicitud de listado de directorio, se necesita abrir otro número de puerto. Por lo tanto, usted y sus socios comerciales tendrán que abrir un rango de puertos en sus firewalls para permitir las conexiones de su FTPS, algo que puede ser un riesgo de seguridad para su red.

En resumen, FTP y FTPS son seguros en términos de autenticación. Sin embargo, como es más fácil establecer puertos a través de firewalls en SFTP, y estamos viendo un incremento en la cantidad de socios comerciales que adoptan SFTP, creemos que SFTP es el indicado para asegurar sus necesidades de FTP.