FTP, SFTP, FTPS, HTTPS, AS2… la variedad de opciones que existen para transferir archivos puede hacer difícil encontrar una respuesta a la pregunta que realmente importa: ¿Cuál es la forma de proteger los datos de su compañía durante una transferencia? Este posteo es una introducción a las diferencias entre los protocolos más populares como FTP, SFTP y FTPS y cuál es la mejor elección para asegurar sus transferencias de archivos.
¿Puedo usar solo FTP?
FTP es un método popular de transferencias de archivos que está vigente desde hace mucho más tiempo que la www, y que no se modificado demasiado desde su creación. En ese entonces, se asumía que la actividad en internet no era maliciosa, de modo que el FTP no fue creado con las funcionalidad para lidiar con las amenazas de seguridad informática a las que nos enfrentamos actualmente.
Los intercambios de datos en FTP utilizan dos canales separados conocidos como el canal de comando y el canal de datos. Con FTP, ambos canales no están encriptados, lo que hace que cualquier dato enviado a través de estos canales sea vulnerable para ser interceptado y leído.
Incluso si usted está dispuesto a asumir el riesgo de un ataque, las regulaciones de la industria como PCI DSS, HIPAA, entre otras, requieren que las transferencias de datos estén encriptadas. Desafortunadamente, más allá de que escala los riesgos de seguridad y aumenta los altos costos dados por el incumplimiento normativo, FTP continúa aumentando su popularidad.
Le recomendamos que evite los protocolos básicos de FTP y elija una opción más segura.
¿Qué es FTPS?
En la década del '90 las preocupaciones sobre la seguridad en internet comenzaron a crecer. En respuesta, Netscape creó el protocolo Secure Sockets Layer (SSL, ahora conocido como TLS) para proteger las comunicaciones a través de la red. SSL fue aplicado a FTP para crear FTPS. Como FTP, FTPS usa dos conexiones, un canal de comando y un canal de datos. Usted puede elegir encriptar ambos, o solo el canal de datos.
FTPS autentica su conexión utilizando un ID de usuario o una contraseña, un certificado, o ambos. Al conectarse al servidor FTPS de un socio comercial, su cliente FTPS chequeará primero si el certificado del servidor es confiable. El certificado se considera confiable si tiene la firma de una autoridad reconocida de certificación (CA), o si el certificado fue firmado por su socio y usted tiene una copia de ese certificado público en su repositorio de claves de confianza. Su socio comercial también puede requerir que usted proporcione un certificado cuando se conecte a ellos. Si su certificado no esta firmado por un CA, su socio puede permitirle firmar su propio certificado, siempre y cuando le envíe de antemano la parte pública para cargarla en su repositorio de claves de confianza.
La autenticación de ID de usuarios puede ser usada con una combinación de certificados y/o contraseñas de autenticación.
¿Qué es SFTP?
Mientras FTPS suma una capa al protocolo FTP. SFTP es un protocolo completamente diferente basado en el protocolo de red SSH (Secure Shell), en lugar del de FTP. A diferencia de FTP y FTPS, SFTP utiliza solo una conexión y encripta tanto la información de autenticación como los datos de archivos que están siendo transferidos.
SFTP proporciona dos métodos para autenticar conexiones. Como en FTP, usted puede utilizar simplemente un ID de usuario o contraseña. Sin embargo, con SFTP estas credenciales están encriptadas, lo que otorga una ventaja de seguridad mayor que FTP. El otro método de autenticación que puede utilizar con SFTP son las claves SSH. Esto incluye, primero, generar una clave SSH privada y una pública. Luego, usted envía su clave SSH pública a su socio comercial y ellos la cargan en su servidor y la asocian a su cuenta. Cuando ellos se conectan a su servidor SFTP, su software cliente transmitirá su clave pública al servidor para su autenticación. Si la clave pública coincide con su clave privada, junto con cualquier usuario o contraseña proporcionada, entonces la autenticación será exitosa.
La autenticación de ID de usuario puede ser utilizada con cualquier combinación de clave y/o contraseña de autenticación.
¿Cuál es la diferencia entre FTPS y SFTP?
Ya hemos establecido que tanto FTPS como SFTP ofrecen una fuerte protección a través de opciones de autenticación que FTP no puede proporcionar. Entonces, ¿por qué elegir una sobre la otra?
Una de las principales diferencias entre FTPS y SFTP es que FTPS utiliza múltiples números de puerto. El primer puerto, para el canal de comando, se usa para la autenticación y comandos de paso. Sin embargo, cada vez que se realiza una solicitud de transferencia de archivo o de listado de directorio, se necesita abrir otro número de puerto para el canal de datos. Entonces, usted y sus socios comerciales deberán abrir un rango de puertos en sus firewalls para permitir sus conexiones FTPS, que pueden ser un riesgo para la seguridad de su red. SFTP necesita un único número de puerto para todas las comunicaciones SFTP, lo que facilita su protección.
Mientras que ambos protocolos tienen sus beneficios, nosotros recomendamos SFTP gracias a su mejor uso con firewalls. Para una empresa, es ideal tener una solución de Managed File Transfer (MFT) que pueda gestionar, monitorizar y automatizar las transferencias de archivos, utilizando una variedad de protocolos, incluyendo FTPS y SFTP. Una solución de MFT es extremadamente valiosa si tiene socios comerciales con distintos requerimientos y tiene funcionalidades adicionales como logs detallados de auditoría para ayudar a cumplir con las regulaciones de la industria.
GoAnywhere es una solución de Managed File Transfer que soporta protocolos SFTP y FTPS.