Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 4498 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FTP over SSL

michael1408
Hi all,

I have been looking into upgrading our current FTP setup to FTPS but I was wondering if anyone knew the settings that I would have to change on the Astaro firewall to allow access to the correct ports. [:S]

Any help would be much appreciated.

Thanks

Mike


This thread was automatically locked due to age.
Parents
  • 0
    Hi, IIRC, ftps uses the same ports as ftp, but won't work with the Astaro ftp proxy, so you'll need to use the PacketFilter and possibly DNAT.

    Barry
  • 0 in reply to BarryG
    Hi, IIRC, ftps uses the same ports as ftp, but won't work with the Astaro ftp proxy, so you'll need to use the PacketFilter and possibly DNAT.

    Barry


    Hi Barry


    It would be nice if the ftp proxy can handle ftps as well.Maybe a feature request would be nice
  • 0 in reply to wingman
    Sorry for the long reply...

    Two separate methods were developed to invoke client security for use with FTP clients: Explicit or Implicit. The former method is a legacy compatible implementation where FTPS aware clients can invoke security with an FTPS aware server without breaking overall FTP functionality with non-FTPS aware clients. The latter method requires clients to be FTPS aware, and thus is incompatible with non-FTPS-aware clients.
     
    Explicit
    In explicit mode (also known as FTPES), an FTPS client must "explicitly request" security from an FTPS server and then step-up to a mutually agreed encryption method. If a client does not request security, the FTPS server can either allow the client to continue insecure or refuse/limit the connection.
     The mechanism for negotiating authentication and security with FTP was added under RFC-2228, which included the new FTP command AUTH.  While this RFC does not explicitly define any required security mechanisms (ie, SSL or TLS), it does require that the FTPS client will challenge the FTPS server with a mutually known mechanism. If the FTPS client challenges the FTPS server with an unknown security mechanism, the FTPS server will respond to the AUTH command with error code 504 (not supported). Clients could determine which mechanisms were supported by querying the FTPS server with the FEAT command, although it should be noted that servers are not necessarily required to be honest in disclosing what levels of security they support. Common methods of invoking FTPS security included: AUTH TLS and AUTH SSL.
     In the later RFC-4217, FTPS compliance required that clients always negotiate using the AUTH TLS method. The RFC also requires compatibility with the draft mechanisms AUTH TLS-C and AUTH TLS-P.
     
    Implicit
    Negotiation is not allowed with implicit FTPS configurations. A client is immediately expected to challenge the FTPS server with a TLS/SSL ClientHello message. If such a message is not received by the FTPS server, the server should drop the connection.
     In order to maintain compatibility with existing non-TLS/SSL aware FTP clients, implicit FTPS was expected to listen on the IANA Well Known Port 990/TCP for the FTPS control channel and 989/TCP for the FTPS data channel. This allowed administrators to retain legacy compatible services on the original 21/TCP FTP control channel.
     Note that implicit negotiation was not defined in RFC-4217. As such, it is considered an earlier, deprecated method of negotiating TLS/SSL for FTP.


    FTPS - Wikipedia, the free encyclopedia
  • 0 in reply to wingman
    It would be nice if the ftp proxy can handle ftps as well.Maybe a feature request would be nice


    Feel free to create one at feature.astaro.org.
    (I'm out of votes anyways)
     [:)]

    Barry
Reply Children
No Data