Manuel des logiciels de transferts de fichiers File Delivery Services
Editeur La Poste CH SA Technologies de l information Webergutstrasse 12 CH-3030 Berne (Zollikofen) Contact La Poste CH SA Technologies de l information Webergutstrasse 12 CH-3030 Berne (Zollikofen) IT261 FDS Betrieb E-mail: fds@post.ch Version 3.0 / mai 2014 Télécharger la version actuelle: https://www.post.ch/fds Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 2/30
Table des matières 1. Généralités... 4 1.1 But... 4 1.2 Définitions, acronymes et abréviations... 4 1.3 Noms, prix, versions, etc.... 4 2. FTP... 5 2.1 Bref aperçu... 5 2.1.1 FTP actif... 5 2.1.2 FTP passif (recommandé!)... 6 2.2 La «commande FTP»: SITE... 7 2.3 Transferts de données en mode ASCII et/ou BINAIRE... 7 3. SFTP... 8 3.1 Introduction... 8 3.2 Clé publique et clé privée... 8 3.2.1 Générer une paire de clés SSH avec PuTTY... 9 3.2.2 Générer une paire de clés SSH avec OpenSSH... 12 4. Connexion à FDS... 13 4.1 Introduction... 13 4.2 Test de la connexion... 13 5. FileZilla... 14 5.1 Importer une clé avec FileZilla... 14 5.2 Importation automatique avec PuTTY s Pageant... 14 5.3 Remarques sur FileZilla... 17 6. CuteFTP... 18 6.1 Importer une clé avec CuteFTP... 18 7. WS_FTP Professional... 22 7.1 Importer une clé avec WS_FTP Professional... 22 8. WinSCP... 27 8.1 Importer une clé avec WinSCP:... 27 8.2 Remarques sur WinSCP... 28 9. Total Commander... 29 10. Microsoft Dos... 30 Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 3/30
1. Généralités 1.1 But Les utilisateurs FDS utilisent des logiciels clients et des scripts très différents pour le transfert de données. Afin de réduire cette diversité de logiciels, nous avons décidé de tester ceux qui sont les plus utilisés, d'en décrire les principales (!) fonctions et de limiter l'utilisation et le support à ces dernières. 1.2 Définitions, acronymes et abréviations Mot ftp Définition File Transfer Protocol (anglais pour «protocole de transfert de fichiers») Actif: le client FTP établit une connexion entre un highport (1024-65535) et le port 21 du serveur FTP. Ce dernier établit alors, avec le port 20, une connexion avec un highport du client. ssh scp sftp PuTTY Passif: le client FTP se connecte au serveur FTP (port 21) avec un highport (1024-65535). Le canal de données est ensuite établi entre un highport et le serveur FTP; celui-ci n établit donc aucune connexion avec le client. SSH (Secure Shell) désigne aussi bien un protocole réseau que les programmes correspondants qui permettent d établir en toute sécurité une connexion réseau cryptée avec un ordinateur distant. Secure CoPy ou SCP est un protocole de transfert crypté de données entre deux ordinateurs sur un réseau d ordinateurs. SFTP ou SSH File Transfer Protocol est un perfectionnement du protocole SCP; il permet de transférer des données de manière sûre vers des systèmes distants. PuTTY est un Client SSH libre, développé par Simon Tatham, pour Microsoft Windows, Mac OS et Unix. 1.3 Noms, prix, versions, etc. Logiciels Prix Version (05 2014) ftp sftp (ssh) url FileZilla (filezilla-project) gratuit 3.8.0 oui oui https://filezilla-project.org/ («recommandé») CuteFTP Professional payant 9.0 oui oui http://www.cuteftp.com/ (globalscape) WS_FTP Professional (Ipswitch) payant 12.4 oui oui http://www.ipswitchft.com/ WinSCP gratuit 5.5.2 oui oui http://winscp.net Total Commander gratuit 8.50 oui seulement avec plugin http://www.ghisler.com/ *Bien que les versions précédentes et ultérieures de ces logiciels ainsi que d autres clients sftp et ftp doivent en principe fonctionner sans problème avec FDS, Technologies de l Information Poste ne peut offrir qu une assistance limitée en cas de problèmes. Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 4/30
2. FTP 2.1 Bref aperçu Le protocole FTP provient de l époque où Internet n existait pas encore sous sa forme actuelle. Il s agissait alors de transférer des données d un ordinateur à un autre. On pouvait encore s en sortir sans antivirus ni pare-feu. De là provient probablement aussi une certaine particularité du protocole FTP originel qui n'est pas maîtrisée par certains pare-feu. Afin de résoudre les problèmes spécifiques au FTP, on a développé un protocole FTP modifié: le «FTP passif». Cette thématique concerne surtout les pare-feu et l accès Internet. Le service FTP utilise classiquement deux ports au lieu d un: le port 21 pour la commande (control port) et le port 20 pour les données (data port). Mais le problème principal de FTP réside dans son manque de sécurité : tout est transmis en clair, y compris le nom d utilisateur et le mot de passe. Pour cette raison, FTP ne doit pas être utilisé pour la transmission de données sensibles. Le serveur FTP de FDS supporte : le transfert de fichiers d une grandeur allant jusqu à 10 Giga-octets, 30 connexions simultanées du même utilisateur, blocage automatique de l utilisateur pendant 30 minutes après 3 connexions erronées successives, changement du mot de passe au moyen de la commande SITE. Le serveur FTP de FDS ne supporte pas : la reprise de transferts interrompus, le changement des attributs de fichiers, la manipulation de la structure des répertoires. 2.1.1 FTP actif Le FTP actif est le «protocole FTP originel». Il n'a reçu le nom d «actif» qu'après le développement du «FTP passif». FTP est un service basé sur TCP et se distingue par l'utilisation de deux ports! Le premier port est le port «de commande» et le second le port «de données». Le port 21 est utilisé pour la commande et le port 20 pour les données. Si un logiciel client souhaite se connecter à un serveur FTP, il ouvre n importe quel port non privilégié (= tous les ports >1024) vers le port 21 «de commande» du serveur et lui envoie le numéro de port sur lequel il souhaite recevoir les données. Il s agit en général du numéro de port N+1. Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 5/30
Exemple: le client ouvre le port 1226 et envoie au serveur, sur le port 21 de celui-ci, l information «j attends des données sur le port 1227». Le serveur confirme la réception (acknowledge) et le client ouvre le port 1227 et écoute (listening). Le serveur ouvre alors son port de données 20 et envoie les données au port 1227 du client. Comme il se doit, le client confirme la réception de chaque paquet TCP. Mais pour un pare-feu, la chose semble très suspecte. Les pare-feu bloquent chaque demande provenant de l extérieur. Ils acceptent uniquement des paquets TCP de l extérieur si ces derniers ont été demandés par le port receveur. Mais la situation est différente avec le protocole FTP. Tout d abord, un port s est ouvert (1227) qui n a effectué aucune demande et, qui plus est, se trouve en «listening mode», puis un port 20 envoie des données qui n ont pas été demandées par ce premier port (en effet, la demande provenait du port 1226). Dès lors, le pare-feu ferme la porte. C est le problème si vous vous trouvez derrière un proxy ou un pare-feu. Les bons pare-feu reconnaissent un transfert FTP et ne l empêchent pas. Pour les proxys, les problèmes sont encore plus fréquents. Afin de les contourner, une forme alternative du transfert FTP a été développée: le «FTP passif». 2.1.2 FTP passif (recommandé!) Ce mode est aussi appelé «mode PASV», car la commande FTP PASV indique au serveur que le mode passif est souhaité. A la différence du mode actif, le client ouvre les deux connexions avec le serveur. Ainsi, on résout le problème du pare-feu, car celui-ci a connaissance des deux connexions côté client. Le déroulement d une telle connexion passive est décrit ci-après. Si le client souhaite une connexion à un serveur FTP, il ouvre deux ports non privilégiés > 1024, p.ex. les ports 1026 et 1027. Puis le premier port contacte le serveur sur son port 21 «de commande». Mais au lieu d indiquer au serveur avec la commande «Port» sur quel port les données du port 20 sont attendues, le client envoie la commande PASV. Le serveur ne sait pas sur quel port le client souhaite recevoir les données, mais il sait que le client souhaite une connexion passive. C'est maintenant que l'on peut expliquer le sens du terme «passif»: «passif» signifie du point de vue du serveur qu il ne peut pas commencer activement à envoyer les données sur le port ouvert par le client. Le serveur n envoie aucune donnée à partir de son port 20, mais ouvre de son côté un port > 1024 et envoie au client le numéro de port au moyen de la commande FTP PORT. Le client peut maintenant prendre activement les commandes. Il connaît le port non privilégié que le serveur a ouvert à la place du port 20 pour le transfert de données et demande les données depuis son port 1027 (dans notre exemple). Cela ne peut pas dérouter le parefeu, puisqu il constate un transfert de données qui est commandé par le client lui-même sur le port 1027. Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 6/30
2.2 La «commande FTP»: SITE Avec la commande SITE (site parameters), le serveur peut proposer des services spéciaux non intégrés dans le protocole FTP, ce qui est p. ex. nécessaire pour les modifications de mot de passe (cpwd): Exemple: site cpwd <nouveau mot de passe> Avec certains clients, vous devez taper la commande comme suit: quote site cpwd <nouveau mot de passe> ATTENTION: ne fonctionne qu avec ftp, pas avec sftp! 2.3 Transferts de données en mode ASCII et/ou BINAIRE On distingue deux modes pour le transfert de fichiers: le mode ASCII pour les fichiers de texte pur et le mode binaire pour tous les autres fichiers. ASCII BINAIRE En mode ASCII, la structure de lignes de l ordinateur source est adaptée à celle de l ordinateur cible, un transcodage peut avoir lieu (p.ex. EBCDIC --> ASCII). En mode binaire, le fichier est transféré octet par octet, ce qui absolument obligatoire pour les fichiers d archives. Les fichiers binaires doivent être transférés dans ce mode, afin d éviter que des combinaisons d'octets représentant par hasard un retour à la ligne soient convertis comme dans le mode ASCII et que le fichier binaire concerné devienne ainsi inutilisable. Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 7/30
3. SFTP 3.1 Introduction SFTP (Secure File Transfer Protocol) est un protocole de transfert de fichiers et une alternative sécurisée à FTP. Une connexion cryptée est établie entre le logiciel client et le logiciel serveur, rendant ainsi illisibles les données y transitant. L utilisation d une authentification par clé SSH garantit l intégrité et la confidentialité des données échangées. Attention : SFTP ne doit pas être confondu avec FTPS (FTP via SSL) ou avec FTP via SSH (appelé parfois Secure FTP). Le serveur SFTP de FDS supporte : la version 2 de SSH, la version 3 du protocole SFTP, les transmissions au moyen du protocole SSH/SCP. A noter que les commandes list, rename et delete ne sont pas supportés par SCP, le transfert de fichiers d une grandeur allant jusqu à 10 Giga-octets, 30 connexions simultanées du même utilisateur, blocage automatique de l utilisateur pendant 30 minutes après 3 connexions erronées successives, les formats de clés openssh, ssh.com et PuTTY, la configuration de plusieurs clés SSH par utilisateur. Le serveur SFTP de FDS ne supporte pas : la version 1 de SSH, les sessions shell interactives, la reprise de transferts interrompus, le changement de mots de passe, le changement des attributs de fichiers, la manipulation de la structure des répertoires. 3.2 Clé publique et clé privée Un système de cryptage permet de signer numériquement et de crypter les informations dans un réseau; en choisissant judicieusement les paramètres (p.ex. la longueur de la clé), on empêche qu'elles puissent être déchiffrées en peu de temps. Un système de cryptographie asymétrique constitue une variante de cryptage dans lequel chaque partie qui communique possède une paire de clés. Cette paire se compose d une partie secrète (clé privée) et d une partie non secrète (clé publique). La clé publique permet à chacun de crypter des données pour le propriétaire de la clé privée, de vérifier sa signature numérique ou de l authentifier. La clé privée permet à son propriétaire de déchiffrer à l aide de la clé publique des données cryptées, de générer des signatures numériques ou de s authentifier. Pour chaque transmission cryptée, l expéditeur a toutefois besoin de la clé publique du destinataire. Celle-ci pourrait p. ex. être envoyée par e-mail ou téléchargée sur une page web. - La clé publique doit nous être communiquée selon les instructions se trouvant dans le «Manuel FDS» et est ensuite enregistrée sur le serveur FDS. - La clé privée doit toujours rester sur votre ordinateur et ne doit JAMAIS être communiquée! - La paire de clés doit être générée par l utilisateur FDS. Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 8/30
- FDS supporte les systèmes de cryptage «RSA» (Rivest-Shamir-Adleman) et «DSA» (Digital Signature Algorithm). - La longueur de la clé doit être d au moins 2048 bits. REMARQUE: Afin de protéger la clé privée d une utilisation non autorisée, il est conseillé de la créer avec un mot de passe (Passphrase). Il faut toutefois observer qu un mot de passe peut rendre suivant le logiciel utilisé une automatisation de la connexion plus difficile à réaliser. 3.2.1 Générer une paire de clés SSH avec PuTTY PuTTY est un logiciel open source pour Microsoft Windows. Il peut être téléchargé à l adresse http://www.putty.org En plus d un logiciel client SSH/SFTP (putty.exe) il existe la possibilité de générer des paires de clés avec PUTTYGEN Lancer PUTTYGEN Vérifier que SSH2 (RSA ou DSA) et au moins 2048 (bits) soient sélectionnés, ensuite: cliquer sur «Generate» 2048 Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 9/30
Déplacer le pointeur de la souris sur la surface vide située sous la barre Lorsque cela est fait, le masque apparaît avec les clés. Sélectionner «Save public key» 2048 Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 10/30
Indiquer et enregistrer un nom approprié pour la «Public Key» Sélectionner «Save private key» ATTENTION: La clé privée doit toujours rester sur votre ordinateur et ne doit JAMAIS être communiquée! Afin de protéger la clé privée d une utilisation non autorisée, il est conseillé de la créer avec un mot de passe (passphrase). Il faut toutefois observer qu un mot de passe peut rendre suivant le logiciel utilisé une automatisation de la connexion plus difficile à réaliser. Pour cet exemple, nous continuons sans passphrase. 2048 Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 11/30
Indiquer et enregistrer un nom «approprié» pour la «Private Key» 3.2.2 Générer une paire de clés SSH avec OpenSSH OpenSSH est à disposition sur toutes les plateformes Unix. De plus amples informations se trouvent à l adresse http://www.openssh.com. La paire de clé peut être générée, par exemple, de la manière suivante : ssh-keygen -b 4096 -t rsa -f /tmp/demo_key -C "commentaire pour la clef demo" Voici un exemple de clé privée: # cat /tmp/demo_key -----BEGIN RSA PRIVATE KEY----- MIIJKAIBAAKCAgEAybf8vCaIZc8pSTgpbVUD3aBVC1AnKfBHIqGZA9E7w/TMcs9p meou4nfb9vhqbxptwlg/qftg6xrcxhlcjwfe3rv5eq3sbj3tvlqiz89sh/gg21si < --- SNIP --- > ACdBLStDxIURm03gmMcBhKHDq4owQlDyESva0LWhIaxFwHpzamOAbPYVqBMbqT38 Bc1eGl0EE4d3yyWoMLOpwbsbhbmjSUjVV4JeDpNciqADBK5mQ3HNGNyKNqQ= -----END RSA PRIVATE KEY----- Et voici un exemple de clé publique (cette dernière est générée automatiquement avec le suffixe.pub): # cat /tmp/demo_key.pub ssh-rsa AAAAB3NzaC1yc2EAAAADAQABA < --- SNIP --- > 6mEO5Gh28Vw== commentaire pour la clef demo Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 12/30
4. Connexion à FDS 4.1 Introduction Les utilisateurs FDS peuvent employer le logiciel de transfert de leur choix. Technologies de l Information Poste ne peut offrir qu une assistance limitée en cas de problèmes avec des logiciels/versions ne figurant pas dans ce document, ainsi que lors de la mise en service de solutions de transferts. FDS est atteignable à l adresse fds.post.ch (Internet), fdsp.post.ch (lignes louées) ou fds.pnet.ch (réseau postal / DMZ de la Poste). Les protocoles FTP et SFTP sont configurés sur leur ports standards (21 respectivement 22). Le nom d utilisateur ainsi que les détails concernant les noms de répertoires, noms de fichiers, délai de transmission, etc. sont communiqués dans le cadre de la mise en service. Les fenêtres de maintenance prévues sont publiées à l adresse https://www.post.ch/fds. 4.2 Test de la connexion La connexion à FDS peut être testée au moyen de telnet : # telnet fds.post.ch 22 Trying fds.post.ch... Connected to fds.post.ch. Escape character is '^]'. SSH-2.0-SFTP Server # telnet fds.post.ch 21 Trying fds.post.ch... Connected to fds.post.ch. Escape character is '^]'. 220- Welcome to Swiss Post FDS FTP Server 220 Server ready for new user. Si vous ne parvenez pas à atteindre le serveur FDS, assurez-vous que votre firewall ne bloque pas la connexion. Afin que Technologies de l Information Poste puisse aider de manière efficace, il est essentiel de communiquer les informations nécessaires (nom d utilisateur, message d erreur, heure exacte du problème, noms du fichier et du répertoire). Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 13/30
5. FileZilla 5.1 Importer une clé avec FileZilla Il est possible d importer dans FileZilla aussi bien des clés au format PuTTY que OpenSSH. Lancer FileZilla => Edition => Paramètres => SFTP => Ajouter une clé privée (puis sélectionner le bon fichier de la clé privée) La clé importée est ensuite affiché dans l écran suivant. 5.2 Importation automatique avec PuTTY s Pageant Le «Pageant» (agent d authentification PuTTY) est un agent SSH qui peut transmettre des authentifications SSH. Pageant peut charger des clés et, sur demande, les mettre à disposition de programmes locaux. L interface est ouverte, de telle sorte que d autres programmes peuvent se connecter à ce service de Pageant. Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 14/30
Lancer PAGEANT.EXE Pageant s ancre dans la barre des tâches en bas à droite dans la barre de démarrage rapide et indique toutes les sessions enregistrées dans Pageant. Cette icône apparaît dans la barre des tâches: Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 15/30
Après l ouverture, apparaît la fenêtre (encore) vide «Pageant-Key-List»: Avec «Add Key», sélectionner la clé privée et confirmer avec «Ouvrir». Ici, seul le format PuTTY est accepté. Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 16/30
Si la clé s affiche comme l exemple suivant, elle a été correctement chargée et est maintenant dans la mémoire de l ordinateur. A partir de la mémoire de l ordinateur, divers «Programmes SSH» et surtout FileZilla ont un accès direct à la clé. 5.3 Remarques sur FileZilla La Poste Suisse a mis en place un système IDS/IPS comme un de ses mécanismes de protection. Afin d'éviter un blocage de l utilisateur, nous recommandons de limiter le nombre de transmissions simultanées à une ou deux maximum! Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 17/30
6. CuteFTP 6.1 Importer une clé avec CuteFTP => Tools => Global Options Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 18/30
Dans le menu «Security» sélectionner «SSH2 Security»! Activer le: champ «Use public key authentication» Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 19/30
A «Public key path», cliquer sur le «folder»: et sélectionner la bonne clé (.pub). Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 20/30
A «Private key path», cliquer sur le «folder»: et sélectionner la bonne clé privée (.ppk). Les clés correctement importées: et, pour le login automatisé sans mot de passe, désactiver le: champ «Use password authentication»! Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 21/30
7. WS_FTP Professional 7.1 Importer une clé avec WS_FTP Professional => Options => SSH et => sélectionner Client Keys Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 22/30
=> Import => sélectionner Public Key Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 23/30
=> ici: MUSTER.pub : Sélectionner et «Ouvrir»... => continuer Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 24/30
=> Private Key sélectionner => ici: MUSTER.ppk Sélectionner et «Ouvrir»... Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 25/30
=> continuer. et: «Terminer» Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 26/30
8. WinSCP 8.1 Importer une clé avec WinSCP: Cliquer sur le «champ Ouvrir» et sélectionner la clé privée! La ligne (jaune) «Private Key File» indique que la clé a été importée avec succès et que la connexion au système FDS fonctionne! Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 27/30
8.2 Remarques sur WinSCP Si vous avez des problèmes d autorisation après la transmission des fichiers, vous pouvez les corriger sous «Preferences» «Transfer». => désactivez l option «Set permissions» et activez les champs «Ignore permissions errors». Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 28/30
9. Total Commander Afin d assurer un fonctionnement correct de Total Commander, la configuration Compresser durant le transfert» ne doit pas être activée! Options Configuration FTP Compresser durant le transfert désactiver et appliquer! Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 29/30
10. Microsoft Dos Bien évidemment un ftp (mais pas un sftp!) peut aussi être réalisé à partir de la «fenêtre DOS» le mode passif n est cependant pas implémenté! Manuel des logiciels de transferts de fichiers Version3.0 / mai 2014 / Poste CH SA 30/30