Païou essaie de comprendre le transfert de fichiers avec FTP

Historique

12 août 2013 : Nouvelle page regroupant les bases de FTP.

Difficulté

Pour : utilisateur un peu curieux.

Introduction

Le File Transfer Protocol est un protocole qui permet à des ordinateur distants d'échanger des fichiers à travers un réseau.
Les applications sont multiples :

télécharger des fichiers depuis un serveur
transférer vos pages web sur votre serveur web
sauvegarder vos documents sur un autre ordinateur
installer des postes à partir d'un serveur du réseau interne
...

Un peu de théorie

Ce paragraphe vous sera très utile pour :

savoir comment configurer votre serveur FTP
savoir comment configurer votre client FTP
savoir comment configurer le pare-feu de votre serveur FTP
savoir comment configurer le pare-feu de votre client FTP

FTP obéit à un modèle client-serveur, c'est-à-dire qu'une des deux parties, le client, envoie des requêtes vers l'autre partie , appelée serveur. Et le serveur répond aux requêtes.

Exemple, en ligne de commande, avec lftp, en mode debug, pour l'utilisateur
login :
lftp -d -u login adresse_serveur

Le client ouvre une session FTP sur un serveur. Pour ceci, il envoie une requête sur le port 21 du serveur.
(Mais le serveur peut être configuré pour écouter sur un autre port. Dans ce cas, il faut connaître le numéro de ce port et lui envoyer la requête en précisant le port).

La négociation se poursuit sur ce port :

le serveur se présente (lignes commançant par 220),
le client demande quelles sont les extensions que le serveur accepte (FEAT) et le serveur répond (lignes 211)
le client demande le chiffrement (AUTH TLS), le serveur répond
(par ex. 500 This security scheme is not implemented)
le client transmet ses options (UTF8 et MLST), le serveur exécute
le client se présente par le login de l'utilisateur (USER paiiou) ou par le pseudonyme anonymous
voir ci-dessous, mode anonyme,
le serveur accepte (ligne 331) et demande le mot de passe, (ou refuse l'accès s'il ne connaît pas l'utilisateur ou s'il n'accepte pas les connexions anonymes),
le client envoie son mot de passe (PASS) (Pour anonymous, c'est une adresse de messagerie),
si le mot de passe est correct, la session est ouverte, sinon l'accès est refusé
le client demande quel est le répertoire actuel (PWD) et le serveur indique le répertoire racine
(home de l'utilisateur ou racine des connexions anonymes)
actuellement, le client demande au serveur de passer en mode passif (PASV)
Voir ci-dessous mode actif/mode passif
le transfert peut démarrer

Pour les curieux, dialogue avec lftp; survolez la ligne :

Partie commune

---- Connexion à 192.168.0.10 (192.168.0.10) port 21
<--- 220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
<--- 220-You are user number 1 of 50 allowed.
<--- 220-Local time is now 17:58. Server port: 21.
<--- 220-IPv6 connections are also welcome on this server.
<--- 220 You will be disconnected after 15 minutes of inactivity.
---> FEAT
<--- 211-Extensions supported:
<--- EPRT
<--- IDLE
<--- MDTM
<--- SIZE
<--- MFMT
<--- REST STREAM
<--- MLST type*;size*;sizd*;modify*;UNIX.mode*;UNIX.uid*;UNIX.gid*;unique*;
<--- MLSD
<--- AUTH TLS
<--- PBSZ
<--- PROT
<--- UTF8
<--- ESTA
<--- PASV
<--- EPSV
<--- SPSV
<--- ESTP
<--- 211 End.
---> AUTH TLS
<--- 500 This security scheme is not implemented
---> OPTS UTF8 ON
<--- 200 OK, UTF-8 enabled
---> OPTS MLST type;size;modify;UNIX.mode;UNIX.uid;UNIX.gid;
<--- 200 MLST OPTS type;size;sizd;modify;UNIX.mode;UNIX.uid;UNIX.gid;unique;
---> USER georges
<--- 331 User georges OK. Password required
---> PASS XXXX
<--- 230 OK. Current restricted directory is /
---> PWD
<--- 257 "/" is your current location
---> PASV

suite en mode passif

<--- 227 Entering Passive Mode (192,168,0,10,250,174)

suite en mode actif

---> PORT 192,168,0,2,175,241
<--- 200 PORT command successful

Utilisateur identifié et utilisateur anonyme

Un serveur FTP demande généralement une identification du client avec un mot de passe.
Pour accéder aux parties privées, les clients doivent avoir un compte sur le serveur et ils accèdent en lecture/écriture aux répertoires qui leur sont dédiés.
C'est le cas, par exemple, pour les mises à jour de pages personnelles sur un serveur web. Cela peut aussi être la mise à jour des sauvegardes sur le serveur bakup.

Mais il existe souvent un compte "anonyme", qui donne accès en lecture seule dans la partie publique du serveur, à tout client distant, se connectant avec le login anonymous.

Mode actif ou passif

Le protocole TCP nécessite deux ports, l'un pour les commandes, l'autre pour les données.
Deux cas de figure se présentent :

Mode actif

Dans un premier temps,
le client établit une première session TCP,
depuis un port aléatoire du client,
vers le port 21 (TCP) du serveur
formant ainsi le control channel.
C'est ce que vous avez vu plus haut.
Une fois la session établie et l'authentification FTP acceptée,
le serveur établit une session TCP,
depuis son port 20 (FTP-DATA),
vers un port défini par le client,
formant ainsi le data channel

Ceci signifie que, pour la transmission des données, le serveur joue le rôle de client et le client joue le rôle de serveur. Cela aura une conséquence très importante pour le client, s'il se trouve derrière un pare-feu ou un routeur NAT. Les données seraient bloquées.

Mode passif

Dans un premier temps, comme pour le FTP actif,
le client établit une première session TCP
depuis un port aléatoire du client,
vers le port 21 (TCP) du serveur
formant ainsi le control channel.
Une fois la session établie et l'authentification FTP acceptée,
le client demande au serveur de se mettre en attente de session TCP grâce à la commande PASV,
le serveur accepte et indique quel port il met à la disposition du client,
le client établit une seconde session TCP sur ce port ("data channel").

Le routeur NAT n'est plus perturbé puisque la connexion est demandée côté client.
Mais, côté serveur, il faudra tout de même en tenir compte de ces ports à ouvrir pour le pare-feu du serveur, sil y en a un.

En résumé

En mode actif, c'est le client qui décide sur quel port doivent entrer les données. Il définit ce port.
Le serveur initie le transfert.
Si le client se trouve derrière un NAT ou un pare-feu, les données seront bloquées, vu qu'il n'est pas possible de connaître le port qui devrait être translaté ou ouvert.

En mode passif, c'est le serveur qui définit le port par lequel il envoie les données. C'est le client qui initie le transfert. Il n'y a donc plus de problème au niveau du client. Sur le serveur, il est possible de spécifier une plage de ports de données et donc d'ouvrir cette plage sur le pare-feu.

Le transport crypté avec TLS/SSL

Transport Layer Security (TLS), anciennement nommé Secure Socket Layer (SSL), est un protocole de sécurisation des échanges sur Internet.
Développé à l'origine par Netscape (SSL version 2 et SSL version 3). Il a été renommé en Transport Layer Security (TLS) par l'IETF suite au rachat du brevet de Netscape par l'IETF en 2001.
Il y a très peu de différences entre SSL version 3 et TLS version 1 (qui correspond à la version 3.1 du protocole SSL) rendant les deux protocoles non interopérables, mais TLS a mis en place un mécanisme de compatibilité ascendante avec SSL.
TLS diffère de SSL pour la génération des clés symétriques. Cette génération est plus sécurisée dans TLS que dans SSLv3 dans la mesure où aucune étape de l'algorithme ne repose uniquement sur MD5 pour lequel sont apparues quelques faiblesses en cryptanalyse.

Serveurs FTP courants

Sous Linux, il existe un bon choix de serveurs FTP. En voici 3 :

PureFTPd : pour un nombre d'utilisateurs pas trop important, simple, sécurisé
ProFTPd : configuration très flexible, avec de nombreux modules externes. Pour un usage 'professionnel'
Vsftpd : pour un serveur à grande échelle, avec beaucoup de clients, sécurisé

PureFTPd : Rendez-vous à la page Installer le serveur PureFTPD .
ProFTPd : Rendez-vous à la page Installer le serveur ProFTPD .
Vsftpd : Rendez-vous à la page Installer le serveur VsFTPD .

Sommaire