FTP - Configuration

L'utilitaire MOVEit Transfer Config permet de configurer le serveur FTP MOVEit. (Les utilisateurs, groupes, paramètres de dossiers, etc., sont généralement gérés via l'interface Web ou l'API MOVEit.) Pour exécuter le programme de configuration, sélectionnez le raccourci MOVEit Transfer Config dans le menu Start (Démarrer). Ce programme utilise une boîte de dialogue à onglets pour regrouper les paramètres par fonction.

Le FTP MOVEit applique immédiatement les changements de configuration lors de la prochaine connexion.

Exception : si des modifications sont apportées aux ports FTP explicites ou implicites, vous devez redémarrer le service FTP MOVEit pour appliquer ces modifications.

Onglet FTP Ports (Ports FTP)

Ports de contrôle

• Explicit (Explicite) : le port FTP explicite est défini sur 21 par défaut. Il s'agit de la valeur utilisée par la plupart des serveurs FTP. Le port explicite nécessite l'utilisation de la commande AUTH pour sécuriser la communication TLS-C ou TLS-P. Définissez l'option sur 0 pour désactiver ce port et le type de FTP sur SSL.
• Implicit (Implicite) : le port FTP sécurisé en mode implicite est défini sur 990 par défaut. Le port implicite est destiné aux clients FTP qui négocient une connexion sécurisée directement au démarrage. Définissez l'option sur 0 pour désactiver ce port et le type de FTP sur SSL.
• Client Certs Explicit(Port explicite avec certificats client) : Le port explicite avec « certificats client » est similaire au « port explicite » standard, mais nécessite que tous les clients FTP qui tentent de se connecter s'authentifient à l'aide d'un certificat client SSL. Définissez l'option sur 0 pour désactiver ce port et le type de FTP sur SSL.
• Client Certs Implicit(Port implicite avec certificats client) : le port implicite avec « certificats client » est similaire au « port implicite » standard, mais nécessite que tous les clients FTP qui tentent de se connecter s'authentifient à l'aide d'un certificat client SSL. Définissez l'option sur 0 pour désactiver ce port et le type de FTP sur SSL.

Ports de données

• Active (Actif) : le port TCP actif est un port TCP local à partir duquel les connexions de données en mode actif peuvent être déclenchées pour les clients distants. En mode passif, les serveurs FTP se connectent aux clients pour transférer les données. La plupart des serveurs FTP utilisent un numéro de port local aléatoire à cet effet. (Le numéro de port local correspond au numéro de port TCP à partir duquel les connexions sont établies.) Cette approche fonctionne pour de nombreux sites, mais certains d'entre eux appliquent des règles restrictives configurées dans leurs pare-feu. Le FTP MOVEit Transfer vous permet de demander au serveur FTP de toujours utiliser le numéro de port pour initier la fin de la connexion. La valeur de ce paramètre est généralement définie sur 20 pour un FTP explicite ou sur 989 pour un FTP implicite. Vous ne pouvez néanmoins sélectionner que l'une de ces deux valeurs. Définissez le paramètre sur 0 si vous souhaitez utiliser le numéro de port aléatoire standard. En cas de doute, définissez le paramètre sur 20.

  Passive Range (Plage de ports passifs) : cette fonction permet d'aider les sites disposant d'un pare-feu entre l'ordinateur FTP MOVEit et les utilisateurs finals. En mode passif, le FTP crée des ports de façon dynamique sur lesquels il écoute des connexions de données à partir des clients FTP distants. Pour adapter ce comportement, les administrateurs réseau doivent autoriser les connexions entrantes sur ces ports. Les numéros de ports utilisés à cet effet sont normalement supérieurs à 1023. Dans le cas contraire, il n'est pas possible de les identifier à l'avance. Les pare-feu ne peuvent pas identifier les numéros de ports immédiatement car les sessions sont cryptées. Par conséquent, vous devez les configurer de manière à autoriser les utilisateurs externes à se connecter aux ports supérieurs à 1023.
  
  Pour y parvenir, le FTP MOVEit Transfer propose une option qui permet d'appliquer la plage de ports définie en mode passif. Si vous choisissez cette option, vous devez sélectionner une plage de ports sur laquelle le FTP écoute, par exemple, les connexions de données comprises entre 2000 et 2200.
  
  Cette option présente l'avantage d'autoriser votre administrateur réseau à ouvrir uniquement une plage de ports limitée à laquelle les clients FTP distants peuvent se connecter. Cela permet d'accroître légèrement la sécurité de votre site (par rapport à l'ouverture d'un plus grand nombre de ports).
  
  Par défaut, la plage est comprise entre 3000 et 3100. La plupart des sites souhaitent limiter cette plage entre 4 et 100 ports consécutifs. (La plage utilisée par la majorité des applications clientes Windows est comprise entre 49152 et 65535.)

• Enforce passive port range (Appliquer une plage de ports passifs) : activez cette option pour appliquer la plage configurée ci-dessus. (Sinon, la plage de ports définie entre 49152 et 65535 par le système d'exploitation est appliquée.)

Paramètres divers

• Bind to IP Address (Lier à une adresse IP) : laissez ce champ vide pour établir une liaison avec toutes les adresses IP disponibles (par défaut). Saisissez une adresse IP pour lier le serveur FTP (ports explicites et implicites) à une adresse IP spécifique.
• Connection Limit (Délai de connexion) : nombre maximum de connexions de contrôle écoutées par le serveur FTP à tout moment. Le port par défaut est 32. Assurez-vous que cette valeur est supérieure au nombre de ports FTP définis dans votre plage de ports passifs.
• Require passive transfers (Demander des transferts en mode passif) : activez cette option pour refuser les connexions de données en mode actif. La plupart des sites activent cette option, sauf si un grand nombre de leurs clients FTP utilisent le mode CCC et que tous les pare-feu impliqués sont en mesure d'ouvrir les ports de données FTP.
• Allow CCC command (Autoriser la commande CCC) : cette option (désactivée par défaut) permet à l'interface FTP sur SSL de prendre en charge la commande CCC. Le canal de commande FTP/SSL crypté devient ainsi un canal non crypté lors de l'envoi et de l'interprétation du nom d'utilisateur et du mot de passe en toute sécurité. Le mode CCC permet de tirer parti des sessions FTPS qui sont en mesure de prendre en charge le service NAT avec un FTP non sécurisé sans ouvrir de ports fixes.

  Avertissement : Le mode CCC accroît le risque d'exposer les noms de fichiers, les chemins d'accès des dossiers et autres informations de contrôle aux utilisateurs qui écoutent le trafic.

Onglet FTP Certs (Certificats FTP)

Default Server Certificate Certificat du serveur par défaut) : le certificat par défaut correspond au certificat du serveur SSL utilisé pour le cryptage pendant les transferts. Il doit déjà être créé et installé dans le système. Vous utilisez généralement le certificat que vous avez déjà installé sur votre serveur Web MOVEit.

Vous pouvez vous procurer des certificats auprès des autorités de certification, telles que Thawte ou Verisign. Nous mettons néanmoins un logiciel gratuit à votre disposition pour que vous puissiez créer le vôtre. Par exemple, le composant Services de certificats de Windows Server peut être utilisé pour créer des certificats. Il n'est pas recommandé d'utiliser vos propres certificats car les programmes clients ne les trouvent pas fiables, ce qui entraîne l'ouverture d'une boîte de dialogue d'avertissement.

Alternate Certificates, Branding, Client Certs (Certificats de substitution, branding, certificats client) : les certificats de substitution du serveur SSL peuvent être affectés à chaque adresse IP de votre serveur MOVEit. Le FTP MOVEit peut ainsi utiliser un certificat différent pour les connexions établies via plusieurs réseaux.

Si vous souhaitez exécuter un « serveur FTP multi-résident », il se peut que vous deviez configurer ces options. Vous ne pouvez pas utiliser des certificats serveur de substitution si vous souhaitez lier une seule adresse IP.

Par exemple, si MOVEit est connecté à Internet et à un intranet local via deux cartes d'interface réseau (NIC) différentes, vous pouvez fournir un certificat de substitution à utiliser pour les connexions via la deuxième carte réseau.

La liste Alternate Certificates, Branding, Client Certs (Certificats de substitution, branding, certificats client) affiche les colonnes Server IP (Adresse IP du serveur) et Certificate (Certificat), si le certificat de substitution est associé à une adresse ou à un masque IP.

La liste affiche également les colonnes suivantes :

• Organization (Organisation) : affiche le nom de l'organisation pour chaque certificat.
• All Ports (Tous les ports) : affiche la valeur « True » (Vrai) si vous demandez des certificats client pour tous les ports de contrôle FTP.

Cliquez sur Add (Ajouter) pour ouvrir la boîte de dialogue Add FTP Alternate Certificate (Ajouter un certificat de substitution FTP).

En plus de pouvoir associer des certificats spécifiques aux adresses IP, vous pouvez également leur associer une organisation particulière afin de présenter une bannière de connexion différente de la bannière par défaut aux utilisateurs FTP.

Vous avez également la possibilité d'imposer des exigences plus strictes en matière de certificats client, à savoir demander des certificats client pour tous les ports de contrôle FTP des adresses IP de substitution (en remplaçant les paramètres du port du certificat client du lien de l'adresse IP configurés dans l'onglet FTP Ports (Ports FTP)). Si la valeur Yes (Oui) est sélectionnée pour cette option dans la boîte de dialogue, la colonne All Ports (Tous les ports) de la liste Alternate Certificates, Branding, Client Certs (Certificats de substitution, branding, certificats client) affiche la valeur « True » (Vrai) pour ce certificat.

Pour sélectionner un certificat dans la liste Alternate Certificates, Branding, Client Certs (Certificats de substitution, branding, certificats client), cliquez sur Edit (Modifier) pour ouvrir la boîte de dialogue Edit FTP Alternate Certificate (Modifier le certificat de substitution FTP) ou sur Remove (Supprimer).

Liste de sélection des certificats serveur

Cliquez sur n'importe quel bouton « Browse » (Parcourir) pour ouvrir la liste des certificats serveur à sélectionner. Sélectionnez un certificat avec une date Expires (Expiration) ultérieure à la date du jour. Double-cliquez sur un certificat pour le sélectionner, ou sélectionnez-le et cliquez sur le bouton OK.

Onglet FTP IPs (Adresses IP du FTP)

NAT for Passive FTP (Service NAT pour FTP passif)

La mise en correspondance des adresses IP pour la traduction d'adresses réseau (NAT) est une fonction avancée dédiée aux sites utilisant un pare-feu pour faire de la conversion NAT. Elle s'applique uniquement aux transferts en mode passif. Pour utiliser cette fonction, vous devez fournir une liste de règles NAT classées de la plus spécifique à la moins spécifique, en plaçant la plus générique en bas de liste. Chaque règle NAT comprend un masque IP et une adresse IP externe à utiliser pour les clients qui correspondent à ce masque. Chaque masque se présente sous la forme « m.m.m.m », où chaque lettre correspond à un nombre décimal (par exemple, 208,) ou à un astérisque *. Les adresses IP externes sont exprimées sous forme de nombres décimaux séparés par des points. Elles doivent être identiques à l'adresse avec laquelle le pare-feu effectue la mise en correspondance avec votre serveur FTP.

La configuration la plus courante est présentée dans l'exemple qui suit. Elle fournit une adresse IP interne (10.2.1.33) aux clients qui tentent de se connecter à partir de clients internes (10.*.*.*), et une adresse IP externe à tous les autres clients (externes).

ServerIP=*.*.*.*, NatIP=10.2.1.33, ClientIPs=10.*.*.* 
ServerIP=*.*.*.*, NatIP=66.170.5.130, ClientIPs=*.*.*.*

Vous pouvez également choisir une configuration avec hébergement multiple, dans laquelle différents noms d'hôte sont mis en correspondance avec des adresses IP externes différentes (66.170.5.130 et 66.170.5.131), qui sont envoyées sur deux adresses IP internes distinctes (10.2.1.33 et 10.2.1.34) sur la même machine MOVEit Transfer. Dans ce cas, nous souhaitons renvoyer la bonne adresse IP pour chaque connexion externe tout en continuant à la renvoyer aux clients internes.

ServerIP=10.2.1.34, NatIP=10.2.1.34, ClientIPs=10.*.*.* 
ServerIP=*.*.*.*, NatIP=10.2.1.33, ClientIPs=10.*.*.* 
ServerIP=10.2.1.34, NatIP=66.170.5.131, ClientIPs=*.*.*.* 
ServerIP=*.*.*.*, NatIP=66.170.5.130, ClientIPs=*.*.*.*

Si vos règles NAT comprennent uniquement la règle suivante :

ServerIP=*.*.*.*, NatIP=208.33.33.33, ClientIPs=208.*.*.*

Le client a ensuite accès à toutes les adresses IP de votre machine à partir de 208.122.3.4. Il lui sera demandé d'effectuer des transferts en mode passif vers l'adresse IP 208.33.33.33, même si l'adresse IP interne actuelle de votre serveur FTP est complètement différente (par exemple, 192.168.1.10). Les clients qui ont accès à votre serveur FTP à partir d'un domaine autre que 208.* reçoivent l'adresse actuelle de votre serveur FTP (192.168.1.10).

Si vous définissez plus d'une règle NAT, vous pouvez modifier l'ordre de l'évaluation à l'aide des boutons en forme de flèches montante et descendante à droite de la liste.

Il n'est pas nécessaire d'établir des règles pour gérer l'hôte local ou les adresses 127.0.0.1. Les connexions issues de ces adresses doivent toujours connecter leurs canaux de données à la même adresse.

Non-Secure FTP (FTP non sécurisé)

Cette fonction détermine si vous autorisez l'accès aux clients FTP non sécurisés. Elle vous permet d'ouvrir le serveur FTP aux clients qui n'utilisent pas les transferts FTP sécurisés (cryptés). Elle met considérablement MOVEit en danger, car les données peuvent potentiellement être détectées par le réseau. Ce niveau de sécurité n'a cependant pas d'importance dans certaines circonstances (par exemple, au sein de l'intranet d'une entreprise). Dans d'autres cas, il n'existe aucun autre moyen pour transférer les données en toute sécurité à partir d'un client. Pour ouvrir le FTP aux transferts non sécurisés, vous devez non seulement cocher la case d'activation, mais également ajouter des adresses ou des masques IP spécifiques autorisés à effectuer des transferts non sécurisés. Vous devez utiliser deux adresses IP pour activer le mode non sécurisé. Chaque paire est composée d'une adresse IP locale (ou d'un masque) sur le serveur MOVEit (une interface réseau, par exemple) et d'une adresse IP externe ou d'un masque correspondant à un client FTP sur le réseau. Comme pour la liste NAT, vous pouvez déplacer les entrées de la liste vers le haut ou vers le bas.

Avant d'autoriser les adresses IP configurées à se connecter sans sécurité, vous devez cocher la case Non-Secure FTP Enabled (FTP non sécurisé activé) et confirmer votre choix.

Cette option DOIT être activée avant d'utiliser le paramètre d'interface « allow non-secure FTP » (FTP non sécurisé activé) au niveau utilisateur.

Avertissement : le mode FTP non sécurisé accroît le risque d'exposer les noms d'utilisateur, les mots de passe, les données de fichiers, les noms de fichiers, les chemins d'accès des dossiers et autres informations de contrôle aux utilisateurs qui écoutent le trafic.

Diagnostic Logs (Journalisation des diagnostics)

Les paramètres de journalisation des diagnostics du serveur FTP MOVEit peuvent être modifiés dans l'onglet Status (État) de l'utilitaire de configuration. Pour en savoir plus sur cet onglet, reportez-vous à la rubrique Utilitaire de configuration.

Onglet Paths (Chemins d'accès)

Le serveur FTP MOVEit communique avec MOVEit à l'aide de l'URL de la machine Machine URL (URL Machine) configurée dans cet onglet. Pour en savoir plus sur cet onglet, reportez-vous à la rubrique Utilitaire de configuration.

Langue de la bannière initiale

La bannière de sécurité initiale et les avis sont présentés dans la langue par défaut de l'organisation ou en anglais s'il n'existe aucune organisation par défaut. (Reportez-vous à la page des paramètres système Miscellaneous (Divers) pour en savoir plus sur les organisations par défaut.) Pour modifier la langue de la bannière de sécurité initiale et des avis, connectez-vous à l'organisation par défaut du système en tant qu'administrateur d'organisation. Modifiez la langue par défaut de l'organisation à l'aide de la page de paramètres International.

Sélection des versions SSL et des méthodes de cryptage SSL (onglet SSL)

Dans l'utilitaire MOVEit Transfer Config, vous pouvez utiliser l'onglet SSL pour sélectionner les versions SSL et les méthodes de cryptage SSL.