FTP - Glossaire

Termes relatifs au protocole FTP

Mode de transfert actif : mode d'établissement de connexions de données FTP, dans lequel le serveur établit une connexion vers le client, généralement à partir du port 20 du serveur TCP vers un port TCP à numéro élevé sur le client. (Le client choisit le port à numéro élevé sur lequel il écoute le trafic.)

Mode de transfert passif : mode d'établissement de connexions de données FTP, dans lequel le client établit une connexion vers le serveur, généralement à partir d'un port TCP à numéro élevé vers un port TCP à numéro élevé sur le serveur. (Le serveur choisit le port à numéro élevé sur lequel il écoute le trafic.)

En règle générale, les centres de données préfèrent utiliser le mode passif pour les deux raisons suivantes :

1. Les pare-feu des sites client (et des experts en sécurité informatique) récriminent moins le mode passif, étant donné qu'il n'est question que de trafic sortant.
2. Le risque d'attaque d'un cheval de Troie ou d'un autre programme client malveillant est beaucoup moins élevé si le serveur n'établit jamais de connexions vers l'extérieur.

Termes relatifs au FTP sur SSL

Mode de connexion explicite : mode d'établissement d'une connexion de contrôle de données FTPS sécurisées, dans lequel un canal non sécurisé est initié pour utiliser le SSL après que le client et le serveur aient échangé quelques commandes de configuration en clair. Il existe deux types de mode explicite : TLS-C et TLS-P. Ces deux modes sont pris en charge par tous les produits MOVEit. Ils s'exécutent généralement sur le port 21 du TCP.

Mode de connexion implicite : mode d'établissement d'une connexion de contrôle de données FTPS sécurisées, dans lequel une session SSL est initiée immédiatement lors de la connexion. (Similaire au rapport HTTPS-HTTP.) Ils s'exécutent généralement sur le port 990 du TCP.

En règle générale, les centres de données préfèrent utiliser le mode implicite pour les trois raisons suivantes :

1. Les connexions en mode implicite ne sont pas altérées par les pare-feu qui prennent en charge le FTP. (Il arrive fréquemment que des pare-feu bloquent les connexions en mode explicite avec le message d'erreur « échec d'établissement de la liaison ».)
2. Le mode implicite ne propose aucune option au client. (Moins d'options à négocier.)
3. Les connexions en mode implicite sont initiées en tant que connexions sécurisées, ce qui permet d'éviter toute fuite accidentelle des noms d'utilisateur ou des mots de passe par des clients de mauvaise qualité ou des utilisateurs maladroits avant la sécurisation du canal.

Termes relatifs aux certificats

CA : abréviation de « Certificate Authority » (autorité de certification)

Cert : abréviation de « Certificate » (certificat). Voir Certificat SSL

Certificat : voir Certificat SSL

Autorité de certification : 1. Certificat utilisé pour signer (alias « émettre ») tout autre certificat. 2. Entreprise ou service chargé de signer un certificat (par ex., Comodo, Thawte, etc.)

« Remontée » : expression indiquant qu'un certificat spécifique émis par sa CA, la CA supérieure ou tout autre membre de la chaîne de signatures CA, est signé par une CA particulière. (par exemple, « Le certificat client est-il remonté jusqu'à Comodo ? »)

CN : abréviation de « Common Name » (nom commun)

Nom commun : attribut de texte du certificat qui contient généralement le nom d'utilisateur, le nom complet, le nom de l'entreprise, le nom d'hôte ou l'adresse e-mail de la personne ou de l'ordinateur pour lequel le certificat a été créé. (Par exemple, le CN du certificat d'un serveur SSL peut se présenter sous la forme « www.mycorp.com » et celui du certificat d'un client SSL sous la forme « john.smith@mycorp.com ».)

Empreinte digitale : autre nom donné au « hachage MD5 », en particulier si des clés SSH sont utilisées. Ce terme peut également signifier « hachage SHA-1 », en particulier si des certificats SSL sont utilisés. (Le terme « Empreinte digitale » semble plus populaire dans les environnements *nix. Voir aussi « Empreinte numérique »)

Clé : voir « Clé SSH »

Hachage MD5 : somme de contrôle de 128 bits destinée à représenter uniquement un document entier ou une clé. L'algorithme MD5 est obsolète. Préférez-lui le hachage SHA-1 approuvé par FIPS.

Hachage SHA-1 : somme de contrôle de 160 bits destinée à représenter uniquement un document entier ou une clé. L'algorithme SHA-1 est approuvé par le NIST (National Institute of Standards and Technology - Institut national des normes et de la technologie).

Clé SSH : portion de données de quelques kilo-octets permettant de configurer une connexion SSH (Secure Shell). Une clé SSH comprend deux composants, à savoir une clé publique et une clé privée, qui sont généralement stockés dans des fichiers distincts. La clé privée est confidentielle. Cette portion de la clé est parfois utilisée comme preuve d'identité (par exemple, un mot de passe). Toute connexion SSH donnée implique une deux paires de clés SSH : l'une pour le serveur, l'autre pour le client.

Certificat SSL : portion de données de quelques kilo-octets affectée à un utilisateur ou un serveur spécifique. Elle est signée numériquement par une autorité de certification certifiée. Les certificats SSL permettent d'établir des connexions SSL (Secure Socket Layer - Couche de Sockets Sécurisée). Les certificats émis vers les serveurs, tels que les serveurs Web, sont appelés « certificat de serveur ». Les certificats émis à des individus sont appelés « certificats client ». Les certificats de serveur et les certificats client sont utilisés de différentes manières. Ils peuvent néanmoins tous deux être utilisés lors de l'établissement d'une connexion SSL.

Empreinte numérique : autre nom donné au « hachage SHA-1 », en particulier si des certificats SSL sont utilisés. Ce terme peut également signifier « hachage MD5 », en particulier si des clés SSH sont utilisées. (Le terme « Empreinte numérique » semble plus populaire dans les environnements Windows. Voir aussi « Empreinte »)

Certificat X.509 : autre nom donné au certificat SSL.