FTP – Glossar

Fachtermini in Verbindung mit FTP-Protokollen

Aktiver Übertragungsmodus: Eine Methode der Einrichtung von FTP-Datenverbindungen, bei der der Server eine Verbindung zurück zum Client initialisiert, und zwar in der Regel von TCP-Port 20 des Servers zu einem hohen TCP-Port auf dem Client. (Der hohe Port, an dem der Client empfangsbereit ist, wird vom Client ausgewählt.)

Passiver Übertragungsmodus: Eine Methode der Einrichtung von FTP-Datenverbindungen, bei der der Client eine Verbindung zum Server initialisiert, und zwar in der Regel von einem hohen TCP-Port auf dem Client zu einem hohen TCP-Port auf dem Server. (Der hohe Port, an dem der Server empfangsbereit ist, wird vom Server ausgewählt.)

In Rechenzentren wird aus den folgenden Gründen meist der passive Modus bevorzugt:

1. Clientseitige Firewalls (und für die IT-Sicherheit verantwortliche Mitarbeiter) bevorzugen den passiven Modus, da es sich hier aus ihrer Sicht nur um ausgehenden Datenverkehr handelt.
2. Das Risiko von Malware oder anderen böswilligen Clientprogrammen auf dem Server ist wesentlich geringer, wenn der Server keine Verbindungen zur Außenwelt einrichten muss.

Fachtermini in Verbindung mit FTP Over SSL

Expliziter Verbindungsmodus: Eine Methode der Einrichtung einer sicheren FTPS-Steuerungsverbindung, bei der ein nicht sicherer Kanal nach dem Austausch einiger unverschlüsselter Parameterbefehle zwischen Client und Server so eingerichtet wird, dass er SSL verwendet. Es gibt zwei Varianten des expliziten Modus: TLS-C und TLS-P. Beide werden von allen MOVEit-Produkten unterstützt. In der Regel erfolgt der Austausch über TCP-Port 21.

Impliziter Verbindungsmodus: Eine Methode der Einrichtung einer sicheren FTPS-Steuerungsverbindung, bei der unmittelbar nach dem Verbindungsaufbau eine SSL-Sitzung eingerichtet wird. (Dies ist vergleichbar mit der Beziehung zwischen HTTPS und HTTP.) In der Regel erfolgt der Austausch über TCP-Port 990.

In Rechenzentren wird aus den folgenden drei Gründen meist der implizite Modus bevorzugt:

1. Verbindungen im impliziten Modus werden nicht durch „FTP-bewusste“ Firewalls zerstückelt. (Im expliziten Modus schlagen Verbindungen beim Versuch, bestimmte Firewalls zu passieren, jedoch häufig aufgrund von Handshake-Fehlern fehl.)
2. Der implizite Modus bietet dem Client keine Optionen. (Damit bleibt wenig Spielraum für Fehler.)
3. Verbindungen im impliziten Modus sind von Anfang an sicher, eine Garantie, dass vor der Sicherung des Kanals keine Benutzernamen oder Kennwörter durch schlecht konfigurierte Clients oder nachlässige Benutzer versehentlich nach außen dringen.

Fachtermini in Verbindung mit Zertifikaten

CA: Abkürzung für „Certificate Authority“ (Zertifizierungsstelle).

Cert: Abkürzung für „Certificate“ (Zertifikat) – siehe auch SSL-Zertifikat.

Zertifikat: Siehe SSL-Zertifikat.

Zertifizierungsstelle: 1. Ein Zertifikat für die Signatur (d. h. Ausgabe) eines anderen Zertifikats. 2. Ein Unternehmen oder eine Abteilung, das bzw. die Zertifikate signiert und ausgibt (z. B. Comodo oder Thawte).

Chain Up (Verkettung): Ein Begriff, der darauf hinweist, dass ein bestimmtes Zertifikat, die Zertifizierungsstelle des Zertifikats, die Zertifizierungsstelle der Zertifizierungsstelle oder ein anderes Glied der Zertifizierungskette von einer bestimmten Zertifizierungsstelle signiert wurde. (Beispiel: „Ist das Zertifikat dieses Clients mit Comodo „verkettet“?“)

CN: Abkürzung für „Common Name“ (gemeinsamer Name).

Gemeinsamer Name: Ein Textattribut eines Zertifikats, das meist den Benutzernamen, den vollständigen Namen, den Firmennamen, den Hostnamen oder die E-Mail-Adresse der Person bzw. des Computers enthält, für die bzw. den das Zertifikat erstellt wurde. (Beispiel: „www.mycorp.com“ für das Zertifikat eines SSL-Servers oder „john.smith@mycorp.com“ für das Zertifikat eines SSL-Clients)

Fingerabdruck: In der Regel eine alternative Bezeichnung für ein „MD5-Hash“, insbesondere in Verbindung mit SSH-Schlüsseln. In Verbindung mit SSL-Zertifikaten aber auch ein „SHA-1-Hash“. (In *NIX-Umgebungen ist „Fingerabdruck“ die gängigere Bezeichnung. Siehe auch „Daumenabdruck“.)

Schlüssel: Siehe „SSH-Schlüssel“.

MD5-Hash: Eine 128-Bit-Prüfsumme für die eindeutige Darstellung eines Dokuments oder Schlüssels. Der MD5-Algorithmus ist jedoch schon ziemlich alt. Heute wird der durch FIPS zugelassene SHA-1-Algorithmus bevorzugt.

SHA-1-Hash: Eine 160-Bit-Prüfsumme für die eindeutige Darstellung eines Dokuments oder Schlüssels. Der SHA-1-Algorithmus wurde durch das National Institute of Standards and Technology zugelassen.

SSH-Schlüssel: Daten mit einer Größe von wenigen Kilobyte, die für die Einrichtung einer SSH-Verbindung (Secure SHell) benötigt werden. Ein SSH-Schlüssel besteht aus einer öffentlichen und einer privaten Komponente, die in der Regel in getrennten Dateien gespeichert werden. Die private Komponente ist geheim; der Besitz dieses Teils des Schlüssels kann wie ein Kennwort als Identitätsnachweis verwendet werden. An jeder SSH-Verbindung sind zwei SSH-Schlüsselpaare beteiligt, eines für den Server und eines für den Client.

SSL-Zertifikat: Daten mit einer Größe von wenigen Kilobyte, die einem bestimmten Benutzer oder Server zugewiesen sind und von einer vertrauenswürdigen Zertifizierungsstelle digital signiert wurden. SSL-Zertifikate werden für die Einrichtung von SSL-Verbindungen (Secure Socket Layer) verwendet. Die an Server (z. B. Webserver) ausgegebenen Zertifikate werden als Serverzertifikate bezeichnet. An Personen ausgegebene Zertifikate werden als Clientzertifikate bezeichnet. Client- und Serverzertifikate werden unterschiedlich verwendet und können auch beide bei der Einrichtung einer SSL-Verbindung verwendet werden.

Daumenabdruck: In der Regel eine alternative Bezeichnung für ein „SHA-1-Hash“, insbesondere in Verbindung mit SSL-Zertifikaten. In Verbindung mit SSH-Schlüsseln aber auch ein „MD5-Hash“. (In Windows-Umgebungen ist „Daumenabdruck“ die gängigere Bezeichnung. Siehe auch „Fingerabdruck“.)

X.509-Zertifikat: Eine alternative Bezeichnung für ein SSL-Zertifikat.