Registerkarte "SSL/TLS" (FTP-Optionen)
Wegweiser (FTP-Client)
- Wählen Sie im Dialogfeld Mit FTP-Server verbinden einen Server aus.
- Klicken Sie auf Sicherheit.
Mit dem SSL-Protokoll (Secure Sockets Layer) und dessen kompatibler Weiterentwicklung, dem TLS-Protokoll (Transport Layer Security) kann zwischen einem Client und einem Server über ein öffentliches Netzwerk eine sichere, verschlüsselte Verbindung hergestellt werden. Vor dem Verbindungsaufbau per SSL/TLS muss der Client zunächst den Server authentifizieren. Außerdem werden alle zwischen Reflection und dem Server übertragenen Daten verschlüsselt. Je nach Serverkonfiguration kann der Server auch den Client authentifizieren.
Folgende Optionen stehen zur Verfügung:
|
SSL-/TLS-Sicherheit verwenden
|
Ermöglicht den Verbindungsaufbau über SSL/TLS. Sie müssen dieses Kontrollkästchen aktivieren, bevor Sie weitere Optionen auf dieser Registerkarte konfigurieren können. Wenn die Option SSL-/TLS-Sicherheit verwenden ausgewählt ist, stellt Reflection nur dann eine Verbindung mit dem Host her, wenn eine sichere SSL/TLS-Verbindung möglich ist.
Vor dem Verbindungsaufbau muss Reflection den Host authentifizieren. Die Authentifizierung erfolgt mit digitalen Zertifikaten. Diese Zertifikate gehören zur selben PKI (Public Key Infrastructure, Infrastruktur öffentlicher Schlüssel), die für sichere Internet-Transaktionen verwendet wird. Ihr Computer muss so konfiguriert sein, dass er das digitale Zertifikat von Ihrem Host erkennt und gegebenenfalls ein Zertifikat für die Clientauthentifizierung bereitstellt. Wenn der Computer nicht richtig konfiguriert wurde oder die Authentifizierungszertifikate ungültig sind, können keine SSL/TLS-Verbindungen hergestellt werden. Je nachdem, wie das Hostzertifikat ausgegeben wurde, müssen Sie eventuell ein Zertifikat auf dem lokalen Computer installieren.
|
|
PKI konfigurieren
|
Öffnet das Dialogfeld PKI konfigurieren, in dem Sie PKI-Einstellungen für Reflection SSL/TLS-Sitzungen konfigurieren können.
|
|
Verschlüsselungsgrad
|
Gibt die gewünschte Verschlüsselungsebene für SSL/TLS-Verbindungen an. Die Verbindung wird nur aufgebaut, wenn die entsprechende Ebene verfügbar ist.
Wenn Sie die Option Standard auswählen, sind alle Verschlüsselungsebenen zulässig, und Reflection handelt mit dem Hostsystem die höchste Verschlüsselungsebene aus, die sowohl vom Host als auch vom Client unterstützt wird. Wenn Sie die Option Standard im FIPS-Modus auswählen, werden ausschließlich FIPS-kompatible Verschlüsselungsebenen berücksichtigt.
|
|
Datenstrom verschlüsseln
|
Gibt an, ob Daten verschlüsselt werden, wenn der FTP-Client für die Verwendung der SSL/TLS-Verschlüsselung konfiguriert ist. Wenn dieses Kontrollkästchen aktiviert ist, wird die gesamte Kommunikation zwischen dem Computer und dem FTP-Server verschlüsselt. Andernfalls wird der FTP-Befehlskanal (genutzt für alle FTP-Befehle einschließlich Benutzername und Kennwort) verschlüsselt. Der Datenkanal (genutzt für Verzeichnislisten und den Inhalt der übertragenen Dateien) bleibt dagegen unverschlüsselt.
|
|
Befehlskanal leeren
|
Wenn diese Option aktiviert ist, sendet FTP-Client einen CCC-Befehl an den Host. Unterstützt der Host diese Option, wird die Verschlüsselung nur für den Befehlskanal deaktiviert.
|
|
SSL/TLS-Version
|
Gibt die zu verwendende SSL- bzw. TLS-Version an. Standardmäßig wird mit TLS Version 1.0 das neuere Protokoll verwendet.
|
|
Zertifikatskette abrufen und validieren
|
Gibt an, ob die für die Hostauthentifizierung gesendeten Zertifikate geprüft werden, um festzustellen, ob sie gültig sind und von einer vertrauenswürdigen Zertifizierungsstelle signiert wurden.
Vorsicht: Wenn Sie diese Einstellung deaktivieren, entsteht ein Sicherheitsrisiko, weil die Hostauthentifizierung mit nicht geprüften Zertifikaten ermöglicht wird.
Hinweis: Die Zertifikatvalidierung ist erforderlich, wenn die SSL/TLS-Version auf TLS Version 1.0 (das neuere Protokoll und die Standardeinstellung) gesetzt ist. Um diese Einstellung zu deaktivieren (wodurch die Zertifikatvalidierung deaktiviert wird), müssen Sie die SSL/TLS-Version auf SSL Version 3.0 setzen.
|
|
Implizite SSL/TLS-Verbindung
|
Standardmäßig stellt der FTP-Client SSL-/TLS-Verbindungen mit der expliziten Sicherheitseinstellung her. Um eine SSL-Verbindung herstellen zu können, muss der FTP-Client bei der expliziten Sicherheitseinstellung nach dem Verbindungsaufbau einen speziellen Befehl (AUTH TLS) an den FTP-Server ausgeben. Wenn der Server eine positive Antwort gibt, beginnt der Client mit der TLS-Abstimmung. Als FTP-Serveranschluss wird die Standardeinstellung (Anschluss 21) verwendet.
Wenn Sie die Option Implizite SSL/TLS-Verbindung aktivieren, verwendet der Reflection-FTP-Client die implizite Sicherheitseinstellung. Bei der impliziten Sicherheitseinstellung erfolgt der SSL-Verbindungsaufbau, sobald der FTP-Client eine Verbindung zum Server herstellt. Es wird vor der TLS-Verhandlung kein AUTH TLS-Befehl gesendet.
Standardmäßig verwendet der Reflection FTP-Client die Anschlussnummer 990 für implizite Verbindungen.
|
|
Über NAT-Server verbinden
|
Wählen Sie diese Einstellung, wenn Ihr FTP-Client Verbindungen über einen NAT-Server (Network Address Translation Server) herstellt. Wenn Sie dieses Kontrollkästchen aktivieren, ignoriert der FTP-Client IP-Adressen in FTP-Befehlen, die vom Server zurückgegeben werden.
|
|
Im FIPS-Modus ausführen
|
Wenn Sie den FIPS-Modus aktivieren, werden alle Verbindungen mit Sicherheitsprotokollen und Algorithmen aufgebaut, die den FIPS-140-2-Standard erfüllen. In diesem Modus sind einige Standardverbindungsoptionen nicht verfügbar. Wenn eine Verbindung im FIPS-Modus hergestellt wurde, ist ein entsprechendes Symbol in der Statusleiste sichtbar.
Hinweis: Durch Auswählen von Im FIPS-Modus ausführen in der Registerkarte SSL/TLS wird der FIPS-Modus nur für die Verbindung erzwungen, die gerade konfiguriert wird. Administratoren können mithilfe von Reflection-Gruppenrichtlinien den FIPS-Modus für alle Reflection-Verbindungen erzwingen.
|
Einstellungen des Reflection-Sicherheitsproxyservers
Wenn die Option Reflection-Sicherheitsproxy verwenden aktiviert ist, stellt Reflection Hostverbindungen über den Sicherheitsproxy von Reflection for the Web her. Mithilfe dieses Proxys können Sie auch dann sichere Verbindungen konfigurieren, wenn auf dem Host kein SSL/TLS-fähiger Telnet-Server ausgeführt wird. Damit solche Verbindungen unterstützt werden, müssen Sie den Proxy-Server installieren und konfigurieren und auf allen Workstations, die Verbindungen über den Server herstellen, Serverzertifikate zur Verfügung stellen. Mit der Option Sicherheitsproxy können Sie angeben, auf welchem Host der Sicherheitsproxy von Reflection for the Web ausgeführt wird. Verwenden Sie die Option Proxyanschluss, um den Anschluss für den Reflection-Proxy-Server festzulegen.
Hinweise
- Bei Verwendung des Sicherheitsproxys wird zwar die Verbindung zwischen dem Client und dem Proxy-Server mithilfe des SSL/TLS-Protokolls geschützt und verschlüsselt, aber nicht die Informationen, die zwischen dem Proxy-Server und dem Ziel ausgetauscht werden.
- Wenn Sie Sitzungen konfigurieren, die bei aktivierter Autorisierung eine Verbindung über den Proxy-Server von Reflection for the Web herstellen, müssen sich die Benutzer zunächst am Reflection for the Web-Server anmelden, bevor eine Verbindung über diese Sitzungen hergestellt werden kann.
|