Mostra Sommario / Indice / Ricerca

Scheda SSL/TLS (Opzioni FTP)

Percorso (Client FTP)

Il protocollo SSL (Secure Sockets Layer) e il suo successore compatibile TLS (Transport Layer Security) consentono a un client e a un server di stabilire una connessione protetta e crittografata su una rete pubblica. Quando si effettua una connessione utilizzando SSL/TLS, il client autentica il server prima di effettuare la connessione e tutti i dati che passano fra Reflection e il server sono crittografati. In base alla configurazione del server, il server può anche autenticare il client.

Le opzioni disponibili sono:

 

Utilizza protezione SSL/TLS

Attiva connessioni SSL/TLS. È necessario selezionare questa funzione prima di impostare altri valori nella scheda SSL/TLS. Quando è selezionata l'opzione Utilizza protezione SSL/TLS, Reflection si connetterà all'host soltanto se è possibile stabilire una connessione SSL/TLS protetta.

Reflection deve autenticare l'host prima di stabilire una connessione SSL/TLS. L'autenticazione viene gestita con l'utilizzo di certificati digitali. Questi certificati fanno parte della stessa infrastruttura PKI (Public Key Infrastructure) utilizzata per proteggere le transazioni Internet. Il computer in uso deve essere configurato per riconoscere il certificato digitale presentato dall'host e, se necessario, fornire un certificato per l'autenticazione del client. Se il computer in uso non è configurato in modo adeguato, o se i certificati presentati per l'autenticazione non sono validi, non sarà possibile effettuare connessioni SSL/TLS. In base alla modalità di emissione di un certificato dell'host, potrebbe essere necessario installare un certificato sul computer locale.

 

Configura PKI

Apre la finestra di dialogo Configurazione PKI che può essere utilizzata per configurare le impostazioni PKI per le sessioni SSL/TLS di Reflection.

 

Livello di crittografia

Specificare il livello di crittografia desiderato per le connessioni SSL/TLS. La connessione non verrà stabilita se non è possibile fornire il livello specificato.

Selezionando Predefinito, viene consentito qualsiasi livello di crittografia e Reflection negozierà con il sistema host la scelta del livello di crittografia più elevato supportato sia dall'host che dal client. Se è attiva la modalità FIPS e si seleziona Predefinito, Reflection negozierà soltanto mediante livelli di crittografia compatibili con FIPS.

 

Crittografia flusso dati

Specifica se i dati sono crittografati o meno quando il client FTP è configurato per utilizzare la crittografia SSL/TLS. Quando è selezionata questa casella di controllo, tutte le comunicazioni tra il computer in uso e il server FTP sono crittografate. Quando questa casella di controllo non è spuntata, viene crittografato il canale dei comandi FTP (utilizzato per tutti i comandi FTP, compreso il nome utente e la password). Tuttavia, il canale dei dati (utilizzato per elenchi delle directory e i contenuti dei file da trasferire) non è crittografato.

 

Cancella canale di comando

Quando è attiva, Client FTP invia un comando CCC all'host. Se l'host supporta questa opzione, la crittografia viene disattivata solo per il canale dei comandi.

 

Versione SSL/TLS

Specifica quale versione SSL o TLS utilizzare. TLS Versione 1.0 è il protocollo più recente e viene utilizzato come impostazione predefinita.

 

Recupera e convalida la catena di certificati

Consente di specificare se i certificati presentati per l'autenticazione dell'host devono essere controllati per stabilire se sono validi e firmati da una CA attendibile.

Attenzione: Deselezionando questa impostazione si crea un rischio per la sicurezza permettendo l'autenticazione dell'host con certificati non convalidati.

 

Nota: La convalida del certificato è necessaria quando la versione SSL/TLS è impostata a TLS Versione 1.0 (protocollo più recente e impostazione predefinita). Per deselezionare questa impostazione (che disattiva la convalida del certificato) è necessario la versione SSL/TLS a SSL Versione 3.0.

 

Connessione SSL/TLS implicita

Come impostazione predefinita, il client FTP effettua connessioni SSL/TLS mediante la protezione esplicita. Per stabilire la connessione SSL, la protezione esplicita richiede che il client FTP rilasci un comando specifico (AUTH TLS) al server FTP dopo aver stabilito una connessione. Se il server dà una risposta positiva, il client inizia la negoziazione TLS. Viene utilizzata la porta predefinita del server FTP (21).

Quando si seleziona Connessione SSL/TLS implicita, il client FTP di Reflection utilizza la protezione implicita. La protezione implicita inizia automaticamente con una connessione SSL non appena il client FTP si connette al server; non viene inviato alcun comando AUTH TLS prima della negoziazione TLS.

Per impostazione predefinita, il client FTP di Reflection utilizza la porta 990 per le connessioni implicite.

 

Connetti tramite server NAT

Selezionare questa impostazione se il Client FTP effettua la connessione tramite NAT (Network Address Translation). Quando questa impostazione è selezionata, il Client FTP ignora gli indirizzi IP nei comandi FTP forniti dal server.

 

Esegui in modalità FIPS

Quando viene utilizzata la modalità FIPS, tutte le connessioni vengono stabilite con i protocolli e gli algoritmi di protezione conformi agli standard FIPS 140-2. In questa modalità alcune opzioni di connessione standard non sono disponibili. Quando una connessione viene effettuata utilizzando la modalità FIPS, sulla barra di stato è visibile un'icona della modalità FIP.

Nota: Se si seleziona Esegui in modalità FIPS nella scheda SSL/TLS, questa modalità viene applicata solo alla connessione che si sta configurando. Gli amministratori possono utilizzare i criteri di gruppo per Reflection per applicare la modalità FIPS a tutte le sessioni di Reflection.

Impostazioni del server proxy di protezione Reflection

Quando è attivata l'opzione Utilizza proxy di protezione Reflection, Reflection si connette all'host attraverso il proxy di protezione Reflection for the Web. È possibile utilizzare questo proxy per configurare connessioni protette anche se l'host non esegue un server Telnet abilitato per SSL/TLS. Per supportare tali connessioni, è necessario installare e configurare il server proxy e dotare di un certificato server tutte le workstation che si connetteranno attraverso il server. Utilizzare Proxy di protezione per specificare l'host che esegue il proxy di protezione di Reflection for the Web. Utilizzare Porta proxy per specificare la porta su cui il server proxy di Reflection è in ascolto.

Note:

  • Quando viene utilizzato il proxy di protezione, la connessione tra il client e il server proxy è garantita e crittografata mediante il protocollo SSL/TLS, ma le informazioni inviate tra il server proxy e la destinazione non sono crittografate.
  • Se si configurano sessioni che si connettono attraverso un server proxy di Reflection for the Web con l'autorizzazione attivata, gli utenti devono accedere al server di Reflection for the Web prima di potersi connettere mediante queste sessioni.

Argomenti correlati

Protocolli utilizzabili

Certificati digitali nelle sessioni SSL/TLS