Onglet SSL/TLS (options FTP)

Accès rapide (Client FTP)

Le protocole SSL (Secure Sockets Layer) et son successeur compatible, le protocole TLS (Transport Layer Security), permettent à un client et à un serveur d'établir une connexion chiffrée sécurisée sur un réseau public. Lorsque vous établissez une connexion à l'aide du protocole SSL/TLS, le client authentifie le serveur avant de se connecter. Ainsi, toutes les données échangées entre Reflection et le serveur sont chiffrées. Selon la configuration du serveur, ce dernier peut également authentifier le client.

Les options suivantes sont disponibles :

 

Utiliser la sécurité SSL/TLS

Active les connexions SSL/TLS. Vous devez sélectionner cette option pour pouvoir définir d'autres valeurs dans l'onglet SSL/TLS. Lorsque la case Utiliser la sécurité SSL/TLS est sélectionnée, Reflection se connecte uniquement à l'hôte si une connexion SSL/TLS sécurisée peut être établie.

Reflection doit authentifier l'hôte avant toute connexion SSL/TLS. L'authentification s'effectue au moyen de certificats numériques. Ces certificats font partie de la même infrastructure de clés publiques (PKI) que celle utilisée pour la sécurisation des transactions par Internet. Votre ordinateur doit être configuré pour reconnaître le certificat numérique présenté par votre hôte et pour fournir, si nécessaire, un certificat pour l'authentification client. Si votre ordinateur n'est pas correctement configuré ou si les certificats présentés pour l'authentification ne sont pas valides, vous ne pourrez pas établir de connexions SSL/TLS. Selon la manière dont le certificat de l'hôte a été émis, vous devrez éventuellement installer un certificat sur votre ordinateur local.

 

Configuration de l'infrastructure de clés publiques

Ouvre la boîte de dialogue Configuration de l'infrastructure de clés publiques, qui permet de configurer les paramètres de l'infrastructure de clés publiques pour les sessions SSL/TLS de Reflection.

 

Puissance de chiffrement

Spécifiez le niveau de chiffrement souhaité pour les connexions SSL/TLS. La connexion échoue si ce niveau de chiffrement ne peut pas être assuré.

Si vous sélectionnez Par défaut, tout niveau de chiffrement est permis et Reflection détermine conjointement avec le système hôte le niveau de chiffrement le plus élevé pris en charge à la fois par l'hôte et par le client. Si le mode FIPS est en cours et si vous sélectionnez Par défaut, Reflection négocie uniquement des niveaux de chiffrement conformes aux normes FIPS.

 

Chiffrer le flux de données

Indique si les données doivent être chiffrées ou non lorsque le client FTP est configuré de façon à utiliser le chiffrement SSL/TLS. Lorsque cette case est cochée, toutes les communications entre votre ordinateur et le serveur FTP sont chiffrées. Lorsqu'elle n'est pas cochée, le canal de commande FTP (utilisé pour toutes les commandes FTP, y compris votre nom d'utilisateur et votre mot de passe) est chiffré. En revanche, le canal de données (utilisé pour les listes de répertoires et le contenu des fichiers que vous transférez) n'est pas chiffré.

 

Effacer le canal de commande

Lorsque cette option est activée, le Client FTP envoie une commande d'effacement du canal de commande à l'hôte. Si l'hôte prend en charge cette option, seul le chiffrement du canal de commande est désactivé.

 

Version SSL/TLS

Spécifie la version SSL ou TLS à utiliser. TLS version 1.0 est le protocole le plus récent et celui utilisé par défaut.

 

Extraire et valider la chaîne de certificat

Spécifie si les certificats présentés pour l'authentification hôte sont vérifiés afin de déterminer s'ils sont valides et signés par une autorité de certification approuvée. Remarque : La validation des certificats est requise lorsque la version de SSL/TLS est définie sur TLS version 1.0 (le protocole le plus récent et la valeur par défaut). Pour désélectionner ce paramètre (qui désactive la validation des certificats), vous devez définir la version de SSL/TLS sur SSL version 3.0.

Avertissement : En désélectionnant cette option, vous créez un risque de sécurité en autorisant l'authentification hôte avec des certificats non validés.

 

Connexion SSL/TLS implicite

Par défaut, le client FTP établit des connexions SSL/TLS au moyen de la sécurité explicite. Pour établir la connexion SSL, la sécurité explicite exige que le client FTP envoie une commande spécifique (AUTH TLS) au serveur FTP après avoir établi une connexion. Si le serveur répond correctement, le client commence la négociation TLS. Le port par défaut (21) du serveur FTP est utilisé.

Lorsque vous sélectionnez Connexion SSL/TLS implicite, le client FTP de Reflection utilise la sécurité implicite. La sécurité implicite commence automatiquement par une connexion SSL, dès que le client FTP se connecte au serveur. Aucune commande AUTH TLS n'est envoyée avant la négociation TLS.

Par défaut, le client FTP de Reflection utilise le port 990 pour les connexions implicites.

 

Connexion via un serveur NAT

Cochez cette case si votre client FTP se connecte via un serveur de traduction d'adresses de réseau (NAT, Network Address Translation). Dans ce cas, le client FTP ne tient pas compte des adresses IP incluses dans les commandes FTP retournées par le serveur.

 

Exécution en mode FIPS

Lorsque vous exécutez Reflection en mode FIPS, toutes les connexions sont établies à l'aide de protocoles et d'algorithmes de sécurité conformes aux normes FIPS 140-2. Certaines options de connexion standard ne sont pas disponibles dans ce mode. Si une connexion est effectuée en mode FIPS, une icône correspondant à ce dernier est visible dans la barre d'état.

Remarque : Si vous sélectionnez Exécution en mode FIPS dans l'onglet SSL/TLS, le mode FIPS n'est appliqué qu'à la connexion en cours de configuration. Les administrateurs peuvent utiliser des stratégies de groupe Reflection pour appliquer le mode FIPS à l'ensemble des connexions Reflection.

Paramètres du serveur proxy de sécurité de Reflection

L'option Utiliser le serveur proxy de sécurité de Reflection et les paramètres connexes sont visibles si vous utilisez Reflection Security Gateway (disponible séparément auprès d'Attachmate) pour gérer les sessions et que vous avez lancé cette session à partir de la station Web administrative. Avec ces options, Reflection se connecte à votre hôte via le proxy de sécurité Reflection fourni avec <prod_web>. Vous pouvez utiliser ce proxy de sécurité pour configurer des connexions sécurisées même si votre hôte n'exécute pas de serveur Telnet compatible SSL/TLS.

Remarques

  • Lorsque le proxy de sécurité est utilisé, la connexion entre le client et le serveur proxy de sécurité est sécurisée et chiffrée à l'aide du protocole SSL/TLS. Par défaut, les informations envoyées entre le serveur proxy et l'hôte de destination sont présentées en clair. Si vous activez l'option Chiffrement de bout en bout (disponible pour les sessions 5250, 3270 et VT), les informations envoyées entre le proxy de sécurité et l'hôte de destination sont également chiffrées. (L'option Chiffrement de bout en bout nécessite que l'hôte prenne en charge SSL/TLS.)
  • Si vous configurez des sessions dont la connexion s'effectue via le proxy de sécurité avec l'autorisation activée, les utilisateurs doivent ouvrir une session sur le serveur Reflection Security Gateway avant de pouvoir se connecter avec ces sessions.

 

 

Utilisation du proxy de sécurité Reflection

Configurez cette session afin qu'elle utilise le proxy de sécurité Reflection pour la connexion au serveur.

 

Proxy de sécurité

Sélectionnez le nom du serveur proxy dans la liste déroulante qui répertorie l'ensemble des serveurs disponibles.

 

Port proxy

Sélectionnez le port du serveur proxy dans la liste déroulante.

 

Hôte de destination

Si l'autorisation client est activée sur le proxy de sécurité, entrez le nom de l'hôte de destination. Si l'autorisation client n'est pas activée, cette case est en lecture seule.

Lorsque vous sélectionnez un port de sécurité, l'hôte de destination configuré de façon à utiliser ce port est affiché automatiquement.

 

Port de destination

Si l'autorisation client est activée sur le proxy de sécurité, entrez le nom de l'hôte de destination. Si l'autorisation client n'est pas activée, cette case est en lecture seule.

Lorsque vous sélectionnez un port de sécurité, le port et l'hôte de destination sont affichés automatiquement.

 

Chiffrement de bout en bout

Cette option établit une connexion SSL/TLS directe à l'hôte par le biais de tunnels tout en utilisant également le serveur proxy de sécurité de Reflection. Ces connexions nécessitent deux certificats et deux négociations SSL/TLS : l'une pour la connexion client/serveur proxy et l'autre pour la connexion client/hôte.

 

Suites de chiffrement proxy

Liste en lecture seule des suites de chiffrement prises en charge par cet hôte et ce port proxy de Reflection. Cette liste n'est visible qu'au lancement du produit à partir de la station Web administrative (fournie avec Reflection Security Gateway).

Autres rubriques

Quels protocoles utiliser ?

Certificats numériques pour les sessions SSL/TLS