2016年01月30日
川俣晶の縁側ソフトウェア技術雑記total 4810 count

IISサーバにWinSCPとFTPSでファイル転送する場合の罠

Written By: 川俣 晶連絡先

問題 §

 Azure上のVMにWindowsサーバが存在する。

 このサーバにセキュアなftp転送を設定した。

 しかし、クライアント上のWinSCPからFTPSで接続できない。

前提知識 §

  • SFTPとFTPSは別物である。IISがサポートするのはFTPS (紛らわしいが間違えると接続できない)
  • FTPSには証明書が必要だが、AzureのVMには標準で提供されているので新規に作らなくても良い
  • FTPSにはImplicitモード(最初から全て暗号化されている)とExplicitモード(通信開始後にコマンドで暗号化を指定する)が存在する。IISがサポートするのはExplicitモード

解決・IIS側 §

  • ネットを調べると、FTPSのWellknownポートは990と書いてあるが、IISのftpサーバはそのポート番号では接続できない。そもそも、FTPSのポート番号を指定する項目が存在しない。ftpで設定したポート番号で接続したあと、コマンドで暗号化通信を開始するから。デフォルトではポート21をftpと共用する。

解決・WinSCP側 §

  1. セキュア通信する場合であっても、使用するプロトコルにはftpを選ぶ (SFTPは選ばない)
  2. 暗号化は、【明示的なTLS/SSL暗号化】を選び、【暗黙的なTLS/SSL暗号化】は選ばない (前者はExplicitモード、後者はImplicitモードを示すらしいが翻訳が良くなく、分かりにくい)
  3. ポート番号は990ではなく21 (IISが開いて待っているポートは21)

感想 §

「みんな使ってるIISとWinSCPなら安全パイなのだろうと思いきや、そうでもなかった。凄く下らないところで引っかかった」

「分かりにくかったポイントはどこ?」

「証明書まわりかと思いきや、そこはどうでも良かった。問題の1つは、IIS側にFTPSで待っているポート番号の設定がどこにもないこと。問題のもう1つはWinSCP側の【明示的/暗黙的】の用語の意味が分かりにくかったことだ」

「一時は途方に暮れたわけだね」

「しかし、IISはExplicitモードで、Explicitモードはコマンドで暗号化を開始するという情報を得て、やっと分かった。つまり、接続を開始する時点ではftpもFTPSも無いわけで、FTPS固有のポート番号を指定する項目は無くて当たり前だった」

「つまり、Wellknownポートは990という情報そのものが今回は邪魔だったわけだね」

「それはImplicitモードでのみ使うポート番号で、今回は関係なかった」

「もう1つは用語の翻訳だね」

「WinSCPを入れる際、言語に日本語を選ばなければ良かった。今では後悔している。インチキ翻訳はMS製品に限定されることはなく、どこの会社の製品でも、無料のソフトでも、OSSでも存在する」

Facebook

キーワード【 川俣晶の縁側ソフトウェア技術雑記
【技術雑記】の次のコンテンツ
2016年
02月
05日
有線接続はもう古い、これからは無線の時代……は正しいか?
3days 0 count
total 1238 count
【技術雑記】の前のコンテンツ
2016年
01月
28日
AzureのVMでftpサーバーを作成する方法
3days 0 count
total 1837 count
2016年01月30日
川俣晶の縁側ソフトウェア技術雑記total 4810 count

IISサーバにWinSCPとFTPSでファイル転送する場合の罠

Written By: 川俣 晶連絡先

問題 §

 Azure上のVMにWindowsサーバが存在する。

 このサーバにセキュアなftp転送を設定した。

 しかし、クライアント上のWinSCPからFTPSで接続できない。

前提知識 §

  • SFTPとFTPSは別物である。IISがサポートするのはFTPS (紛らわしいが間違えると接続できない)
  • FTPSには証明書が必要だが、AzureのVMには標準で提供されているので新規に作らなくても良い
  • FTPSにはImplicitモード(最初から全て暗号化されている)とExplicitモード(通信開始後にコマンドで暗号化を指定する)が存在する。IISがサポートするのはExplicitモード

解決・IIS側 §

  • ネットを調べると、FTPSのWellknownポートは990と書いてあるが、IISのftpサーバはそのポート番号では接続できない。そもそも、FTPSのポート番号を指定する項目が存在しない。ftpで設定したポート番号で接続したあと、コマンドで暗号化通信を開始するから。デフォルトではポート21をftpと共用する。

解決・WinSCP側 §

  1. セキュア通信する場合であっても、使用するプロトコルにはftpを選ぶ (SFTPは選ばない)
  2. 暗号化は、【明示的なTLS/SSL暗号化】を選び、【暗黙的なTLS/SSL暗号化】は選ばない (前者はExplicitモード、後者はImplicitモードを示すらしいが翻訳が良くなく、分かりにくい)
  3. ポート番号は990ではなく21 (IISが開いて待っているポートは21)

感想 §

「みんな使ってるIISとWinSCPなら安全パイなのだろうと思いきや、そうでもなかった。凄く下らないところで引っかかった」

「分かりにくかったポイントはどこ?」

「証明書まわりかと思いきや、そこはどうでも良かった。問題の1つは、IIS側にFTPSで待っているポート番号の設定がどこにもないこと。問題のもう1つはWinSCP側の【明示的/暗黙的】の用語の意味が分かりにくかったことだ」

「一時は途方に暮れたわけだね」

「しかし、IISはExplicitモードで、Explicitモードはコマンドで暗号化を開始するという情報を得て、やっと分かった。つまり、接続を開始する時点ではftpもFTPSも無いわけで、FTPS固有のポート番号を指定する項目は無くて当たり前だった」

「つまり、Wellknownポートは990という情報そのものが今回は邪魔だったわけだね」

「それはImplicitモードでのみ使うポート番号で、今回は関係なかった」

「もう1つは用語の翻訳だね」

「WinSCPを入れる際、言語に日本語を選ばなければ良かった。今では後悔している。インチキ翻訳はMS製品に限定されることはなく、どこの会社の製品でも、無料のソフトでも、OSSでも存在する」

Facebook

キーワード【 川俣晶の縁側ソフトウェア技術雑記
【技術雑記】の次のコンテンツ
2016年
02月
05日
有線接続はもう古い、これからは無線の時代……は正しいか?
3days 0 count
total 1238 count
【技術雑記】の前のコンテンツ
2016年
01月
28日
AzureのVMでftpサーバーを作成する方法
3days 0 count
total 1837 count
【技術雑記】のコンテンツ全リスト【技術雑記】の表紙

このコンテンツを書いた川俣 晶へメッセージを送る

[メッセージ送信フォームを利用する]

メッセージ送信フォームを利用することで、川俣 晶に対してメッセージを送ることができます。

この機能は、100%確実に川俣 晶へメッセージを伝達するものではなく、また、確実に川俣 晶よりの返事を得られるものではないことにご注意ください。

このコンテンツへトラックバックするためのURL

http://mag.autumn.org/tb.aspx/20160130154449
サイトの表紙【技術雑記】の表紙【技術雑記】のコンテンツ全リスト 【技術雑記】の入手全リスト 【技術雑記】のRSS1.0形式の情報このサイトの全キーワードリスト 印刷用ページ

管理者: 川俣 晶連絡先

Powered by MagSite2 Version 0.25 (Alpha-Test) Copyright (c) 2004-2017 Pie Dey.Co.,Ltd.