FTPS e FileZilla Server: come accettare connessioni FTP sicure

Nel corso de "La Grande Guida a FileZilla Server" abbiamo predisposto il server FTP. I client possono così connettersi, caricare e scaricare file secondo i privilegi stabiliti. Ma c'è un problema: sia le credenziali di autenticazione (username+password) sia i dati scambiati viaggiano "in chiaro". Di conseguenza, un aggressore che riuscisse ad intercettare i pacchetti in transito potrebbe facilmente leggere tutto, con ripercussioni critiche in caso avesse intenzioni ostili. Fortunatamente, FileZilla Server permette di attivare la crittografia (protocollo "FTPS"), grazie alla quale i dati scambiati sono al sicuro da occhi indiscreti

Nota: questo articolo fa parte de "La Grande Guida a FileZilla Server".

Abilitare la crittografia con FileZilla Server

Per raggiungere lo scopo, aprite l'interfaccia di gestione del server FTP dall'Area di notifica (quella in basso a destra, vicino all'orologio). Cliccate sul terzo pulsante nella barra degli strumenti per accedere alle opzioni, portatevi al ramo SSL/TLS settings ed abilitate la casella di controllo Enable FTP over SSL/TLS support (FTPS).

Verificate poi che Allow explicit FTP over TLS sia attivato (significa: qualsiasi client opportunamente configurato può utilizzare la crittografia), ma che Disallow plain unencrypted FTP sia disattivato (significa: sarà comunque ancora possibile per i client lavorare con il protocollo FTP "standard", senza crittografia).

Subito sotto, abilitate Force PROT P to encrypt file transfers in SSL/TLS mode in modo da crittografare anche tutti i dati scambiati e non solo le informazioni di autenticazione e controllo

Generare il certificato

Cliccate sul pulsante Generate new certificate.. per accedere alla schermata che consente di generare il certificato SSL/TLS impiegato per crittografare la comunicazione. Da qui, scegliete 2048 bit come robustezza della chiave (1024 bit non sono più sufficienti), quindi compilate i campi richiesti (informazioni di fantasia vanno benissimo, se lo preferite)

Premete poi Browse... (in basso a destra) per sfogliare il disco e scegliere il percorso nel quale salvare il certificato. Vi raccomando di posizionarlo temporaneamente sul desktop, assegnandogli un nome ben riconoscibile come mio_certificato_ssl.

Completate l'operazione cliccando Generate certificate.

Spostare il certificato

Prendete il certificato dal desktop e spostalo nella stessa cartella nella quale avete installato FileZilla Server (probabilmente C:\Program Files (x86)\FileZilla Server), confermando eventuali avvisi di sicurezza

"Caricare" il certificato

Tornati alla finestra di dialogo con le opzioni di FileZilla Server, usate i due pulsanti Browse.... per selezionare il certificato appena spostato. Fate attenzione! Dovete selezionare lo stesso file due volte, uno per il campo Private key file e l'altra per Certificate file

Lasciate vuoto il campo Key password e premete OK per rendere effettiva la configurazione.

Testare il servizio

A questo punto non vi resta altro da fare se non provare a connettervi in modo sicuro. La procedura è stata dettagliata al paragrafo Collegarsi con la crittografia dell'articolo "Client FTP (FileZilla), guida rapida - caricare e scaricare file da un server FTP remoto"

Forzare la crittografia per alcuni account

Se desiderate avere la certezza che taluni account possano connettersi solamente in modo sicuro (penso, ad esempio, a quelli che accedono a file particolarmente riservati), potete disabilitare la connessione via FTP non-sicuro in maniera puntuale.

Dall'interfaccia di gestione del server FTP, cliccate sul quarto pulsante nella barra degli strumenti per accedere alla schermata di gestione degli utenti. Selezionate l'account per il quale volete la massima sicurezza e attivate l'opzione Force SSL for user login, quindi confermate

Provando ora a connettersi via FTP non-sicuro, verrà restituito un messaggio d'errore: 503 SSL required