Scheda SSL/TLS (Opzioni FTP)

Il protocollo SSL (Secure Sockets Layer) e il suo successore compatibile TLS (Transport Layer Security) consentono a un client e a un server di stabilire una connessione protetta e crittografata su una rete pubblica. Quando si effettua una connessione mediante SSL/TLS, il client autentica il server prima di stabilire una connessione e tutti i dati trasmessi tra il client e il server vengono crittografati. In base alla configurazione del server, il server puà anche autenticare il client.

Le opzioni disponibili sono:

Utilizza protezione SSL/TLS

Attiva connessioni SSL/TLS. È necessario selezionare questa funzione prima di impostare altri valori nella scheda SSL/TLS. Quando è selezionata l'opzione Utilizza protezione SSL/TLS, il Client FTP si connetterà all'host soltanto se è possibile stabilire una connessione SSL/TLS protetta.

Il Client FTP deve autenticare l'host prima di stabilire una connessione SSL/TLS. L'autenticazione viene gestita con l'utilizzo di certificati digitali. Questi certificati fanno parte della stessa Public Key Infrastructure (PKI) utilizzata per proteggere le transazioni Internet. Il computer in uso deve essere configurato in modo da riconoscere il certificato digitale presentato dall'host e, se necessario, fornire un certificato per l'autenticazione del client. Se il computer in uso non è configurato in modo adeguato o se i certificati presentati per l'autenticazione non sono validi, non sarà possibile effettuare connessioni SSL/TLS. In base alla modalità di emissione di un certificato dell'host, potrebbe essere necessario installare un certificato sul computer locale.

Configura PKI

Apre la finestra di dialogo Configurazione PKI che può essere utilizzata per configurare le impostazioni PKI per le sessioni SSL/TLS del Client FTP.

Livello di crittografia

Specificare il livello di crittografia desiderato per le connessioni SSL/TLS. La connessione non verrà stabilita se non è possibile fornire questo livello.

Selezionando Predefinito, viene consentito qualsiasi livello di crittografia e il Client FTP negozierà con il sistema host la scelta del livello di crittografia più elevato supportato sia dall'host che dal client. Se è attiva la modalità FIPS e si seleziona Predefinito, Reflection negozierà soltanto mediante livelli di crittografia compatibili con FIPS.

NOTA:Il livello di crittografia effettivo della connessione stabilita potrebbe non corrispondere al valore selezionato qui. Ad esempio, la crittografia 168 bit utilizza la suite di cifratura 3DES, che utilizza una lunghezza chiave 168 bit, ma fornisce una protezione effettiva di soli 112 bit.

Crittografia flusso dati

Specifica se i dati sono crittografati o meno quando il client FTP è configurato per utilizzare la crittografia SSL/TLS. Quando è selezionata questa casella di controllo, tutte le comunicazioni tra il computer in uso e il server FTP sono crittografate. Quando questa casella di controllo non è spuntata, viene crittografato il canale dei comandi FTP (utilizzato per tutti i comandi FTP, compreso il nome utente e la password). Tuttavia, il canale dei dati (utilizzato per elenchi delle directory e i contenuti dei file da trasferire) non è crittografato.

Cancella canale di comando

Quando è attiva il Client FTP Client invia un comando CCC all'host. Se l'host supporta questa opzione, la crittografia viene disattivata solo per il canale dei comandi.

Versione SSL/TLS

Specifica quale versione SSL o TLS utilizzare.

Recupera e convalida la catena di certificati

Consente di specificare se i certificati presentati per l'autenticazione dell'host devono essere controllati per stabilire se sono validi e firmati da una CA attendibile. Nota: La convalida del certificato è necessaria quando la versione SSL/TLS è impostata a TLS Versione 1.0 (o TLS Versione 1.2). Per deselezionare questa impostazione (che disattiva la convalida del certificato) è necessario la versione SSL/TLS a SSL Versione 3.0.

ATTENZIONE:Deselezionando questa impostazione si crea un rischio per la sicurezza permettendo l'autenticazione dell'host con certificati non convalidati.

Connessione SSL/TLS implicita

Come impostazione predefinita, il client FTP effettua connessioni SSL/TLS mediante la protezione esplicita. Per stabilire la connessione SSL, la protezione esplicita richiede che il client FTP rilasci un comando specifico (AUTH TLS) al server FTP dopo aver stabilito una connessione. Se il server dà una risposta positiva, il client inizia la negoziazione TLS. Viene utilizzata la porta predefinita del server FTP (21).

Quando si seleziona Connessione SSL/TLS implicita, il client FTP utilizza la protezione implicita. La protezione implicita inizia automaticamente con una connessione SSL non appena il client FTP si connette al server; non viene inviato alcun comando AUTH TLS prima della negoziazione TLS.

Per impostazione predefinita, il client FTP utilizza la porta 990 per le connessioni implicite.

Connetti tramite server NAT

Attiva l'autenticazione di Kerberos. È necessario selezionare questa casella di controllo prima di impostare altri elementi. Quando questa impostazione è selezionata, il Client FTP ignora gli indirizzi IP nei comandi FTP forniti dal server.

Esegui in modalità FIPS

Quando viene utilizzata la modalità FIPS, tutte le connessioni vengono stabilite con i protocolli e gli algoritmi di protezione conformi agli standard FIPS 140-2. In questa modalità alcune opzioni di connessione standard non sono disponibili. Quando una connessione viene effettuata utilizzando la modalità FIPS, sulla barra di stato è visibile un'icona della modalità FIP.

NOTA:Se si seleziona Esegui in modalità FIPS nella scheda SSL/TLS, questa modalità viene applicata solo alla connessione che si sta configurando. Gli amministratori possono utilizzare i criteri di gruppo per applicare la modalità FIPS a tutte le connessioni.

Impostazioni del server proxy di protezione

Utilizza proxy di protezione Reflection e impostazioni correlate sono visibili se si utilizza Management e Security Server (disponibile separatamente da Micro Focus) per gestire sessioni e la sessione è stata avviata dalla Webstation di amministrazione. Con queste opzioni la sessione si connette all'host tramite il proxy di protezione incluso con Management e Security Server. È possibile utilizzare questo proxy per configurare connessioni protette anche se l'host non esegue un server Telnet abilitato per SSL/TLS.

NOTA:

  • Quando viene utilizzato il proxy di protezione, la connessione tra client e proxy di protezione è garantita e crittografata mediante il protocollo SSL/TLS. Come impostazione predefinita, le informazioni inviate tra il server proxy e la destinazione non sono crittografate. Se viene attivata l'opzione Crittografia end-to-end (disponibile per sessioni 5250, 3270, e VT), le informazioni inviate tra il proxy di protezione e l'host di destinazione sono anche crittografate. (La Crittografia end-to-end richiede che l'host supporti SSL/TLS.)

  • Se si configurano sessioni che si connettono attraverso un proxy di protezione con l'autorizzazione attivata, gli utenti devono accedere al Management e Security Server prima di potersi connettere mediante queste sessioni.

I passaggi dipendono dalla

Configurare questa sessione per utilizzare il Proxy di Protezione per la connessione al server.

Proxy di protezione

Selezionare il nome del proxy server dall’elenco a discesa che visualizza tutti i server disponibili.

Passaggi

Selezionare la porta del server proxy dall'elenco a discesa.

Non è possibile eliminare l'ultima voce di questo elenco.

I ticket di concessione ticket (TGT) sono rinnovabili per il periodo di tempo specificato. Se l'autorizzazione client non è attivata questa casella è di sola lettura.

Quando si seleziona una porta di protezione viene visualizzato automaticamente l'host di destinazione configurato ad utilizzare quella porta.

Porta di destinazione

I ticket di concessione ticket (TGT) sono rinnovabili per il periodo di tempo specificato. Se l'autorizzazione client non è attivata questa casella è di sola lettura.

Quando si seleziona una porta di protezione vengono visualizzati automaticamente la porta di destinazione e l'host di destinazione.

Crittografia end-to-end

Questa opzione inoltra la connessione diretta SSL/TLS tramite tunnel all'host, mentre rimane connesso tramite il Server Proxy di Protezione. Queste connessioni richiedono due certificati e due handshaking SSL/TLS: uno per il client/connessione server proxy e un'altro per la connessione client/host.

Suite proxy cifratura.

Un elenco di suite di cifratura di sola lettura supportato dall'host e dalla porta proxy. Questa lista è visibile soltanto quando il prodotto viene attivato dalla Webstation di amministrazione (inclusa con Management e Security Server).