- PR -

FFFTP+WinSSLwrapにてFTPSを行いたい

1
投稿者投稿内容
masa
会議室デビュー日: 2007/09/28
投稿数: 4
投稿日時: 2007-09-28 15:15
初めましてmasaと申します、よろしくお願い致します。
早速ですが、本題に・・・。

【やりたいこと】
1項 FTPデーモンにProftpdを、FTPクライアントにFFFTPを使用して、FTP Over SSLを実装したい。
2項 proftpd.confにて設定するTLSRequiredはonにして、SSL/TLS使用していないクライアントは接続させない。

【環境】
サーバー側のFTPDeamonは「ProFTPD Ver.1.3.1rc3」、OSは、MiracleLinux4で、
クライアント側のFTPクライアントは。「FFFTP Ver1.92c」、OSはWin XPです。

調べてみました所、1項に関しては「WinSSLwrap」というソフトをインストールすることで、
実現可能らしいということが分かりましたので、
下記URL
http://document.secure.ne.jp/ftp/ftp_over_ssl/ftp_over_ssl05.php
を参考にさせて頂き、FFFTPの設定変更および接続を行った所、
以下のようになり接続できませんでした。

---------------------------------------
ホスト 127.0.0.1 (21) に接続しています.
接続しました.
220 WinSSLWrap FTP proxy server by HoE...
>USER masaftp@***.***.**.**
331- 220 FTP Server ready.
331- COMMAND >AUTH TLS
331- 234 AUTH TLS successful
331- COMMAND >USER masaftp
331- 331 Password required for masaftp
331 Password required...
>PASS [xxxxxx]
230- COMMAND > PASS <censored>
230- 230 User masaftp logged in
230 User logged in.
>>CD C:\\
>XPWD
530- COMMAND > PASS <censored>
530- 230 User masaftp logged in
530- COMMAND >PBSZ 0
530- 200 PBSZ 0 successful
530- COMMAND >PROT C
530- 534 Unwilling to accept security parameters
530 PROT command rejected...
>PWD
530 Not logged in.
>TYPE A
530 Not logged in.
ファイル一覧の取得に失敗しました.
---------------------------------------

ログを見た限りでは、TLS接続は出来ていると思われます。
XPWDにて、ディレクトリの位置がうまく取得できていないのでしょうか?

「WinSSLwrap」や「XPWD」にて検索をかけても、
似たような現象を見つけることは、現在、出来ておりません。


別クライアント【SmartFTP(FTPS Explicit方式)】においては、接続可能でした。


また、TLSRequiredをoffにして、FFFTPで接続してみたところ
以下のようになり、接続出来ました。

---------------------------------------
ホスト 127.0.0.1 (21) に接続しています.
接続しました.
220 WinSSLWrap FTP proxy server by HoE...
>USER masaftp@***.***.**.**
331- 220 FTP Server ready.
331- COMMAND >AUTH TLS
331- 234 AUTH TLS successful
331- COMMAND >USER masaftp
331- 331 Password required for masaftp
331 Password required...
>PASS [xxxxxx]
230- COMMAND > PASS <censored>
230- 230 User masaftp logged in
230 User logged in.
>>CD C:\\
>XPWD
257 "/" is the current directory
>TYPE A
200 Type set to A
>PASV
227 Entering Passive Mode (***,***,**,**,***,**).
ダウンロードのためにホスト ***.***.**.** に接続しています.
接続しました.
>LIST
150 Opening ASCII mode data connection for file list
226 Transfer complete
ファイル一覧の取得は正常終了しました. (1148 Bytes)
---------------------------------------

TLSRequiredをoffにしても、
FFFTPはTLSで接続しているはずなので、
onの時と同じような結果になるはずだと思ったのですが・・・、よく分かりません。

是非、ご意見よろしくお願いします。
shimix
ぬし
会議室デビュー日: 2004/08/05
投稿数: 512
お住まい・勤務地: 大分市
投稿日時: 2007-09-28 16:42
私の記憶違いでなければFFFTPはFTPS非対応だったと思います。最新版を落としてhistory.txtを読んでも記述が見当たらないので、非対応のままではないかと思いますが・・
masa
会議室デビュー日: 2007/09/28
投稿数: 4
投稿日時: 2007-09-28 18:17
shimixさん、ありがとう御座います。

引用:

shimixさんの書き込み (2007-09-28 16:42) より:
私の記憶違いでなければFFFTPはFTPS非対応だったと思います。最新版を落としてhistory.txtを読んでも記述が見当たらないので、非対応のままではないかと思いますが・・



確かに、おっしゃる様にFFFTP自体はFTPSに非対応ですが、
「WinWinSSLwrap」と同時起動することにより、TLS/SSL接続
が出来るらしいのです。

確かに、ログを見た限りではTLSにて接続出来ていると、
私的には思うのですが、その後の「XPWD」の部分で、
エラーが出ているようなので、困ってしまい、
今回、皆さんにご質問させて頂きました。

別のTLS対応のFTPクライアント(SmartFTPなど)
で、動いているのでいいのでは?

と、お思いになる方もいらっしゃると思うのですが、
【フリーソフトでは無い】
という所がネックとなっている部分です。


「こちら側のサーバーをTLS/SSLにしますので、
フリーのFFFTPは使用できなくなります。
なので、(料金が発生する)シェアウェアの
別のFTPクライアントを購入していただけますでしょうか。」

とデータを受け渡しする相手に言うのは、まず無理だろうと・・・。

これが、FFFTPにこだわっている理由です。

フリーでTLS/SSL対応をうたっているFTPクライアント
が、無いものかと別アプローチも掛けているのですが・・・。

[ メッセージ編集済み 編集者: masa 編集日時 2007-09-28 18:28 ]
トッポ
会議室デビュー日: 2004/05/28
投稿数: 16
投稿日時: 2007-09-28 19:10
こんにちは。

FFFTPにこだわっているわけではないということで FileZilla はいかがでしょうか?
masa
会議室デビュー日: 2007/09/28
投稿数: 4
投稿日時: 2007-09-28 20:08
トッポさん、ご返答ありがとう御座います。

引用:

トッポさんの書き込み (2007-09-28 19:10) より:
こんにちは。

FFFTPにこだわっているわけではないということで FileZilla はいかがでしょうか?



FileZillaですか〜、なるほど!
これならば、確かにフリーでTLS/SSLが使えそうですね。

ちょっと、FileZillaでやってみることに致します。

それにしてもなぜ、
・FFFTP+WinSSLWrapのTLS/SSL接続はTLSRequiredがonで出来なかったのか?
・TLSRequiredのon,offの違いによって、XPWDに弾かれてしまうのか?

といった疑問が残ってしまい若干気持ち悪いのですが、
時間も無いので、是非トッポさんのご意見を参考にさせていただきたいと思います。

どうもありがとう御座いました。また、よろしくお願いいたします。
shimix
ぬし
会議室デビュー日: 2004/08/05
投稿数: 512
お住まい・勤務地: 大分市
投稿日時: 2007-09-28 20:46
失礼。完全に斜め読みしてましたね(恥)。ProFTPDでFTPS・・1台あったハズなんで帰ったら試しておこう。
oyaji
会議室デビュー日: 2006/02/25
投稿数: 11
投稿日時: 2007-09-28 22:13
引用:

FileZillaですか〜、なるほど!
これならば、確かにフリーでTLS/SSLが使えそうですね。

ちょっと、FileZillaでやってみることに致します。



FileZillaなら問題なく動作します。

引用:

それにしてもなぜ、
・FFFTP+WinSSLWrapのTLS/SSL接続はTLSRequiredがonで出来なかったのか?
・TLSRequiredのon,offの違いによって、XPWDに弾かれてしまうのか?



理由は簡単で、WinSSLWrapがデータ・チャネルのTLS/SSL接続をサポートしていないからです。
「TLSRequired on」は両方のチャネルのTLS/SSL化を強制しますので、当然、LIST(XPWD)ではじかれてしまいます。
従って、WinSSLWrapでは転送データの暗号化はできませんが、それでもよければ「TLSRequired ctrl」としてあげれば、コントロール・チャネルのみTLS/SSL化を強制しますので、ユーザ名やパスワードは漏れる心配はありません。
「TLSRequired on」で両方のチャネルのTLS/SSL化を強制したければ、FileZillaのようなTLS/SSL対応のクライアントを使用するしかありません。

http://www.proftpd.org/docs/directives/linked/config_ref_TLSRequired.html
masa
会議室デビュー日: 2007/09/28
投稿数: 4
投稿日時: 2007-09-29 00:40
oyajiさん、ご返答ありがとう御座いました。

引用:


FileZillaなら問題なく動作します。




先程、FileZillaにてTLS/SSL接続が正常に動作いたしました。
よかったです。

引用:


理由は簡単で、WinSSLWrapがデータ・チャネルのTLS/SSL接続をサポートしていないからです。
「TLSRequired on」は両方のチャネルのTLS/SSL化を強制しますので、当然、LIST(XPWD)ではじかれてしまいます。
従って、WinSSLWrapでは転送データの暗号化はできませんが、それでもよければ「TLSRequired ctrl」としてあげれば、コントロール・チャネルのみTLS/SSL化を強制しますので、ユーザ名やパスワードは漏れる心配はありません。
「TLSRequired on」で両方のチャネルのTLS/SSL化を強制したければ、FileZillaのようなTLS/SSL対応のクライアントを使用するしかありません。




大変、分かりやすく丁寧なご説明をありがとう御座います。

そうだったのですか。
WinSSLWrapがコントロール・チャネルでしかTLS/SSL接続できないとは・・・。
ログを見た限りでは、参考サイトと同じように出来ていたので
TLS/SSL通信は、出来ていると思いこんでいました。
あくまで、TLS/SSLでサーバーに接続をしているだけだったということですか。

私自身、XPWD自体が何を行うコマンドなのか、あまりよく分かっていないので、
「ディレクトリの位置がうまく取れていないのでは」などと
適当なことを書いてしまいました。お恥ずかしい限りです。

oyajiさんのおっしゃるような「TLSRequired ctrl」とすると、
送信データ自体は平文で送られてしまうわけですよね?
う〜ん、これをしてしまうとFileZillaやSmartFTPのような
データ・チャネルでもTLS/SSL接続が可能なFTPクライアントにて、
サーバーに接続してきた場合でも接続時のみのTLS/SSLとなってしまい、
機能が活かしきれませんね・・・。

このあたりのことに関しては、もう少し調べたりしてから考えたいと思います。
安全性は落ちるがユーザ名やパスワードだけ暗号化されていればOKな気もしますし、
でも、やはり両チャネルともTLS/SSL接続で完全に暗号化するのが好ましい気もします。

なにはともあれ、oyajiさんには感謝です。
疑問が解けてすっきりしました。重ねましてお礼を申し上げます。

また別件にてお尋ねすることがあるかもしれませんが、
皆さん今後ともよろしくお願い致します。

[ メッセージ編集済み 編集者: masa 編集日時 2007-09-29 00:46 ]
1

スキルアップ/キャリアアップ(JOB@IT)