Implicazioni sulla sicurezza di non riutilizzare la sessione SSL in FTPS

7

Ho appena avuto un problema con il nostro server FTPS che rifiuta le connessioni a causa del mancato riutilizzo della sessione SSL. Il nostro cliente dovrebbe in realtà riutilizzarli, ma semplicemente non funziona. Sono consapevole che non va bene per le prestazioni, ma con attualmente decine di connessioni all'ora, ha una priorità molto bassa.

Quindi l'ho risolto configurando ProFTPd usando

TLSOptions NoSessionReuseRequired

Mi chiedo, ci sono implicazioni sulla sicurezza?

    
posta maaartinus 07.04.2018 - 05:11
fonte

1 risposta

9

Esistono potenziali problemi con la disattivazione della ripresa della sessione per PASV in modalità FTP. Questi problemi vengono risolti dalla ripresa della sessione in quanto consente al server di sapere che la parte che ha avviato la connessione è la stessa che sta trasmettendo dati (come la modalità PASV utilizza più porte).

In generale, tuttavia, non vi sono implicazioni sulla sicurezza per la disattivazione della ripresa della sessione, sebbene aumenti il carico sul server se deve eseguire un handshake TLS completo per ogni connessione, specialmente se ci sono molte connessioni. Il suo unico scopo è ridurre la latenza della connessione.

Esistono due tipi di ripresa della sessione:

  1. Identificativi di sessione sono la tecnica originale per implementare la ripresa della sessione. Questi identificatori sono valori unici che un server assegna a ciascun cliente. Il server memorizzerà le informazioni sulla sessione accanto all'identificativo della sessione. Quando il client si connette una seconda volta, presenta al server l'ID di sessione e il server riprende la sessione.

  2. ticket di sessione sono un blob crittografato di dati contenenti informazioni sulla sessione che il server dà ai clienti. I client memorizzeranno questo ticket nella cache e lo invieranno al server la prossima volta che si connetterà. Il server ora deve solo memorizzare la chiave per decodificare il ticket. Questo è simile a un ID di sessione, ma piuttosto che al server che memorizza ciascuna sessione per client, il server scarica questo spazio di archiviazione sul client. Questa è la forma più comune di ripresa della sessione.

TLS 1.3 aggiungerà inoltre un nuovo tipo di ripresa della sessione, chiamato 0- RTT .

    
risposta data 07.04.2018 - 05:36
fonte

Leggi altre domande sui tag