FTPS is best handig: Gegevens worden versleuteld verstuurd, en dat is uiteraard wel wat veiliger dan wanneer je gewoon FTP gebruikt. Dat wil je natuurlijk ook. Zelf gebruik ik FileZilla Server, wat in het netwerk staat. Het netwerk is afgegrendeld dmv ForeFront Thread Management Gateway 2010. En hoewel het officieel niet ondersteund wordt, kun je toch versleuteling gebruiken. Dat doe je op de volgende manier:

Op de ForeFront server moet je een nieuw protocol maken. 

New->Protocol-> Tik een naam in.

Bij port ranges gebruik ik de volgende waardes:

12340-12349, TCP, Inbound
21, TCP, Inbound
990, TCP, inbound
Er hoeven geen applicationfilters gezet te worden.

Dan maak je een nieuwe firewall policy, waarin je het externe verkeer (ik heb het ingesteld als voor het External, Internal en Local Host netwerken) door laat sturen naar de machine waar Filezilla op staat, uiteraard met het zojuist aangemaakte protocol.

Op de filezilla server ga je naar edit->settings, en klik je op de "Passive Mode Settings". Klik "Use Custom Port Range" aan, en kies dezelfde range die je net hebt ingesteld (dus 12340-12349)

Bij IPv4 specific zet je bij "Use the following IP" het externe IPadres van het netwerk aan (of een hostnaam, dat mag ook). Ik heb Don't use external IP for local connections aan staan, maar dat mag ook uit, als dat beter voor werkt voor je.

Daarna ga je naar de SSL/TLS settings (ook via edit->Settings) en vink je "Enable FTP over SSL/TLS support (FTPS) aan. Als je een certificaat hebt kun je die inlezen bij "Private Key File", "Certification file" en moet je uiteraard ook je wachtwoord invoeren die bij de keyfile hoort. Heb je geen certificaat, kun je die aanmaken via "Generate new certificate"

Allow Explicit FTP over TLS zet je aan, waarna je "Disallow plain unencrypted FTP" uit zet - anders heeft de beveiliging ook geen nut (alhoewel, je kunt natuurlijk ook specifieke accounts alleen laten aanmelden via FTPS, en andere accounts via FTP)

Het vinkje "Force PROT P to encrypte file transfers in SSL/TLS mode" zet je aan

Bij "Listen for implicit SSL/TLS connections on the following ports (default: 990)" vul je 990 in. 

Na een klik op de OK knop is FTPS ingeschakeld, en is het te bereiken via de Forefront TMG2010 server.

 

Testen kan via de Filezilla client, door een verbinding te maken naar ftps://adres