Verwenden Sie zur Konfiguration des SSH-Servers die Registerkarten „SSH“ und „SSH Ciphers“ (SSH-Verschlüsselungen) im Konfigurationsprogramm für MOVEit Transfer. Das Konfigurationsprogramm starten Sie über die Startmenüverknüpfung MOVEit Transfer Config.

Anmerkung: Benutzer-, Gruppen-, Ordnereinstellungen und dergleichen werden im Allgemeinen über die Webschnittstelle oder MOVEit Transfer-API verwaltet.

Server-Konfigurationsverlauf Der SSH-Server von MOVEit Transfer übernimmt Konfigurationsänderungen sofort. Die Änderungen werden übernommen, wenn das nächste Mal eine neue Verbindung hergestellt wird.

Ausnahme: Wenn der SSH-Port geändert wird, muss der MOVEit Transfer SSH-Dienst neu gestartet werden, damit diese Änderung wirksam wird.

Registerkarte SSH

Auf der Registerkarte „SSH“ im Konfigurationsdienstprogramm von MOVEit Transfer können Sie den SSH-Server anzeigen und konfigurieren, der auf dem aktuellen MOVEit Transfer-Serverhost ausgeführt wird.

Registerkarte „SSH“ (SSH-Standardversion)

Konfiguration von SSH

  • Server Key (Serverschlüssel): Der öffentliche Schlüssel für SSH-Sitzungen. Dieser Schlüssel wird intern erzeugt und das MD5-Hash des Schlüssels wird hier nur als Referenz angezeigt. Dieser Wert kann nicht bearbeitet werden. Verwenden Sie die Schaltfläche View (Anzeigen) neben dem MD5-Feld zur Anzeige und/oder zum Export des vollständigen öffentlichen SSH-Schlüssels.

    Klicken Sie zum Exportieren des öffentlichen MOVEit Transfer SSH-Schlüssels auf die Schaltfläche View (Anzeigen) auf der Registerkarte SSH des MOVEit Transfer-Konfigurationsprogramms. Im Dialogfeld wird der Schlüssel in zwei verschiedenen Formaten angezeigt. Wählen Sie den gesamten Text in dem Fenster aus, in dem das gewünschte Format, das Sie exportieren möchten, angezeigt wird, drücken Sie STRG+C, um den Text zu kopieren, und speichern Sie ihn dann in einer Textdatei.

    Anmerkung: Hinweis: Der MOVEit DMZ SSH-Serverschlüssel ändert sich nie. Deshalb lohnt sich der zusätzliche Zeitaufwand, um beide Formate des SSH-Serverschlüssels zu exportieren, während das Dialogfeld geöffnet ist. Wenn Sie die beiden Formate speichern (eventuell auf einem internen Server), müssen Sie möglicherweise nie mehr auf die Registerkarte SSH zurückkehren.
  • SSH Port (SSH-Port): Der abzuhörende TCP-Port. Der Standardport ist 22.
  • Bind to IP Address (Bindung mit IP-Adresse): Lassen Sie diese Option deaktiviert (Standard), um alle verfügbaren IP-Adressen anzubinden. Geben Sie eine bestimmte IP-Adresse ein, um eine Bindung des SSH-Servers mit einer bestimmten IP-Adresse durchzuführen.

Server Keys (Serverschlüssel)

Im Fenster Server Keys (Serverschlüssel) wird das MD5-Hash des intern erzeugten 2048-Bit-Serverschlüssels nach RSA angezeigt. Sie können diesen Standardschlüssel nicht bearbeiten oder entfernen.

Wenn Ihre MOVEit Transfer-Konfiguration über mehrere Organisationen verfügt, können Sie einen unterschiedlichen Schlüssel für jede Organisation hinzufügen. Dadurch ist es einfacher, den Serverschlüssel von nur einer Organisation zu ändern, ohne die anderen Organisationen zu beeinflussen.

So fügen Sie einen neuen Serverschlüssel hinzu:

  1. Klicken Sie auf Add (Hinzufügen) und wählen Sie anschließend den gewünschten Schlüsseltyp und die Größe aus:

    Der Schlüsseltyp DSS stellt digitale Signaturen, aber keinen Schlüsselaustausch und keine Verschlüsselung bereit. Mit DSS ist die Signaturgenerierung schneller als die Signaturverifizierung.

    Der Schlüsseltyp RSA stellt digitale Signaturen, Schlüsselaustausch und Verschlüsselung bereit. Mit RSA ist die Signaturverifizierung schneller als die Signaturgenerierung.

    Nach Auswahl eines Schlüsseltyps und der Größe wird das Fenster Add SSH Server Key (SSH-Serverschlüssel hinzufügen) angezeigt:

    In diesem Fenster werden die Details zum Schlüssel angezeigt:

    • Fingerabdruck
    • OpenSSH-Format
    • SSH2-Format
  2. Geben Sie im Feld Name einen Namen für den Schlüssel ein und klicken Sie auf OK.

    Der neue Schlüssel wird im Fenster Server Keys (Serverschlüssel) hinzugefügt.

    Zum Bearbeiten des Namens des Schlüssels wählen Sie den Schlüssel aus und klicken Sie auf Edit (Bearbeiten).

    Zum Entfernen eines Schlüssels wählen Sie den Schlüssel aus und klicken Sie auf Remove (Entfernen).

    Zum Festlegen eines Schlüssels als SSH-Standardserverschlüssel wählen Sie den Schlüssel aus und klicken Sie auf Default (Standard). Der aktuelle Standardschlüssel wird umbenannt in „OldDefault-Jahr-Monat-Tag_xxxxxx“ und der Name des ausgewählten Schlüssels wird umbenannt in „Default“ (Standard).

  3. Wenn die Meldung Confirm SSH key rename (Umbenennung des SSH-Schlüssels bestätigen) angezeigt wird, klicken Sie auf OK.

Alternative Bindungen

Wenn Ihr MOVEit Transfer-System über mehrere Organisationen verfügt und doppelte Benutzernamen über Organisationen hinweg zulässt, können Sie während der Anmeldung Benutzer an die IP-Adresse ihrer entsprechenden Organisation weiterleiten, indem Sie eine alternative Bindung hinzufügen. Sie können einer Organisation auch einen eindeutigen Serverschlüssel zuweisen, so dass sich Änderungen, die Sie an diesem Schlüssel vornehmen, nur auf diese Organisation auswirken.

Über alternative Bindungen können Sie eine Server-IP, einen Serverschlüssel und eine Organisation zuweisen.

So fügen Sie eine alternative Bindung hinzu:

  1. Klicken Sie unter Alternate Bindings (Alternative Bindungen) auf Add (Hinzufügen).

    Das Dialogfeld Add SSH Alternative Binding (Alternative SSH-Bindungen hinzufügen) wird angezeigt.

  2. Geben Sie Folgendes ein:
    • Server IP Address (Server-IP-Adresse): Geben Sie eine eindeutige IP-Adresse ein, die noch nicht über eine alternative Bindung verfügt. Wählen Sie nicht die standardmäßige Adresse unter „Bind to IP Address“ (Bindung mit IP-Adresse) (0.0.0.0.) aus.
    • Server Key (Serverschlüssel): Wählen Sie einen Serverschlüssel aus der Dropdown-Liste aus, der an die Server-IP-Adresse gebunden werden soll. Hier werden nur Serverschlüssel angezeigt, die bereits im Fenster Server Keys (Serverschlüssel) hinzugefügt wurden.
    • Organization (Organisation): Wählen Sie eine Organisation aus der Dropdown-Liste aus, die an die Server-IP-Adresse gebunden werden soll. Neben Ihren MOVEit Transfer-Organisationen werden folgende Organisationen in der Dropdown-Liste angezeigt:
    • (default) (Standard): Jede Organisation kann als Standard eingestellt werden. Weitere Informationen zur Zuweisung einer Standardorganisation finden Sie unter Webschnittstelle – Einstellungen – System – Sonstiges.
    • (System): Die Systemorganisation wird von Systemadministratoren zur Verwaltung von systemweiten Einstellungen und zur Erstellung und Pflege anderer Organisationen verwendet. Es ist nicht sehr wahrscheinlich, dass Sie eine alternative Bindung für die Systemorganisation erstellen.
  3. Klicken Sie auf OK.

    Die neue Bindung wird im Fenster Alternate Bindings (Alternative Bindungen) hinzugefügt.

    Wählen Sie zum Bearbeiten der Server-IP, des Serverschlüssels und der Organisation einer entsprechenden Bindung die Bindung aus und klicken Sie auf Edit (Bearbeiten).

    Wählen Sie zum Entfernen einer Bindung die Bindung aus und klicken Sie auf Remove (Entfernen).

Kontrolle der Standardversion des SSH-Diensts

Auswahl von Legacy- oder Standard-SSH-Dienst

Dienst-Steuerelement Beschreibung
Revert to Legacy SSH Service (Auf Legacy-SSH-Dienst zurücksetzen) Wenn dieses Steuerelement angezeigt wird, wird der SSH-Standarddienst ausgeführt. Dies ist der bevorzugte Zustand.

(Es wird nicht empfohlen, MOVEit Transfer mit diesem Steuerelement auf die Ausführung des älteren Legacy-Diensts zurückzusetzen.)
Use Default SSH Service (SSH-Standarddienst verwenden) Wenn dieses Steuerelement angezeigt wird, wird der Legacy-SSH-Dienst ausgeführt. (Der Einsatz des Legacy-Diensts ist nicht Best Practice.)

Diagnoseprotokolle

Die Diagnoseprotokolleinstellungen des MOVEit Transfer SSH-Servers können auf der Registerkarte „Status“ des Konfigurationsprogramms geändert werden. Weitere Informationen zu dieser Registerkarte finden Sie im Dokument Configuration Utility (Konfigurationsprogramm).

Registerkarte „Paths“ (Pfade)

Der MOVEit Transfer SSH-Server kommuniziert mit MOVEit Transfer über die auf dieser Registerkarte konfigurierte Computer-URL. Weitere Informationen zu dieser Registerkarte finden Sie im Dokument Configuration Utility (Konfigurationsprogramm).

Registerkarte „SSH Ciphers“ (SSH-Verschlüsselungen)

Die vom MOVEit Transfer SSH-Server verwendeten Verschlüsselungs- und Hashalgorithmen können auf der Registerkarte „SSH Ciphers“ (SSH-Verschlüsselungen) konfiguriert werden. (Die vom MOVEit Transfer SSL-Server – sowohl HTTPS als auch FTPS – verwendeten Verschlüsselungs- und Hashalgorithmen können ebenfalls konfiguriert werden.)

Auf dieser Registerkarte können Sie die Verschlüsselungen und Hashfunktionen auswählen, die zur Sicherung der SSH-Verbindung verwendet werden.

Für die FIPS- und PCI-Compliance müssen Sie möglicherweise die Verwendung von schwachen Verschlüsselungen vermeiden. Eine PCI-Überprüfung könnte beispielsweise die Verwendung von Verschlüsselungen wie MD5 und MD5-96 kennzeichnen. Zu den von FIPS zugelassenen kryptographischen Methoden für SSH zählen (seit September 2015) die Verschlüsselungen 3des-cbc, aes128-cbc, aes192-cbc und aes-256 mit hmac-sha2-512, hmac-sha2-256, hmac-sha1, hmac-md5, hmac-sha1-96 und hmac-md5-96 als zugelassene Hashfunktionen.

Anmerkung: Sowohl die Client- als auch Servereinstellungen werden bei der Auswahl der tatsächlichen Verschlüsselung und Hashfunktion für eine bestimmte Sitzung berücksichtigt. Auf beiden Seiten muss eine gemeinsame Verschlüsselung und Hashfunktion vorliegen, da ansonsten ein Fehler auftritt.

Auswahl von SSH-Verschlüsselungen

Im Abschnitt „SSH Ciphers“ (SSH-Verschlüsselungen) können Sie die zulässigen Verschlüsselungen auswählen und ihre Reihenfolge festlegen. Standardmäßig sind alle Verschlüsselungen aktiviert.

Mit dem Kontrollkästchen Enabled (Aktiviert) können Sie einen Eintrag aktivieren oder deaktivieren.

Die Priorität der Einträge richtet sich nach deren Reihenfolge in der Liste, wobei der oberste Eintrag die höchste Priorität hat. Sie können die Einträge mit den Pfeiltasten nach oben oder unten verschieben. Selbst wenn Sie schwache Verschlüsselungen oder Hashes zulassen müssen, sollten Sie die stärkeren immer an den Listenanfang setzen.

Auswahl von SSH-Hashfunktionen

Im Abschnitt „SSH Hash Functions“ (SSH-Hashfunktionen) können Sie die zulässigen Hashfunktionen auswählen und ihre Reihenfolge festlegen. Standardmäßig sind alle Hashfunktionen aktiviert.

Mit dem Kontrollkästchen Enabled (Aktiviert) können Sie einen Eintrag aktivieren oder deaktivieren.

Die Priorität der Einträge richtet sich nach deren Reihenfolge in der Liste, wobei der oberste Eintrag die höchste Priorität hat. Sie können die Einträge mit den Pfeiltasten nach oben oder unten verschieben.

Von SSH verwendete Algorithmen

Bestimmte Clients möchten möglicherweise wissen, welche Algorithmen der MOVEit Transfer-Server unterstützt. In diesem Abschnitt finden Sie eine vollständige Liste.

Viele SSH-Clients können diese Informationen von MOVEit Transfer über die einfache Herstellung einer Verbindung abrufen, da das SSH-Protokoll vom Server die Ausführung der unterstützten Modi erfordert. Aus sicherheitspolitischer Sicht gibt es keinen Grund, diese Informationen geheim zu halten.

SSH-Verschlüsselungsalgorithmen

MOVEit Transfer SSH-Server unterstützt die folgenden Verschlüsselungsalgorithmen.

  • aes256-ctr
  • twofish256-ctr
  • twofish-ctr
  • aes128-ctr
  • twofish128-ctr
  • 3des-ctr
  • cast128-ctr
  • aes256-cbc
  • twofish256-cbc
  • twofish-cbc
  • aes128-cbc
  • twofish128-cbc
  • blowfish-cbc
  • 3des-cbc (auch bekannt als „Triple-DES“)
  • arcfour
  • cast128-cbc

SSH-Hashalgorithmen

MOVEit Transfer SSH-Server unterstützt die folgenden (verschlüsselten) Hashalgorithmen.

  • HMAC-SHA2-512
  • HMAC-SHA2-256
  • HMAC-SHA1
  • HMAC-MD5
  • HMAC-SHA1-96
  • HMAC-MD5-96

SSH-Komprimierungsalgorithmen

MOVEit Transfer SSH-Server unterstützt die folgenden dynamischen Komprimierungsalgorithmen.

  • keine
  • zlib (auch bekannt als „gzip“)