Verwenden Sie zur Konfiguration des SSH-Servers die Registerkarten „SSH“ und „SSH Ciphers“ (SSH-Verschlüsselungen) im Konfigurationsprogramm für MOVEit Transfer.

So öffnen Sie das MOVEit Transfer Configuration Utility (Konfigurationsdienstprogramm) und führen es aus:

  1. Wählen Sie unter Windows das Startmenü aus.
  2. Wählen Sie die Abkürzung für MOVEit Transfer Config.

Anmerkung: Benutzer, Gruppen und Ordnereinstellungen werden über die Web-UI oder MOVEit Transfer API verwaltet.

Aktualisierungsintervall der SSH-Serverkonfiguration

Der MOVEit Transfer-Server übernimmt Konfigurationsänderungen sofort. Die Änderungen werden übernommen, wenn das nächste Mal eine neue Verbindung hergestellt wird.

Ausnahme: Wenn der SSH-Port geändert wird, muss der MOVEit Transfer SSH-Dienst neu gestartet werden, damit diese Änderung wirksam wird.

Registerkarte SSH

Auf der Registerkarte „SSH“ im Konfigurationsdienstprogramm von MOVEit Transfer können Sie den SSH-Server anzeigen und konfigurieren, der auf dem aktuellen MOVEit Transfer-Serverhost ausgeführt wird.

Anmerkung: MOVEit Transfer verwendet SSH-Schlüssel und Steuerelemente sowohl für SSH als auch für SFTP (SSH File Transfer Protocol).

Mit den Steuerelementen in diesem Bereich können Sie Folgendes ausführen:

  • Den logischen Port anpassen, über den der SSH-Listener läuft.
  • SSH-Server-Hostschlüssel erzeugen.
  • Einen SSH-Listener an eine bestimmte IP-Adresse binden.
  • Schlüssel binden, die mit Algorithmen mit erweiterter Sicherheit (z. B. elliptische Kurve) erzeugt wurden.
  • Verwalten, Pflegen und Aktualisieren der von MOVEit SSH verwendeten Schlüssel.

Mehrere Arten von SSH-Server-Host-Schlüsseln

Mit MOVEit Transfer können Sie jede SSH-Bindung (einschließlich der Standardbindung) mit einem oder mehreren Hostschlüsseln konfigurieren. Damit können SSH-/SFTP-Clients bequem Verbindungen mit MOVEit Transfer herstellen, insbesondere wenn Richtlinien sie dazu zwingen, einen bestimmten Schlüssel oder eine bestimmte Schlüsselart zu verwenden.

Sie können die Optionen für die Konfiguration von SSH-Bindungen auf der Registerkarte SSH im Konfigurationsdienstprogramm von MOVEit Transfer einrichten.
Anmerkung: Auf der Registerkarte SSH und im Bereich Bindungen können Sie zusätzliche Hostschlüssel erstellen und sie dann einer der Bindungen (einschließlich der Standardbindung) zuweisen.

Sie können SSH auch so binden, dass es auf verschiedene IP-Adressen hört, indem Sie das Feld Bindungen verwenden.

Registerkarte „SSH“ und der Bereich „Bindings“ (Bindungen)

Bereich „SSH Configuration“ (SSH-Konfiguration)

SSH Port (SSH-Port):

Dies ist der TCP/IP-Port, an dem der SSH-Server auf eingehende Verbindungsanforderungen wartet.
SSH-Port-Wert 22 (Standard/bekannt für das SSH-Protokoll).

Server Keys (Serverschlüssel)

Die Ansicht Server Keys (Serverschlüssel) auf der Registerkarte SSH wird angezeigt:

  • Name. Lesbarer Name.
  • Key Type (Schlüsselart). Der Algorithmus, der zur Erzeugung des Schlüsselpaares verwendet wird.
  • Fingerprint (Fingerabdruck). Der MD5-Hash des Serverschlüssels.

Anmerkung: Sie können diese Schlüssel mit einer bestimmten IP-Adresse (SSH-Server-Endpunkt) binden, indem Sie den Bereich Bindungen verwenden. Dies kann z. B. für Bereitstellungen mehrerer Organisationen nützlich sein.

Mit den Steuerelementen für die Serverschlüssel (Schlüssel hinzufügen, bearbeiten, entfernen, Standard) können Sie:

  • Neue Schlüssel generieren, die Sie einem SSH-Listener zuweisen können. (Schlüssel hinzufügen)
  • Benutzerfreundlichen Namen bearbeiten, anzeigen, Schlüsselpaar kopieren, Schlüssel entfernen. (Bearbeiten)
  • Einen Schlüssel entfernen und Verbindungen von Clients verhindern, die diesen Schlüssel verwenden. (Entfernen)
  • Eine Taste als Standard festlegen. (Standard)

Hinweis für Systeme mit mehreren Organisationen

Anmerkung: Wenn Ihre MOVEit Transfer-Konfiguration über mehrere Organisationen verfügt, sollten Sie für jede Organisation einen anderen Schlüssel hinzufügen. Dadurch ist es einfacher, den Serverschlüssel von nur einer Organisation zu ändern, ohne die anderen Organisationen zu beeinflussen.
Anzeigen und Verstehen von SSH-Serverschlüsseln

SSH-Clients verwenden diesen Schlüssel, um Datenverkehr zu verschlüsseln, den nur der SSH-Server entschlüsseln kann, der über den privaten Schlüssel verfügt (der als Teil des Paars aus öffentlichem und privatem Schlüssel erzeugt wurde).
Der Schlüssel wird intern erzeugt und das MD5-Hash des Schlüssels wird hier als Referenz angezeigt. Dieser Wert kann nicht bearbeitet werden. Verwenden Sie die Schaltfläche View (Anzeigen) neben dem MD5-Feld zur Anzeige und/oder zum Export des vollständigen öffentlichen SSH-Schlüssels.

Exportieren des öffentlichen Schlüssels

So exportieren Sie den öffentlichen MOVEit Transfer-SSH-Schlüssel:
  1. Klicken Sie auf der Registerkarte SSH des MOVEit Transfer Config-Dienstprogramms auf die Schaltfläche Bearbeiten. Im Dialogfeld wird der Schlüssel in zwei verschiedenen Formaten angezeigt.
  2. Wählen Sie den gesamten Text in dem Fenster aus, in dem das gewünschte Format, das Sie exportieren möchten, angezeigt wird, drücken Sie STRG+C, um den Text zu kopieren, und speichern Sie ihn dann in einer Textdatei.

Tipp: Solange Sie diese nicht ändern, ändert sich der MOVEit DMZ SSH-Serverschlüssel für einen bestimmten Typ/Bindung nicht. Es könnte hilfreich sein, beide öffentlichen Formate desselben SSH-Serverschlüssels zu exportieren, während Sie sich in diesem Dialog befinden. Wenn Sie diese abspeichern (vielleicht auf einem internen Server), können Sie Zeit sparen und müssen später nicht auf die Registerkarte SSH verweisen.

So fügen Sie einen neuen Serverschlüssel hinzu:

  1. Klicken Sie auf Add (Hinzufügen) und wählen Sie anschließend den gewünschten Schlüsseltyp und die Größe aus. Der Schlüsseltyp bezieht sich auf den Algorithmus. Die verschiedenen Algorithmen haben unterschiedliche Vorteile und Kompromisse. Mit Größe ist in etwa der Funktionsumfang oder die Schwierigkeit des Algorithmus gemeint. (Bessere Algorithmen mit größeren berechneten Größen bedeuten mehr Sicherheit für das Schlüsselpaar)

    • Der Schlüsseltyp DSS stellt digitale Signaturen, aber keinen Schlüsselaustausch und keine Verschlüsselung bereit. Mit DSS ist die Signaturgenerierung schneller als die Signaturverifizierung.
    • ECDSA-Schlüsseltypen verwenden elliptische Kurvenalgorithmen, die einen größeren Problemraum mit schnelleren Berechnungszeiten abdecken.
    • Der Schlüsseltyp RSA stellt digitale Signaturen, Schlüsselaustausch und Verschlüsselung bereit. Mit RSA ist die Signaturverifizierung schneller als die Signaturgenerierung.

    Nach Auswahl eines Schlüsseltyps und der Größe wird das Fenster Add SSH Server Key (SSH-Serverschlüssel hinzufügen) angezeigt:

    In diesem Fenster werden die Details zum Schlüssel angezeigt:

    • Fingerabdruck
    • Art
    • OpenSSH-Format
    • SSH2-Format
  2. Geben Sie im Feld Name einen Namen für den Schlüssel ein und klicken Sie auf OK.

    Der neue Schlüssel wird im Fenster Server Keys (Serverschlüssel) hinzugefügt.

    • Zum Bearbeiten des Namens des Schlüssels wählen Sie den Schlüssel aus und klicken Sie auf Edit (Bearbeiten).
    • Zum Entfernen eines Schlüssels wählen Sie den Schlüssel aus und klicken Sie auf Remove (Entfernen).
    • Zum Festlegen eines Schlüssels als SSH-Standardserverschlüssel wählen Sie den Schlüssel aus und klicken Sie auf Default (Standard). Der aktuelle Standardschlüssel wird umbenannt in „OldDefault-Jahr-Monat-Tag_xxxxxx“ und der Name des ausgewählten Schlüssels wird umbenannt in „Default“ (Standard).
  3. Wenn die Meldung Confirm SSH key rename (Umbenennung des SSH-Schlüssels bestätigen) angezeigt wird, klicken Sie auf OK.

Bereich „Bindings“ (Bindungen) (und Hinzufügen von alternativen Bindungen)

Mit alternativen Bindungen können Sie eine Server-IP und Server-Schlüsseltypen mit einer MOVEit Transfer-Organisation verknüpfen.

Wenn Ihr MOVEit Transfer-System über mehrere Organisationen verfügt und doppelte Benutzernamen über Organisationen hinweg zulässt, können Sie die Benutzer bei Systemanmeldung über eine alternative Bindung an die IP-Adresse ihrer jeweiligen Organisation weiterleiten. Sie können einer Organisation auch einen eindeutigen Serverschlüssel zuweisen, so dass sich Änderungen, die Sie an diesem Schlüssel vornehmen, nur auf diese Organisation auswirken.
Anmerkung: Sie können Bindungsregeln für eine einzelne IP-Adresse festlegen.

So fügen Sie eine alternative Bindung hinzu:

  1. Klicken Sie unter Bindings (Bindungen) auf Add (Hinzufügen).

    Das Dialogfeld Add SSH Alternative Binding (Alternative SSH-Bindungen hinzufügen) wird angezeigt.

  2. Geben Sie Folgendes ein:
    • Server IP Address (Server-IP-Adresse): Geben Sie eine eindeutige IP-Adresse ein, die noch nicht über eine alternative Bindung verfügt. Wählen Sie nicht die standardmäßige Adresse unter „Bind to IP Address“ (Bindung mit IP-Adresse) (0.0.0.0.) aus.
    • Server Key (Serverschlüssel): Wählen Sie einen Hostschlüssel aus der Dropdown-Liste aus, der an die Server-IP-Adresse gebunden werden soll. Hier werden nur Serverschlüssel angezeigt, die bereits im Fenster Server Keys (Serverschlüssel) hinzugefügt wurden.
    • Organization (Organisation): Wählen Sie eine Organisation aus der Dropdown-Liste aus, die an die Server-IP-Adresse gebunden werden soll. In der Dropdown-Liste wird Folgendes angezeigt:
  3. Klicken Sie auf OK.

    Die neue Bindung wird im Fenster Bindings (Bindungen) hinzugefügt.

    Anmerkung: Wählen Sie zum Bearbeiten der Server-IP, des Serverschlüssels und der Organisation einer entsprechenden Bindung die Bindung aus und klicken Sie auf Edit (Bearbeiten). Wählen Sie zum Entfernen einer Bindung die Bindung aus und klicken Sie auf Remove (Entfernen)
    .

Kontrolle der Standardversion des SSH-Diensts

Auswahl von Legacy- oder Standard-SSH-Dienst.

Anmerkung: Die Verwendung des Standard-SSH-Dienstes (der die aktuellste Version ist) ist die beste Vorgehensweise.
Wichtig: Wenn Sie auf „Revert to Legacy SSH Service“ (Zum alten SSH-Dienst zurückkehren) klicken, werden Sie möglicherweise aufgefordert, Schlüssel, Arbeitsabläufe und Funktionen zu entfernen, die mit einer späteren Version von SSH verbunden sind. Möglicherweise werden Sie aufgefordert, die mit Ihren aktuellen Diensten verknüpften Schlüssel zu entfernen, was zu Störungen bei nachfolgenden Verbindungsanfragen führen kann.

Dienst-Steuerelement Beschreibung
Revert to Legacy SSH Service (Auf Legacy-SSH-Dienst zurücksetzen) Wenn dieses Steuerelement angezeigt wird, wird der SSH-Standarddienst ausgeführt. Dies ist der bevorzugte Zustand.

(Es wird nicht empfohlen, MOVEit Transfer mit diesem Steuerelement auf die Ausführung des älteren Legacy-Diensts zurückzusetzen.)
Use Default SSH Service (SSH-Standarddienst verwenden) Wenn dieses Steuerelement angezeigt wird, wird der Legacy-SSH-Dienst ausgeführt. (Der Einsatz des Legacy-Diensts ist nicht Best Practice.)

Diagnoseprotokolle (auf der Registerkarte „Status“ festgelegt)

Die Diagnoseprotokolleinstellungen des MOVEit Transfer SSH-Servers können auf der Registerkarte „Status“ des Konfigurationsprogramms geändert werden. Weitere Informationen finden Sie im Abschnitt „Log Settings“ (Protokolleinstellungen) (Registerkarte Status) des Konfigurationsprogramms.

Pfade (auf der Registerkarte „Paths“ (Pfade) festgelegt)

Der MOVEit Transfer SSH-Server kommuniziert mit MOVEit Transfer über die auf dieser Registerkarte konfigurierte Computer-URL. Einzelheiten finden Sie auf der Registerkarte „Paths“ (Pfade).

Registerkarte „SSH Ciphers“ (SSH-Verschlüsselungen)

Tipp: Im Allgemeinen werden mit der neuesten Version von MOVEit Transfer sicherere Algorithmen zur Verfügung gestellt. Wenn Sie den strengen FIPS-Modus auswählen, wird die Liste auf Algorithmen reduziert, die dem FIPS-Standard entsprechen.

Die Registerkarte „SSH Ciphers“ (SSH-Verschlüsselungen) enthält Folgendes:

  • SSH Ciphers (SSH-Verschlüsselungen). Verfügbare Algorithmen zur Kodierung von Daten und ihre Priorität.
  • Hashfunktionen. Verwendete Hash-basierte Message Authentication Codes und deren Priorität.
  • Algorithmen zum Schlüsselaustausch. Verfügbare Algorithmen für den Austausch eines Sitzungsschlüssels und seine Priorität.
Anmerkung: Auf der Registerkarte „SSH Ciphers“ (SSH-Verschlüsselungen) können Sie eine Gruppe (Teilgruppe) von Verschlüsselungsalgorithmen für den FIPS-Modus auswählen. Dieser Modus stellt kryptographische Funktionen und Algorithmen bereit, die der Norm „Federal Information Processing Standards“ (FIPS 140-2) entsprechen.
Wichtig: Die Liste der Algorithmen, aus der Sie wählen können, hängt von den Server- und Richtlinieneinschränkungen ab. Wenn Sie z. B. den FIPS-Modus aktivieren, wird eine Teilmenge der sichereren FIPS-konformen Algorithmen angezeigt.
Die vom MOVEit Transfer SSH-Server verwendeten Verschlüsselungs- und Hashalgorithmen können auf der Registerkarte „SSH Ciphers“ (SSH-Verschlüsselungen) konfiguriert werden. (Die vom MOVEit Transfer SSL-Server – sowohl HTTPS als auch FTPS – verwendeten Verschlüsselungs- und Hashalgorithmen können ebenfalls konfiguriert werden.)

Auf dieser Registerkarte können Sie die Verschlüsselungen und Hashfunktionen auswählen, die zur Sicherung der SSH-Verbindung verwendet werden.

Für die FIPS- und PCI-Compliance müssen Sie möglicherweise die Verwendung von schwachen Verschlüsselungen vermeiden. Eine PCI-Überprüfung könnte beispielsweise die Verwendung von Verschlüsselungen wie MD5 und MD5-96 kennzeichnen. Zu den von FIPS zugelassenen kryptographischen Methoden für SSH zählen (seit September 2015) die Verschlüsselungen 3des-cbc, aes128-cbc, aes192-cbc und aes-256 mit hmac-sha2-512, hmac-sha2-256, hmac-sha1, hmac-md5, hmac-sha1-96 und hmac-md5-96 als zugelassene Hashfunktionen.

Anmerkung: Sowohl die Client- als auch Servereinstellungen werden bei der Auswahl der tatsächlichen Verschlüsselung und Hashfunktion für eine bestimmte Sitzung berücksichtigt. Auf beiden Seiten muss eine gemeinsame Verschlüsselung und Hashfunktion vorliegen, da ansonsten ein Fehler auftritt.

Auswahl von SSH-Verschlüsselungen

Im Abschnitt „SSH Ciphers“ (SSH-Verschlüsselungen) können Sie die zulässigen Verschlüsselungen auswählen und ihre Reihenfolge festlegen. Standardmäßig sind alle für die aktuelle Plattform MOVEit Transfer verfügbaren Verschlüsselungen verfügbar.

  1. Mit dem Kontrollkästchen Enabled (Aktiviert) können Sie einen Eintrag aktivieren oder deaktivieren.
  2. Verwenden Sie die Pfeiltasten, um die Einträge in der Liste nach oben oder unten zu verschieben. (Die Priorität der Einträge richtet sich nach deren Reihenfolge in der Liste, wobei der oberste Eintrag die höchste Priorität hat.)
    Anmerkung: Wenn Sie schwache Verschlüsselungen oder Hashes zulassen müssen, sollten Sie immer die stärkeren Optionen an den Listenanfang setzen.

FIPS-Modus

Die SFTP-Standardbibliothek von MOVEit Transfer stellt kryptographische Funktionen und Algorithmen bereit, die der Norm Federal Information Processing Standards (FIPS 140-2) entsprechen. Die FIPS-validierten sicheren Verschlüsselungs-, Schlüsselaustausch-, Hostschlüssel-, Clientschlüssel-, MAC- und Komprimierungsalgorithmen sind im MOVEit Transfer Config Utility verfügbar.

So wählen Sie den FIPS-Modus aus:

  1. Aktivieren Sie das Kontrollkästchen Enable FIPS Mode (FIPS-Modus aktivieren), damit nur SSH-Verschlüsselungen, Hashfunktionen und Verschlüsselungsalgorithmen verwendet werden, die der FIPS-Norm entsprechen.
  2. Überprüfen Sie, ob Sie die Liste der Verschlüsselungen auf die Teilmenge reduziert haben, die dem FIPS-Standard entspricht.

Registerkarte „SSH Ciphers“ (SSH-Verschlüsselungen) mit aktiviertem Kontrollkästchen für den FIPS-Modus

Auswahl von SSH-Hashfunktionen

Im Abschnitt „SSH Hash Functions“ (SSH-Hashfunktionen) können Sie die zulässigen Hash-Funktionen auswählen und ihre Reihenfolge festlegen. Standardmäßig stehen alle Hashfunktionen zur Verfügung, die auf der aktuellen MOVEit Transfer-Plattform verfügbar sind.

Anmerkung: Hashfunktionen werden verwendet, um die Integrität von Nachrichten festzustellen.
  1. Mit dem Kontrollkästchen Enabled (Aktiviert) können Sie einen Eintrag aktivieren oder deaktivieren.

    Einträge, die sich weiter oben in der Liste befinden, werden gegenüber den nachfolgenden Einträgen bevorzugt.
  2. Sie können die Einträge mit den Pfeiltasten nach oben oder unten verschieben.