Wat is SFTP?
SFTP staat voor SSH File Transfer Protocol en is een veilig bestandsoverdrachtsprotocol dat werkt via een versleutelde SSH-sessie. SFTP maakt het mogelijk om bestanden veilig te verzenden, ontvangen en beheren over onveilige netwerken zoals internet of een bedrijfsnetwerk.
In OT-netwerken wordt SFTP gebruikt voor het veilig uitwisselen van configuraties, logbestanden, Firmware en recepten tussen systemen.
🧠 Hoe werkt SFTP?
- Een client maakt een versleutelde SSH-verbinding naar de SFTP-server (poort 22)
- Authenticatie via gebruikersnaam + wachtwoord of SSH key
- Bestanden worden veilig verstuurd of opgehaald
- De sessie wordt gelogd en kan worden beperkt op bestandsrechten
In tegenstelling tot FTP is bij SFTP alle communicatie volledig versleuteld, inclusief commando’s en metadata.
🏭 SFTP in industriële netwerken
- Overdracht van procesdata en logbestanden van SCADA naar Historian
- Secure firmware-updates of projectbestanden naar PLC-servers
- Externe toegang tot OT-bestanden via Bastion Host of Jump Server
- SFTP-sessies automatisch opstarten voor Backup of rapportages
- Beperken van toegang via RBAC en Access Control
Voorbeeldgebruik:
- ⬆ Upload: receptbestanden naar productielijn
- ⬇ Download: auditlogboeken voor analyse
🔍 SFTP vs. FTP vs. FTPS
| Protocol | Encryptie | Poort | Gebruik in OT |
|---|---|---|---|
| FTP | ❌ Geen | 21 | Verouderd, onveilig |
| FTPS | ✅ TLS (SSL) | 21/990 | Compatibel met oudere IT-systemen |
| SFTP | ✅ SSH-gebaseerd | 22 | Aanbevolen voor veilige OT-overdrachten |
🔐 Beveiligingsaspecten
- Versleutelde bestandsoverdracht → beschermt tegen afluisteren en manipulatie
- Gebruik van SSH keys met passphrase i.p.v. wachtwoorden aanbevolen
- Alleen-lezen of upload-only rechten per gebruiker of pad
- Combineer met SIEM voor logging van transfers
- Volledige ondersteuning in Linux-gebaseerde OT-systemen
- Voldoet aan eisen van IEC 62443, ISO 27001, NIS2
SFTP voorkomt risico’s zoals credentials in plain text of onbeveiligde bestandsuitwisseling.
📌 Samengevat
SFTP is het aanbevolen protocol voor veilige bestandsoverdracht in OT-omgevingen. Het combineert sterke Encryptie via SSH met flexibele en beheerbare bestandsuitwisseling, zonder concessies aan veiligheid.