WinFuture-Forum.de: Ftp Absichern? - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Ftp Absichern?


#1 Mitglied ist offline   tavoc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.446
  • Beigetreten: 22. Juli 04
  • Reputation: 0

geschrieben 24. Januar 2009 - 09:12

Hallo,

unter anderem betreibe ich für mich einen FTP Server um darüber die Backups der Clients auf den Server abzulegen.
Diese Backups sind verschlüsselte RAR Dateien und weiterhin ist nur FTPs (1024bit) erlaubt.

Ist es sinnvoll einen höherwertigen Schlüssel zu benutzen (2048, 4096) und lassen sich noch weitere Schutzmaßnahmen treffen?


Gruß

tavoc
your IP is 127.0.0.1 or ::1
you are running an OS
you use a Browser
I know so much about you...
0

Anzeige



#2 Mitglied ist offline   blaha 

  • Gruppe: aktive Mitglieder
  • Beiträge: 179
  • Beigetreten: 08. Dezember 08
  • Reputation: 0

geschrieben 24. Januar 2009 - 13:10

Eine gute Schutzmaßnahmen ist auch noch einen nicht Standard Port zu verwenden! Also nicht Port 21 für FTP sonder irgendwas hohes, etwa 4583 o.ä.

MfG
0

#3 _lustiger_affe_

  • Gruppe: Gäste

geschrieben 24. Januar 2009 - 13:22

Ja genau, weil nmap ja auch keine Ranges kann und nicht in der Lage ist, rauszufinden, was für ein Dienst läuft :rolleyes:

Wie sich das liest, gehe ich davon aus, dass die Clients das Backup ausführen und rüberschieben, sei es jetzt manuell oder per Skript - korrekt? Port-Knocking wäre eine ziemlich sichere Lösung, allerdings habe ich keine Ahnung, was es diesbezüglich an Software für Windows-Kisten gibt.

Meiner Meinung nach sollte man immer den bestmöglichen Schlüssel nehmen, ausser Performance ist wichtiger als Integrität.
0

#4 Mitglied ist offline   tavoc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.446
  • Beigetreten: 22. Juli 04
  • Reputation: 0

geschrieben 24. Januar 2009 - 13:44

Die clients führen das Backup automatisiert aus und verschieben es dann per FTP auf der Server.

Ich hab mich erstmal für 1024 bit entschieden, weil der schwächste Client (1,5 ghz pentium m), bei 3 mb/s übertragungsbandbreite schon bei 100%cpu last ist. Serverseitig ist die Auslastung zwar auch etwas höher, aber dort stehen noch genug Ressourcen zur Verfügung.

Ich werde mal einen Test mit 4096bit probieren.


Ich glaube nicht das die Fritzbox oder Firebox PortKnocking unterstützt. und den Windows Server würde ich ungern komplett nach aussen öffnen, damit das irgendeine komische Softwarefirewall kann.

Momentan steht der Server hinter einer Fritzbox, die nur den FTP Port, HTTPS und einen High range bereich für passives ftp durchlässt. Dahinter dann eine watchguard firebox, die das ganze nochmals prüft.

Wäre SFTp (port 22) zu FTPs eine gute alternative? Da fällt mir jedoch kein guter Windows SFTP Server ein, der das auch kann. Jetzt läuft zFTP Server...
your IP is 127.0.0.1 or ::1
you are running an OS
you use a Browser
I know so much about you...
0

#5 Mitglied ist offline   blaha 

  • Gruppe: aktive Mitglieder
  • Beiträge: 179
  • Beigetreten: 08. Dezember 08
  • Reputation: 0

geschrieben 24. Januar 2009 - 13:49

Beitrag anzeigenZitat (funky_monkey: 24.01.2009, 13:22)

Ja genau, weil nmap ja auch keine Ranges kann und nicht in der Lage ist, rauszufinden, was für ein Dienst läuft :rolleyes:



Ich denke aber nicht das sich viele Leute die Zeit nehmen und bis zum Port 4583 zu scannen. Es werden doch meist die Standard Ports gescannt: Web, Mail, SSH, FTP

MfG
0

#6 _lustiger_affe_

  • Gruppe: Gäste

geschrieben 24. Januar 2009 - 14:03

@blaha, keine Ahnung was andere machen, aber wenn ich scanne, dann immer voll, kostet kaum extra Zeit und ist lohnenswert *hust*

@tavoc, http://en.wikipedia....of_SFTP_servers
dropbear kann ich persönlich empfehlen, allerdings ka, wie gut der unter Windows läuft. Gibt auch ein Fritzbox-Mod, wo der mit dabei ist - allerdings weis ich den Namen grad nicht. Vorzuziehen ist SFTP gegenüber FTP(S) auf jeden Fall.

Edit, dropbear scheint das nicht ohne Hilfe zu können und der openssh-Port für Windows ist nicht so wirklich aktuell. Ergo vielleicht mal einen der anderen antesten.

Dieser Beitrag wurde von lustiger_affe bearbeitet: 24. Januar 2009 - 14:15

0

#7 Mitglied ist offline   blaha 

  • Gruppe: aktive Mitglieder
  • Beiträge: 179
  • Beigetreten: 08. Dezember 08
  • Reputation: 0

geschrieben 24. Januar 2009 - 16:01

Das mag natürlich sein. Aber die 08/15 Scanner kann man sich so schon mal vom Hals halten!
0

#8 Mitglied ist offline   bb83 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.870
  • Beigetreten: 30. August 05
  • Reputation: 24

geschrieben 25. Januar 2009 - 19:04

Zitat

Eine gute Schutzmaßnahmen ist auch noch einen nicht Standard Port zu verwenden! Also nicht Port 21 für FTP sonder irgendwas hohes, etwa 4583 o.ä.

security by obscurity ? :)

Warum überhaupt ftp?

Dieser Beitrag wurde von bb83 bearbeitet: 25. Januar 2009 - 19:05

0

#9 Mitglied ist offline   tavoc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.446
  • Beigetreten: 22. Juli 04
  • Reputation: 0

geschrieben 25. Januar 2009 - 20:06

wie soll ich denn sonst die daten von entfernten Clients über das Internet versenden?
Und sftp/ftps sind ja recht gut verschlüsselt.

Weiterhin sperrt der FTP Server nach 5 Versuchen die IP für 1 Stunde.

WebDav Freigaben finde ich z.b. nicht gut.
your IP is 127.0.0.1 or ::1
you are running an OS
you use a Browser
I know so much about you...
0

#10 Mitglied ist offline   schrämp 

  • Gruppe: aktive Mitglieder
  • Beiträge: 525
  • Beigetreten: 09. März 06
  • Reputation: 0

geschrieben 25. Januar 2009 - 20:29

das mit dem Port bringt schon was, damit ist man schonmal 99% der Internetidioten los und wer nach FTP (oder besser gesagt Pubs) scannt der nimmt nur den einen Port und nicht mehr, aber derart Leute scannen auch ein paar IPs mehr

ansonsten würd mir noch PortKnocking einfallen, da wär dann sogar egal auf welchem Port :)
I will never have what others have
there never was to be
but i made a sacrifice
in the cause o f liberty

You have your normal lifes to live
and thats as it should be
for you have some leisure time
please pause and think of me.

0

#11 Mitglied ist offline   tavoc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.446
  • Beigetreten: 22. Juli 04
  • Reputation: 0

geschrieben 25. Januar 2009 - 20:32

so ich hab den ftp jetzt auf einen highport und zusätzlich eine VM als Honeypot auf port 21, dort befinden sich aber nen paar testdaten.

Die VM ist ja eh isoliert, und hat kein zugriff auf das restliche netz.
your IP is 127.0.0.1 or ::1
you are running an OS
you use a Browser
I know so much about you...
0

#12 Mitglied ist offline   bb83 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.870
  • Beigetreten: 30. August 05
  • Reputation: 24

geschrieben 26. Januar 2009 - 19:00

Zitat

wie soll ich denn sonst die daten von entfernten Clients über das Internet versenden?

vpn -> nfs
sshfs
rsync(d)
usw...
0

#13 Mitglied ist offline   tavoc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.446
  • Beigetreten: 22. Juli 04
  • Reputation: 0

geschrieben 26. Januar 2009 - 19:18

Beitrag anzeigenZitat (bb83: 26.01.2009, 20:00)

vpn -> nfs
sshfs
rsync(d)
usw...


zu sshfs --> SSHFS steht für Secure SHell FileSystem und ist ein Dateisystem für FUSE und kann damit auf Linux ...

Ich habe 90 % Windows Clients und nen Windows2008 Server.

VPN ist nicht möglich, das es einige CLientumgebungen nicht erlauben, und es macht sich auch schwer die Clients dynamisch ins VPN einwählen zu lassen. Weiterhin will ich nicht das sich die Clients hier ins lokale Netz einwählen können und somit auf die Freigaben sichtbar sind.

NFS --> wohl eher SMB, aber ne überlegung wert.

rysnyc kannte ich nocht nicht, schau ich mir an

Wobei diese Lösungen auch wieder Ports benötigen und theoretisch angreifbar sind. Und wie sieht es mit der Verschlüsselung der Daten bei der Übertragung aus?

Und rysnc ist prinzipiell das gleiche wie SFTP, Protokoll über SSH Port (soweit ich verstanden habe). Die Vorteile die ein rsync-diff bietet kann auch von der Backuplösung geliefert werden. Wichtig ist mir, das diese Daten in einer benutzbaren Form auf dem Server liegen. Also keine propritären Programme benötigen um ein Restore auszuführen.

Gruß

tavoc
your IP is 127.0.0.1 or ::1
you are running an OS
you use a Browser
I know so much about you...
0

#14 Mitglied ist offline   bb83 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.870
  • Beigetreten: 30. August 05
  • Reputation: 24

geschrieben 26. Januar 2009 - 20:07

Zitat

Ich habe 90 % Windows Clients und nen Windows2008 Server.

Ok, das grenzt das ganze wieder deutlich ein


Zitat

VPN ist nicht möglich, das es einige CLientumgebungen nicht erlauben, und es macht sich auch schwer die Clients dynamisch ins VPN einwählen zu lassen. Weiterhin will ich nicht das sich die Clients hier ins lokale Netz einwählen können und somit auf die Freigaben sichtbar sind.

Ok, bei dem dynaminschen Einwählen gebe ich dir Recht, sowas geht unter Linux wesentlich einfacher.
Bzgl der Freigaben, gibt es ja div. Möglichkeiten

Zitat

NFS --> wohl eher SMB, aber ne überlegung wert.

Jop, bei windows dann über smb. Das ganze dann über vpn(bspw. openvpn -> sehr robust) macht die Sache sicher.
0

#15 Mitglied ist offline   sкavєи 

  • Gruppe: aktive Mitglieder
  • Beiträge: 6.734
  • Beigetreten: 20. Juli 04
  • Reputation: 61

geschrieben 27. Januar 2009 - 06:41

Beitrag anzeigenZitat (tavoc: 25.01.2009, 20:06)

Weiterhin sperrt der FTP Server nach 5 Versuchen die IP für 1 Stunde.
Hat das 'nen bestimmten Hintergrund warum da 5 Versuche eingestellt sind? Ich finde das ganz schön viel. Ich habe bei meinen Servern überall 2 Versuche eingestellt und das auch nur FALLS ich mich irgendwann mal bei der Eingabe des SSH-Key-Passwortes vertun sollte. Das ist mir aber bisher noch nie passiert. Da würde theoretisch auch 1 Versuch reichen. Ich gehe ja davon aus, dass deine Backups automatisiert sind, d.h. die Schlüssel müssen sowieso in deinen Scripten stehen und können daher gar nicht falsch sein.
Eingefügtes Bild
Eingefügtes Bild
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0