Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Filezilla - SFTP mit Zertifikat (nur Clients mit installiertem Zertifikat sollen Verbindung aufbauen können)

Mitglied: BlueStarDE

BlueStarDE (Level 1) - Jetzt verbinden

05.08.2014 um 19:02 Uhr, 6700 Aufrufe, 12 Kommentare

Hallo zusammen....

Situation: Windows Server 2008 R2, Filezilla-FTP-Server ist installiert und nimmt ganz normal auf Port 23 Verbindungen an. Benutzername und Kennwort sind zur Authentifizierung notwendig.

Jetzt kam es schon vor, dass wohl die Zugangsdaten weitergegeben worden sind, oder gehackt worden sind und somit fremde auf dem Server waren.

Gibt es die Möglichkeit - und wenn ja, wie - das Ganze auf SFTP umzustellen und nur Clients den Verbindungsaufbau zu erlauben, die ein Zertifikat lokal installiert haben?

Freue mich über Rückmeldungen.

Besten Dank.
Mitglied: hcfel1
05.08.2014 um 19:19 Uhr
ein Client Zertifikat ist nicht möglich...

Allerdings via openVPN schon..(ist aber bei meinen Tests nicht so performant gewesen als FTPS)

verwendet ihr derzeit plain FTP ? warum Port 23? zumal 21 da Standard ist...
ein höherer Port wird eher nicht so oft angegriffen / überwacht... 50123 ?

Für die Sicherheit der Datenübertragung / Zugangsdaten auf FTPS setzen...
Filezilla Server Optionen -> SL/TLS Settings
hier dann disallow plain ftp nicht vergessen

Ich würde auf 2-4k beim Zertifikat setzen...
Mit dem Assistenten kannst du ein selbstsigniertes erstellen...


unter Logging dann gleich Logfiles aktivieren, dann können ungebetene Gäste und gehackte Accounts identifiziert werden...

lg
Bitte warten ..
Mitglied: 16568
05.08.2014 um 23:01 Uhr
Wozu Zertifikate???

IP und gut...


Lonesome Walker
Bitte warten ..
Mitglied: BlueStarDE
05.08.2014 um 23:03 Uhr
Hallo hcfel1,

natürlich meinte ich den Port 21! Nur eine Verwechslung beim Schreiben.

Danke aber für Deine Tips.
Bitte warten ..
Mitglied: hcfel1
06.08.2014 um 01:02 Uhr
Gut, Ich bin im allgemeinen paranoid (Passwörter im Privatbereich haben gerne 15- 20 Stellen etc.)
aber FTPS ist unter Filezilla in 2 Minuten konfiguriert, diesen "Aufwand" würde ich eingehen...
zumal nicht alle Firmen fixe IPs haben(weiß ja nicht ob BlueStar mit 5 Mann Buden arbeiten muss)

Grüße
Bitte warten ..
Mitglied: 16568
06.08.2014 um 06:52 Uhr
Zitat von hcfel1:
zumal nicht alle Firmen fixe IPs haben

Dann nimmt man halt anstelle der IP's Hostnames...
Zertifikate haben den unangenehmen Nachgeschmack, daß man sie exportieren/weitergeben kann...
(ich weiß, die Paranoiden handeln meist ohne Weitsicht und Usability...)


Lonesome Walker
Bitte warten ..
Mitglied: BlueStarDE
06.08.2014 um 07:08 Uhr
Es wird mit IPs gearbeitet. Es wird da auf nem "irgendwo gehostetem" Server gearbeitet. (Ich frage nur für einen Kollegen)

Besten Dank.
Bitte warten ..
Mitglied: 108012
06.08.2014 um 23:11 Uhr
Hallo,

Ok das ist schon einleuchtend, denn FTP überträgt im Klartext und das ist so
ziemlich das unsicherste was man zur Zeit machen kann.

Jetzt kam es schon vor, dass wohl die Zugangsdaten weitergegeben worden sind,
oder gehackt worden sind und somit fremde auf dem Server waren.
Und das Zertifikat kann man nicht weitergeben?
Also so wie es schon von @hcfel1 beschrieben worden ist, verhält es sich auch
wirklich mit FileZilla, das kann man auch hier alles nachlesen.

SFTP mit FileZilla
FileZilla mit SSL Zertifikaten nutzen
Einrichtung von SFTP mit Public Key Authentifizierung
Kann ich mich auch mit einem SSH-Key über FileZilla einloggen?

Gibt es die Möglichkeit - und wenn ja, wie - das Ganze auf SFTP umzustellen
Ja

und nur Clients den Verbindungsaufbau zu erlauben, die ein Zertifikat lokal installiert haben?
Siehe in den Anleitungen weiter oben.

Im allgemeinen ist es doch aber eher so das man eine VPN Verbindung aufbaut und dann
auf den FTP Server zugreifen kann und/oder man einfach nur eine SFTP Verbindung aufbaut
aber nun gut wenn Du es so willst dann schau Dir weiter oben die Anleitungen an und dann
wirst das auch hinbekommen, man installiert dann ein Zertifikat auf dem FileZilla Server und
dann bei einer Verbindung wird der Klient "gefragt", ob er das Zertifikat annehmen möchte
und dann erst wird die Verbindung verschlüsselt. Unterbinden kann man das ganz einfach
in dem man denFTP/SFTP Benutzer in FileZilla deaktiviert, fertig?

Alternativen:
- Windows Server 2008 FTP Rolle installieren und dann dort via SSL Zertifikat absichern
- VPN Server aufsetzen und dann nach der Einwahl Verzeichnisse zur Verfügung stellen

Gruß
Dobby
Bitte warten ..
Mitglied: BlueStarDE
07.08.2014 um 16:34 Uhr
Danke Dobby für Deine Ausführungen....

Also VPN kommt einfach nicht in Frage.... (zu lang die Erklärung).... Es muss also was ganz Einfaches sein...

"man installiert dann ein Zertifikat auf dem FileZilla Server und dann bei einer Verbindung wird der Klient "gefragt", ob er das Zertifikat annehmen möchte"

Das ist dann ja in dem Sinne eine Sicherheit für die Clients. Es sollte ja umgekehrt sein, dass der Client gefragt wird: "Hast Du mein Zertifikat? - Nein? Dann kommst Du hier net rein!" ..... "Hast Du mein Zertifikat? Ja? Dann herzlich Willkommen!"

Bitte warten ..
Mitglied: hcfel1
07.08.2014 um 17:10 Uhr
Für diese Sicherheit sind die Zugangsdaten!

Ob du die Zugangsdaten oder ein Zertifikat plain übertragst ist egal... sind ja nur Bits

daher Zugangsdaten und SSL !
problem solved!
Bitte warten ..
Mitglied: 16568
07.08.2014 um 21:07 Uhr
Zitat von hcfel1:
Für diese Sicherheit sind die Zugangsdaten!

Oder IP-/Host-Berechtigungen...

Ob du die Zugangsdaten oder ein Zertifikat plain übertragst ist egal... sind ja nur Bits

Hm, das sehe ich auch anders...

daher Zugangsdaten und SSL !
problem solved!

Man merkt schon, Du hast zum Einen das Problem des Fragestellers nicht verstanden, und zum Anderen scheinst Du etwas realitätsfern zu sein.


Lonesome Walker
PS: @BlueStarDE Deine Google Suchbegriffe sind Filezilla IP Filter
Bitte warten ..
Mitglied: BlueStarDE
07.08.2014, aktualisiert um 22:05 Uhr
Lonesome Walker:

IP Filter klingt gut.... aber das bringt ja nur etwas, wenn die "Clients" feste IPs haben. Es connecten sich aber ganz normal Privatuser von ihrem Heim-Zugang...
Bitte warten ..
Mitglied: 108012
08.08.2014 um 13:03 Uhr
Das ist dann ja in dem Sinne eine Sicherheit für die Clients. Es sollte ja umgekehrt sein,
dass der Client gefragt wird: "Hast Du mein Zertifikat? - Nein? Dann kommst Du hier net
rein!" ..... "Hast Du mein Zertifikat? Ja? Dann herzlich Willkommen!"
Dann sollte man aber auch ein Programm nehmen das genau diese Anforderungen unterstützt!

Also VPN kommt einfach nicht in Frage.... (zu lang die Erklärung)....
Es muss also was ganz Einfaches sein...
Ein VPN kann man auch via Zertifikat absichern, ebenso wie ein gesamtes Netzwerk
mittels eines Radius Servers, wenn FileZilla das so nicht unterstützt was DU vor hast.

Gruß
Dobby
Bitte warten ..
Ähnliche Inhalte
Vmware

VSphere Client kann keine Verbindung aufbauen - HTTP Status 503

Frage von itrandzVmware16 Kommentare

Hallo Zusammen, ich habe gerade den Fehler, dass ich mich per vSphere Client nicht mehr mit dem ESXi-Server verbinden ...

Datenbanken

Verbindung auf Datenbank welche auf Client installiert istvon extern

Frage von be-proCSharpDatenbanken

Hallo liebes Forum, ich habe mal eine Frage bezüglich Verbindungen zu einer Datenbank von extern. Zu meinem Problem: Ich ...

Utilities

Filezilla update installiert - Verzeichnisinhalt konnte nicht empfangen werden

Frage von mexxsCHUtilities1 Kommentar

Bitte um Hilfe. Habe ein neues Update installiert 3.11.0.2 und nun erscheinen meine Verzeichnisinhalte nicht mehr auf dem Server. ...

Netzwerke

WLAN Verbindung über Richtantenne aufbauen

Frage von bosserNetzwerke11 Kommentare

Hallo zusammen, folgendes Szenario: ich möchte über eine Richtantenne von Gebäude A zu Gebäude B (eine Scheune) eine WLAN ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein interessanter Beitrag dazu: Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10 Anscheinend ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL14 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1011 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)11 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs11 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...