Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Filezilla - SFTP mit Zertifikat (nur Clients mit installiertem Zertifikat sollen Verbindung aufbauen können)

Frage Internet Server

Mitglied: BlueStarDE

BlueStarDE (Level 1) - Jetzt verbinden

05.08.2014 um 19:02 Uhr, 5288 Aufrufe, 12 Kommentare

Hallo zusammen....

Situation: Windows Server 2008 R2, Filezilla-FTP-Server ist installiert und nimmt ganz normal auf Port 23 Verbindungen an. Benutzername und Kennwort sind zur Authentifizierung notwendig.

Jetzt kam es schon vor, dass wohl die Zugangsdaten weitergegeben worden sind, oder gehackt worden sind und somit fremde auf dem Server waren.

Gibt es die Möglichkeit - und wenn ja, wie - das Ganze auf SFTP umzustellen und nur Clients den Verbindungsaufbau zu erlauben, die ein Zertifikat lokal installiert haben?

Freue mich über Rückmeldungen.

Besten Dank.
Mitglied: hcfel1
05.08.2014 um 19:19 Uhr
ein Client Zertifikat ist nicht möglich...

Allerdings via openVPN schon..(ist aber bei meinen Tests nicht so performant gewesen als FTPS)

verwendet ihr derzeit plain FTP ? warum Port 23? zumal 21 da Standard ist...
ein höherer Port wird eher nicht so oft angegriffen / überwacht... 50123 ?

Für die Sicherheit der Datenübertragung / Zugangsdaten auf FTPS setzen...
Filezilla Server Optionen -> SL/TLS Settings
hier dann disallow plain ftp nicht vergessen

Ich würde auf 2-4k beim Zertifikat setzen...
Mit dem Assistenten kannst du ein selbstsigniertes erstellen...


unter Logging dann gleich Logfiles aktivieren, dann können ungebetene Gäste und gehackte Accounts identifiziert werden...

lg
Bitte warten ..
Mitglied: 16568
05.08.2014 um 23:01 Uhr
Wozu Zertifikate???

IP und gut...


Lonesome Walker
Bitte warten ..
Mitglied: BlueStarDE
05.08.2014 um 23:03 Uhr
Hallo hcfel1,

natürlich meinte ich den Port 21! Nur eine Verwechslung beim Schreiben.

Danke aber für Deine Tips.
Bitte warten ..
Mitglied: hcfel1
06.08.2014 um 01:02 Uhr
Gut, Ich bin im allgemeinen paranoid (Passwörter im Privatbereich haben gerne 15- 20 Stellen etc.)
aber FTPS ist unter Filezilla in 2 Minuten konfiguriert, diesen "Aufwand" würde ich eingehen...
zumal nicht alle Firmen fixe IPs haben(weiß ja nicht ob BlueStar mit 5 Mann Buden arbeiten muss)

Grüße
Bitte warten ..
Mitglied: 16568
06.08.2014 um 06:52 Uhr
Zitat von hcfel1:
zumal nicht alle Firmen fixe IPs haben

Dann nimmt man halt anstelle der IP's Hostnames...
Zertifikate haben den unangenehmen Nachgeschmack, daß man sie exportieren/weitergeben kann...
(ich weiß, die Paranoiden handeln meist ohne Weitsicht und Usability...)


Lonesome Walker
Bitte warten ..
Mitglied: BlueStarDE
06.08.2014 um 07:08 Uhr
Es wird mit IPs gearbeitet. Es wird da auf nem "irgendwo gehostetem" Server gearbeitet. (Ich frage nur für einen Kollegen)

Besten Dank.
Bitte warten ..
Mitglied: Dobby
06.08.2014 um 23:11 Uhr
Hallo,

Ok das ist schon einleuchtend, denn FTP überträgt im Klartext und das ist so
ziemlich das unsicherste was man zur Zeit machen kann.

Jetzt kam es schon vor, dass wohl die Zugangsdaten weitergegeben worden sind,
oder gehackt worden sind und somit fremde auf dem Server waren.
Und das Zertifikat kann man nicht weitergeben?
Also so wie es schon von @hcfel1 beschrieben worden ist, verhält es sich auch
wirklich mit FileZilla, das kann man auch hier alles nachlesen.

SFTP mit FileZilla
FileZilla mit SSL Zertifikaten nutzen
Einrichtung von SFTP mit Public Key Authentifizierung
Kann ich mich auch mit einem SSH-Key über FileZilla einloggen?

Gibt es die Möglichkeit - und wenn ja, wie - das Ganze auf SFTP umzustellen
Ja

und nur Clients den Verbindungsaufbau zu erlauben, die ein Zertifikat lokal installiert haben?
Siehe in den Anleitungen weiter oben.

Im allgemeinen ist es doch aber eher so das man eine VPN Verbindung aufbaut und dann
auf den FTP Server zugreifen kann und/oder man einfach nur eine SFTP Verbindung aufbaut
aber nun gut wenn Du es so willst dann schau Dir weiter oben die Anleitungen an und dann
wirst das auch hinbekommen, man installiert dann ein Zertifikat auf dem FileZilla Server und
dann bei einer Verbindung wird der Klient "gefragt", ob er das Zertifikat annehmen möchte
und dann erst wird die Verbindung verschlüsselt. Unterbinden kann man das ganz einfach
in dem man denFTP/SFTP Benutzer in FileZilla deaktiviert, fertig?

Alternativen:
- Windows Server 2008 FTP Rolle installieren und dann dort via SSL Zertifikat absichern
- VPN Server aufsetzen und dann nach der Einwahl Verzeichnisse zur Verfügung stellen

Gruß
Dobby
Bitte warten ..
Mitglied: BlueStarDE
07.08.2014 um 16:34 Uhr
Danke Dobby für Deine Ausführungen....

Also VPN kommt einfach nicht in Frage.... (zu lang die Erklärung).... Es muss also was ganz Einfaches sein...

"man installiert dann ein Zertifikat auf dem FileZilla Server und dann bei einer Verbindung wird der Klient "gefragt", ob er das Zertifikat annehmen möchte"

Das ist dann ja in dem Sinne eine Sicherheit für die Clients. Es sollte ja umgekehrt sein, dass der Client gefragt wird: "Hast Du mein Zertifikat? - Nein? Dann kommst Du hier net rein!" ..... "Hast Du mein Zertifikat? Ja? Dann herzlich Willkommen!"

Bitte warten ..
Mitglied: hcfel1
07.08.2014 um 17:10 Uhr
Für diese Sicherheit sind die Zugangsdaten!

Ob du die Zugangsdaten oder ein Zertifikat plain übertragst ist egal... sind ja nur Bits

daher Zugangsdaten und SSL !
problem solved!
Bitte warten ..
Mitglied: 16568
07.08.2014 um 21:07 Uhr
Zitat von hcfel1:
Für diese Sicherheit sind die Zugangsdaten!

Oder IP-/Host-Berechtigungen...

Ob du die Zugangsdaten oder ein Zertifikat plain übertragst ist egal... sind ja nur Bits

Hm, das sehe ich auch anders...

daher Zugangsdaten und SSL !
problem solved!

Man merkt schon, Du hast zum Einen das Problem des Fragestellers nicht verstanden, und zum Anderen scheinst Du etwas realitätsfern zu sein.


Lonesome Walker
PS: @BlueStarDE Deine Google Suchbegriffe sind Filezilla IP Filter
Bitte warten ..
Mitglied: BlueStarDE
07.08.2014, aktualisiert um 22:05 Uhr
Lonesome Walker:

IP Filter klingt gut.... aber das bringt ja nur etwas, wenn die "Clients" feste IPs haben. Es connecten sich aber ganz normal Privatuser von ihrem Heim-Zugang...
Bitte warten ..
Mitglied: Dobby
08.08.2014 um 13:03 Uhr
Das ist dann ja in dem Sinne eine Sicherheit für die Clients. Es sollte ja umgekehrt sein,
dass der Client gefragt wird: "Hast Du mein Zertifikat? - Nein? Dann kommst Du hier net
rein!" ..... "Hast Du mein Zertifikat? Ja? Dann herzlich Willkommen!"
Dann sollte man aber auch ein Programm nehmen das genau diese Anforderungen unterstützt!

Also VPN kommt einfach nicht in Frage.... (zu lang die Erklärung)....
Es muss also was ganz Einfaches sein...
Ein VPN kann man auch via Zertifikat absichern, ebenso wie ein gesamtes Netzwerk
mittels eines Radius Servers, wenn FileZilla das so nicht unterstützt was DU vor hast.

Gruß
Dobby
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 10
gelöst RDP Verbindung zu Windows 10 Prof. mit Zertifikat sichern (2)

Frage von Windows11 zum Thema Windows 10 ...

Exchange Server
gelöst Outlook 2010 und 2013 Clients verlieren Verbindung zu Exchange 2016 (4)

Frage von glenncapri zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2013 kann keine Verbindung mit Outlook 2013 aufbauen für weitere Domain (9)

Frage von corpse2001 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...