114068
Mar 11, 2015
1137
6
0
Verschlüsseltes FTP mit pre shared Zertifikaten und IP-Sperre?
Hallo,
stehe gerade vor der Aufgabe einen FTP-Server einzurichten auf einem Windows-Server 2012R2, der folgendes können muss:
- IP-Sperre, damit nur 3 PCs über das Internet darauf zugreifen können (also nicht aus dem lokalen Netz)
- auf diesen 3 PCs soll im Vorfeld ein Zertifikat installiert werden, das diese als authentisch ausweist (IP lässt sich ja immerhin auch an anderen Rechnern einstellen)
- das Ganze soll zudem verschlüsselt übertragen werden (v.a. das Passwort)
(bis hier würde sich Filezilla Server anbieten), aber der allerwichtigste Punkt, woran es hakt:
- die Zertifikate sollen nicht vom FTP-Server beziehbar sein, d.h. also z.B.
bei Filezilla Server soll das Ding seine Zertifikate den Clients nicht zum Abruf anbieten - leider lässt sich in Filezilla Server nicht einstellen, dass der das Zertifikat den Clients nicht geben soll
mit dem IIS (der nach Möglichkeit eh nicht installiert werden soll, da reiner Fileserver angedacht) und FTP bin ich auch nicht wirklich weiter gekommen, da das Ganze also so ablaufen soll:
auf IP gesperrter Client klopft am FTP-Server an, zeigt dort sein Zertifikat, FTP-Server prüft IP und Zertifikat und gestattet dann den Zugriff, stellt aber selber NICHT das Zertifikat zur Verfügung. Das muss manuell verteilt werden.
Gibt es irgendein Programm, mit dem sich das einfach einstellen lässt - vielleicht auch eine übersehene Option in Filezilla Server?
stehe gerade vor der Aufgabe einen FTP-Server einzurichten auf einem Windows-Server 2012R2, der folgendes können muss:
- IP-Sperre, damit nur 3 PCs über das Internet darauf zugreifen können (also nicht aus dem lokalen Netz)
- auf diesen 3 PCs soll im Vorfeld ein Zertifikat installiert werden, das diese als authentisch ausweist (IP lässt sich ja immerhin auch an anderen Rechnern einstellen)
- das Ganze soll zudem verschlüsselt übertragen werden (v.a. das Passwort)
(bis hier würde sich Filezilla Server anbieten), aber der allerwichtigste Punkt, woran es hakt:
- die Zertifikate sollen nicht vom FTP-Server beziehbar sein, d.h. also z.B.
bei Filezilla Server soll das Ding seine Zertifikate den Clients nicht zum Abruf anbieten - leider lässt sich in Filezilla Server nicht einstellen, dass der das Zertifikat den Clients nicht geben soll
mit dem IIS (der nach Möglichkeit eh nicht installiert werden soll, da reiner Fileserver angedacht) und FTP bin ich auch nicht wirklich weiter gekommen, da das Ganze also so ablaufen soll:
auf IP gesperrter Client klopft am FTP-Server an, zeigt dort sein Zertifikat, FTP-Server prüft IP und Zertifikat und gestattet dann den Zugriff, stellt aber selber NICHT das Zertifikat zur Verfügung. Das muss manuell verteilt werden.
Gibt es irgendein Programm, mit dem sich das einfach einstellen lässt - vielleicht auch eine übersehene Option in Filezilla Server?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 265876
Url: https://administrator.de/contentid/265876
Printed on: April 26, 2024 at 18:04 o'clock
6 Comments
Latest comment
Moin,
Das hört sich für mich wie ein klassisches VPN-Szenario an. Wirf doch mal eine Blick auf OpenVPN
lg,
Slainte
auf IP gesperrter Client klopft am FTP-Server an, zeigt dort sein Zertifikat, FTP-Server prüft IP und Zertifikat und gestattet dann den Zugriff, stellt aber selber NICHT das Zertifikat zur Verfügung. Das muss manuell verteilt werden.
Das hört sich für mich wie ein klassisches VPN-Szenario an. Wirf doch mal eine Blick auf OpenVPN
lg,
Slainte
Hallo, schön gedacht, geht aber leider nicht, da ich auf die Clients bei den Partnern selbst keinen Zugriff habe und außer denen eben das Zertifikat auszuhändigen, nichts installieren kann und darf, schon gar nicht OpenVPN. Das ist ja auch der Grund für die IP-Sperre, dass nur authorisierte Partner-IPs Zugang bekommen.
Vielleicht noch zur Erklärung, warum der ganze Aufwand: es handelt sich um sensible Patientendaten, die am Server gespeichert werden und nur von den Kassen zur Leistungsverrechnung eingesehen werden müssen. Bisher wurden immer die Akten geschleppt - neuerdings soll das elektronisch gescannt und die Dateien abholbereit für die Kassen am Server liegen. Eben nur deren IPs dafür authorisiert und natürlich natürlich komplett verschlüsselt.
Hätte auch nichts gegen eine kommerzielle Lösung, wenn es sowas gibt dafür, solange das sicher läuft (ich meine halt, NSA-sicher geht´s eh nicht, aber für den Durchschnittsbürger halt).
Vielleicht noch zur Erklärung, warum der ganze Aufwand: es handelt sich um sensible Patientendaten, die am Server gespeichert werden und nur von den Kassen zur Leistungsverrechnung eingesehen werden müssen. Bisher wurden immer die Akten geschleppt - neuerdings soll das elektronisch gescannt und die Dateien abholbereit für die Kassen am Server liegen. Eben nur deren IPs dafür authorisiert und natürlich natürlich komplett verschlüsselt.
Hätte auch nichts gegen eine kommerzielle Lösung, wenn es sowas gibt dafür, solange das sicher läuft (ich meine halt, NSA-sicher geht´s eh nicht, aber für den Durchschnittsbürger halt).
Hallo,
du willst also das der Client sich mit einem Zertifikat bei deinem Server autorisiert?!?
Im IIS gibt es die Möglichkeit Client-Zertifikate als Erforderlich vorauszusetzen.
Einfach mal nach IIS Clientzertifikate googlen
Bei meiner kurzen Recherche habe ich folgende Seiten gefunden:
http://www.iis.net/configreference/system.applicationhost/sites/site/ft ...
du willst also das der Client sich mit einem Zertifikat bei deinem Server autorisiert?!?
Im IIS gibt es die Möglichkeit Client-Zertifikate als Erforderlich vorauszusetzen.
Einfach mal nach IIS Clientzertifikate googlen
Bei meiner kurzen Recherche habe ich folgende Seiten gefunden:
http://www.iis.net/configreference/system.applicationhost/sites/site/ft ...
Hallo - danke, werde das mal probieren.
Hallo - hab´s jetzt probiert - leider präsentiert der im IIS eingebaute FTP-Server auch jedem, der sich zu ihm hinverbindet, sein Zertifikat.
Hallo
Ja das ist ja eigentlich auch nicht schlimm aber ich denke das du nur eine Verbindung herstellen kannst, wenn der Client ein passendes Zertifikat hat
Ja das ist ja eigentlich auch nicht schlimm aber ich denke das du nur eine Verbindung herstellen kannst, wenn der Client ein passendes Zertifikat hat