Wer hat Erfahrungen mit FTPS (FTP over SSL)?

[Atomic]

Moin,

hat jemand von Euch Erfahrungen mit dem FTPS (FTP over SSL) featcher von FreeNAS? Ich wollte dass bei meinem FTP-Server einsetzen und wollte mal Fragen worauf man achten muss oder was alles schief gehen kann?

Hier gibt's einen interessanten Artikel zu dem Thema FTP und Firewall: https://learningnetwork.cisco.com/docs/DOC-8774

 

[warri]

Gibt es einen Grund, wieso du kein SFTP nutzen willst? Das ist deutlich einfacher einzurichten, sowohl in FreeNAS als auch bei der Firewall/NAT.

Hatte am Anfang auch mal mit FTPS rumprobiert, aber es damals nicht zum laufen bekommen - war jedoch auch FreeNAS 8.0.x, und man musste ordentlich an den Config-Files rumschrauben.

 

[Atomic]

Moin,

SFTP (FTP over SSH) kommst nicht in Frage, weil Port 22 oder SSH in der Firewall, für Zugriffe von aussen frei zu geben ist sehr riskant. Hab gerade vor zwei Wochen einen neuen Router montiert, es hat keine 20min gedauert bis ich die ersten Anfragen auf Port 22 in den Firewall logs gesehen habe.

Ich wollte Explizites FTPS entsetzten, das ist -zumindest laut Cisco- deutlich Firewall freundlicher und es ist auch Verschlüsselt. Ausserdem, soweit wie ich das FreeNAS Wiki verstanden habe kann man FTP und FTPS parallel laufen lassen. Das ist dann auch von "normalen" Usern verwendbar.

 

[warri]

Damit habe ich leider keine Erfahrung. Kannst es ja mal in einer VM ausprobieren, so schonst du dein Live-System ;)

Es gibt jedoch auch ein paar Maßnahmen, um SSH (SFTP) abzusichern:

• SFTP muss nicht zwingend auf Port 22 laufen - meiner läuft auf einem anderen Port, und es gibt so gut wie keine automatisierte Anfragen,
• man sollte root-Zugriffe verbieten,
• desweiteren kann man den Usern nur Rechte fürs sftp sub-system geben, so dass sie keine SSH Shell nutzen können (scp shell, user group sftp),
• als letzte Maßnahme kann man zusätzlich Passwort-basierte Logins verbieten und Keyfiles nutzen (dann hat ein Angreifer auch mit bruteforce keine Chance).

 

[Atomic]

Moin warri,

moderne Port-Scanner finden den SSH Port auch wenn er verschoben wurde. Das Verschieben der Ports, z.B. in den Bereich zwischen 40.000 und 60.000 hat früher geholfen, heutzutage bringt das kaum noch was.

Das FTPS (FTP over SSL) nicht leicht zu konfigurieren ist weiss ich aber es ist die professionellste Lösung.

 

[warri]

Moderne Portscanner finden auch den FTP(S)-Port. Damit kann man dann aber i.d.R. nichts anfangen wenn das System entsprechend sicher konfiguriert ist. Ich wollte damit nur sagen, dass sie meisten automatisierten Scans nur die Standardports abklappern.

Ich persönlich würde SFTP für die professionellere Lösung halten, aber das ist Ansichtssache.

Wenn du es zum Laufen kriegst, würde ich mich trotzdem über ein kleines HowTo freuen :)

 

[Atomic]

Ich werde mich bemühen. :D