|
| Sikker FTP Fra : Jonas Koch Bentzen |
Dato : 04-01-02 11:57 |
|
Jeg er ved at opsætte en server, som forskellige Windows-brugere skal have FTP-adgang til. Problemet er sikkerheden:
Jeg ville foretrække, at alle brugernavne og adgangskoder krypteres.
Windows-brugerne vil gerne kunne bruge deres normale FTP-program (jeg
har prøvet at prakke dem WinSCP på, og den var de ikke glade for).
Findes der en metode, hvorpå jeg kan tilbyde dem sikker adgang gennem
deres standard-FTP-program? Jeg har set på SafeTP, men det ser ret
kompliceret ud. Det i sig selv er ikke det store problem, men det ser
ud som om, man skal installere et eller andet på Windows-maskinen også,
og det går ikke, eftersom det er en del forskellige Windows-maskiner på
forskellige netværk, der skal kunne logge ind.
--
Jonas Koch Bentzen
http://understroem.dk/
| |
Claus Rasmussen (04-01-2002)
| Kommentar Fra : Claus Rasmussen |
Dato : 04-01-02 12:07 |
|
Jonas Koch Bentzen wrote:
> Jeg er ved at opsætte en server, som forskellige Windows-brugere skal have
> FTP-adgang til. Problemet er sikkerheden: .............................
Jeg vil foreslå, at du klipper ftp fra ikke-autoriserede netværk i
firewallen.
Det kan du selvfølgelig ikke gøre, hvis klienterne kan komme fra hele
internettet, men selv hvis du kun kan begrænse adgangen til f.eks en
ISPers ip-range vil meget være vundet.
Jeg administrerer i øjeblikket en maskine, hvor jeg netop klipper på
en ISPers range. Det virker fint: Antal crack-forsøg mod maskinen er
lig nul.
-Claus
| |
Jonas Koch Bentzen (04-01-2002)
| Kommentar Fra : Jonas Koch Bentzen |
Dato : 04-01-02 12:09 |
|
Claus Rasmussen skrev:
> Jonas Koch Bentzen wrote:
>
>> Jeg er ved at opsætte en server, som forskellige Windows-brugere skal
>> have FTP-adgang til. Problemet er sikkerheden:
>> .............................
>
> Jeg vil foreslå, at du klipper ftp fra ikke-autoriserede netværk i
> firewallen.
Tak for forslaget, men det kommer desværre ikke til at virke her. Det
er et krav, at folk også kan logge på f.eks. hjemmefra, og desuden er
der flere af netværkene, der baserer sig på en TDC-løsning med dynamisk
IP-adresse.
--
Jonas Koch Bentzen
http://understroem.dk/
| |
Thorbjoern Ravn Ande~ (04-01-2002)
| Kommentar Fra : Thorbjoern Ravn Ande~ |
Dato : 04-01-02 12:16 |
|
Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:
> Tak for forslaget, men det kommer desværre ikke til at virke her. Det
> er et krav, at folk også kan logge på f.eks. hjemmefra, og desuden er
> der flere af netværkene, der baserer sig på en TDC-løsning med dynamisk
> IP-adresse.
En anden mulighed er at benytte et ssh-program til at lave en tunnel
ind, og så lave ftp via denne (til localhost). TeraTerm og Putty kan
lave tunnels.
Jeg har selv brugt http-tunneling, og ladet mig høre at ftp også er muligt.
--
Thorbjørn Ravn Andersen 'He should have a red hat,' said
http://bigfoot.com/~thunderbear Twoflower. 'And he certainly ought to be
cleaner and more, more sort of jolly.
He doesn't look like any gnome to me.'
| |
Jonas Koch Bentzen (04-01-2002)
| Kommentar Fra : Jonas Koch Bentzen |
Dato : 04-01-02 12:17 |
|
Thorbjoern Ravn Andersen skrev:
> Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:
>
>> Tak for forslaget, men det kommer desværre ikke til at virke her. Det
>> er et krav, at folk også kan logge på f.eks. hjemmefra, og desuden er
>> der flere af netværkene, der baserer sig på en TDC-løsning med
>> dynamisk IP-adresse.
>
> En anden mulighed er at benytte et ssh-program til at lave en tunnel
> ind, og så lave ftp via denne (til localhost). TeraTerm og Putty kan
> lave tunnels.
Men det kræver vel også installation af et eller andet på
Windows-maskinen? Det er nemlig det, jeg gerne vil undgå.
--
Jonas Koch Bentzen
http://understroem.dk/
| |
Niels Andersen (04-01-2002)
| Kommentar Fra : Niels Andersen |
Dato : 04-01-02 12:42 |
|
"Jonas Koch Bentzen" <ingen.emailadresse@eksempel.dk> wrote in message
news:a142vp$t2s$1@sunsite.dk...
> Men det kræver vel også installation af et eller andet på
> Windows-maskinen? Det er nemlig det, jeg gerne vil undgå.
Hvis du kun har standard FTP på klienten, kan du kun bruge standard FTP.
--
Mvh.
Niels Andersen
| |
Martin Ehmsen (04-01-2002)
| Kommentar Fra : Martin Ehmsen |
Dato : 04-01-02 13:23 |
|
Niels Andersen wrote:
> "Jonas Koch Bentzen" <ingen.emailadresse@eksempel.dk> wrote in message
> news:a142vp$t2s$1@sunsite.dk...
>> Men det kræver vel også installation af et eller andet på
>> Windows-maskinen? Det er nemlig det, jeg gerne vil undgå.
>
> Hvis du kun har standard FTP på klienten, kan du kun bruge standard
FTP.
Hvordan sikre store udbydere af FTP sig egentligt. Når jeg fx. går ind
på ftp.suse.com, ftp.sunsite.dk, ftp.redhat.com osv... hvordan sikre de
sig så mod de usikkerheder der er i standard FTP??
Mvh.
Martin Ehmsen
--
"Life is good for only two things,
discovering mathematics and teaching mathematics"
Siméon Poisson
| |
Jonas Koch Bentzen (04-01-2002)
| Kommentar Fra : Jonas Koch Bentzen |
Dato : 04-01-02 14:12 |
|
Martin Ehmsen skrev:
> Niels Andersen wrote:
>
>> "Jonas Koch Bentzen" <ingen.emailadresse@eksempel.dk> wrote in
>> message news:a142vp$t2s$1@sunsite.dk...
>>> Men det kræver vel også installation af et eller andet på
>>> Windows-maskinen? Det er nemlig det, jeg gerne vil undgå.
>>
>> Hvis du kun har standard FTP på klienten, kan du kun bruge standard
> FTP.
>
> Hvordan sikre store udbydere af FTP sig egentligt. Når jeg fx. går ind
> på ftp.suse.com, ftp.sunsite.dk, ftp.redhat.com osv... hvordan sikre
> de sig så mod de usikkerheder der er i standard FTP??
På de sites er der jo tale om anonym FTP. Der er det, at brugernavnet
og adgangskoden bliver sendt i klar tekst, ikke noget problem.
--
Jonas Koch Bentzen
http://understroem.dk/
| |
Martin Ehmsen (04-01-2002)
| Kommentar Fra : Martin Ehmsen |
Dato : 04-01-02 14:25 |
|
Jonas Koch Bentzen wrote:
>> Hvordan sikre store udbydere af FTP sig egentligt. Når jeg fx. går
ind
>> på ftp.suse.com, ftp.sunsite.dk, ftp.redhat.com osv... hvordan sikre
>> de sig så mod de usikkerheder der er i standard FTP??
>
> På de sites er der jo tale om anonym FTP. Der er det, at brugernavnet
> og adgangskoden bliver sendt i klar tekst, ikke noget problem.
Det er klart, jeg ved ikke lige hvor jeg havde mine tanker
Men på nogle servere (også af de mere kendte) kræves at man logger på,
hvis man alm. bruger benytter man anonymous og ens e-mail, men der må
være andre som logger "rigtigt" på. På sådanne server må de da have
Jonas' problem. Nemlig at nogle folk sidder med standard FTP og bruger
anonmous login og andre bruger ting som ikke må ses af 3. part.
Hvordan skiller de lige tingene ad, så de rigtige brugere ikke sender
deres passwords i klar tekst?
Mvh.
Martin Ehmsen
--
"Life is good for only two things,
discovering mathematics and teaching mathematics"
Siméon Poisson
| |
Thorbjoern Ravn Ande~ (04-01-2002)
| Kommentar Fra : Thorbjoern Ravn Ande~ |
Dato : 04-01-02 14:08 |
|
Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:
> Men det kræver vel også installation af et eller andet på
> Windows-maskinen? Det er nemlig det, jeg gerne vil undgå.
Der findes java-versioner af ssh-klienter.
Hvorfor spørger du om Windowsting i Unixgruppen?
--
Thorbjørn Ravn Andersen 'He should have a red hat,' said
http://bigfoot.com/~thunderbear Twoflower. 'And he certainly ought to be
cleaner and more, more sort of jolly.
He doesn't look like any gnome to me.'
| |
Søren Jacob Lauritse~ (04-01-2002)
| Kommentar Fra : Søren Jacob Lauritse~ |
Dato : 04-01-02 15:20 |
|
Thorbjoern Ravn Andersen wrote
> Hvorfor spørger du om Windowsting i Unixgruppen?
Det er jo taget ud af sammenhængen, der kunne lige så godt have stået
klienten.
/Søren
--
Fjern "nospam" fra e-mailadressen, hvis du vil maile til mig!
www: http://www.sjl.dk/ - ICQ: 83 60 347
| |
Christian E. Lysel (05-01-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 05-01-02 14:24 |
|
Thorbjoern Ravn Andersen wrote:
> Hvorfor spørger du om Windowsting i Unixgruppen?
Måske får han bedre svar her :)
| |
Peter Makholm (04-01-2002)
| Kommentar Fra : Peter Makholm |
Dato : 04-01-02 15:00 |
|
Martin Ehmsen <thames@get2net.dk> writes:
> Hvordan skiller de lige tingene ad, så de rigtige brugere ikke sender
> deres passwords i klar tekst?
Tillader ikke andet end anonymous login. Folk der har konti på
maskinerne kan sagtens bruge ssh (scp/sftp).
--
Når folk spørger mig, om jeg er nørd, bliver jeg altid ilde til mode
og svarer lidt undskyldende: "Nej, jeg bruger RedHat".
-- Allan Olesen på dk.edb.system.unix
| |
Alex Holst (04-01-2002)
| Kommentar Fra : Alex Holst |
Dato : 04-01-02 12:32 |
|
Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> wrote:
> Jeg er ved at opsætte en server, som forskellige Windows-brugere skal have
> FTP-adgang til. Problemet er sikkerheden: Jeg ville foretrække, at alle
> brugernavne og adgangskoder krypteres.
> Windows-brugerne vil gerne kunne bruge deres normale FTP-program (jeg
> har prøvet at prakke dem WinSCP på, og den var de ikke glade for).
Din eneste rigtige mulighed er lokke din FTP server til at bruge en form for
to faktor validering, f.eks. CryptoCard tokens, eller lignende. Det koster
penge.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Christian E. Lysel (04-01-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 04-01-02 12:43 |
|
Alex Holst wrote:
> Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> wrote:
>
>>Jeg er ved at opsætte en server, som forskellige Windows-brugere skal have
>>FTP-adgang til. Problemet er sikkerheden: Jeg ville foretrække, at alle
>>brugernavne og adgangskoder krypteres.
>>Windows-brugerne vil gerne kunne bruge deres normale FTP-program (jeg
>>har prøvet at prakke dem WinSCP på, og den var de ikke glade for).
>>
>
> Din eneste rigtige mulighed er lokke din FTP server til at bruge en form for
> to faktor validering, f.eks. CryptoCard tokens, eller lignende. Det koster
> penge.
Problemet er blot at session er i klar tekst, og kan overtages af en 3.
part efter to faktor valideringe har fundet sted.
Hvad med at implementere ftp ydelsen på en webserver i stedet? Er dette
muligt.
Skal brugerne kunne gemme filer på serveren? I http protokollen kan du
godt gemme filer på serveren.
Hvis du bruger http istedet for ftp, kan du kører sessionen i SSL.
Du skal dog være opmærksom på at kører http sessionen på en sikker
webserver.
Herefter kan du tilføje den stærke brugervalidering.
Kan dine brugere evt. kører med certifikater i deres browsere?
Evt. har lotus notes, webapplikationer der også løser dit problem.
| |
Jonas Koch Bentzen (04-01-2002)
| Kommentar Fra : Jonas Koch Bentzen |
Dato : 04-01-02 13:02 |
|
Christian E. Lysel skrev:
>
> Hvad med at implementere ftp ydelsen på en webserver i stedet? Er
> dette muligt.
>
> Skal brugerne kunne gemme filer på serveren? I http protokollen kan du
> godt gemme filer på serveren.
Det er efter min mening en rigtig dårlig ide, hvis brugerne skal kunne
oploade store filer (og det skal de). Jeg vil ikke anbefale
HTTP-uploads større end 8 MB. Der bruges enormt megen RAM til det.
--
Jonas Koch Bentzen
http://understroem.dk/
| |
Christian E. Lysel (04-01-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 04-01-02 13:31 |
|
Jonas Koch Bentzen wrote:
> Det er efter min mening en rigtig dårlig ide, hvis brugerne skal kunne
> oploade store filer (og det skal de). Jeg vil ikke anbefale
> HTTP-uploads større end 8 MB. Der bruges enormt megen RAM til det.
RAM? I hvilket setup og på hvilken side (klient/server)
| |
Jonas Koch Bentzen (04-01-2002)
| Kommentar Fra : Jonas Koch Bentzen |
Dato : 04-01-02 14:09 |
|
Christian E. Lysel skrev:
> Jonas Koch Bentzen wrote:
>
>> Det er efter min mening en rigtig dårlig ide, hvis brugerne skal
>> kunne oploade store filer (og det skal de). Jeg vil ikke anbefale
>> HTTP-uploads større end 8 MB. Der bruges enormt megen RAM til det.
> '
>
> RAM? I hvilket setup og på hvilken side (klient/server)
Server. Jeg har kun prøvet med PHP, skal det lige siges. Samtidig er
der det problem, at browseren jo ofte timer ud efter nogle minutter.
Det kan give problemer, hvis der er tale om store filer.
--
Jonas Koch Bentzen
http://understroem.dk/
| |
Niels Andersen (04-01-2002)
| Kommentar Fra : Niels Andersen |
Dato : 04-01-02 17:22 |
|
"Jonas Koch Bentzen" <ingen.emailadresse@eksempel.dk> wrote in message
news:a149gt$imb$1@sunsite.dk...
[file-upload via http]
> Samtidig er
> der det problem, at browseren jo ofte timer ud efter nogle minutter.
> Det kan give problemer, hvis der er tale om store filer.
Det siger folk ofte, men jeg aner ikke hvor det kommer fra.
Browseren timer altså ikke ud, så længe der sker noget! I så fald er det en
bug!
--
Mvh.
Niels Andersen
| |
Jonas Koch Bentzen (04-01-2002)
| Kommentar Fra : Jonas Koch Bentzen |
Dato : 04-01-02 18:08 |
|
Niels Andersen skrev:
>
> "Jonas Koch Bentzen" <ingen.emailadresse@eksempel.dk> wrote in message
> news:a149gt$imb$1@sunsite.dk...
> [file-upload via http]
>> Samtidig er
>> der det problem, at browseren jo ofte timer ud efter nogle minutter.
>> Det kan give problemer, hvis der er tale om store filer.
>
> Det siger folk ofte, men jeg aner ikke hvor det kommer fra.
Virkeligheden.
> Browseren timer altså ikke ud, så længe der sker noget!
Jo, mange browsere vil time ud, hvis ikke de får noget svar tilbage.
Prøv følgende script, der kører i fem minutter, før det svarer:
<?php
set_time_limit(300);
sleep(300);
echo "Hallo!";
?>
Jeg prøvede det på min egen maskine, og allerede efter ca. et minut gav
Konqueror mig beskeden "Tidsudløb på serveren localhost".
--
Jonas Koch Bentzen
http://understroem.dk/
| |
Jonas Koch Bentzen (04-01-2002)
| Kommentar Fra : Jonas Koch Bentzen |
Dato : 04-01-02 18:09 |
|
Jonas Koch Bentzen skrev:
> Niels Andersen skrev:
>>
>> Browseren timer altså ikke ud, så længe der sker noget!
>
> Jo, mange browsere vil time ud, hvis ikke de får noget svar tilbage.
Okay, det var måske det, du mente med "sker noget"? Godt nok, men jeg
tør ikke basere en professionel løsning på en formodning om, at de
fleste browsere "nok" ikke timer ud, hvis man hele tiden sender dem
noget.
--
Jonas Koch Bentzen
http://understroem.dk/
| |
Jonas Koch Bentzen (05-01-2002)
| Kommentar Fra : Jonas Koch Bentzen |
Dato : 05-01-02 12:08 |
|
Jonas Koch Bentzen skrev:
> Jonas Koch Bentzen skrev:
>
>> Niels Andersen skrev:
>>>
>>> Browseren timer altså ikke ud, så længe der sker noget!
>>
>> Jo, mange browsere vil time ud, hvis ikke de får noget svar tilbage.
>
> Okay, det var måske det, du mente med "sker noget"? Godt nok, men jeg
> tør ikke basere en professionel løsning på en formodning om, at de
> fleste browsere "nok" ikke timer ud, hvis man hele tiden sender dem
> noget.
Jeg forsøgte i øvrigt at lave det script, jeg sendte før, om til at
udskrive noget for hvert x. sekund. Browseren timede stadig ud.
--
Jonas Koch Bentzen
http://understroem.dk/
| |
Niels Andersen (06-01-2002)
| Kommentar Fra : Niels Andersen |
Dato : 06-01-02 14:30 |
|
"Jonas Koch Bentzen" <ingen.emailadresse@eksempel.dk> wrote in message
news:a16mq1$jsm$1@sunsite.dk...
> Jeg forsøgte i øvrigt at lave det script, jeg sendte før, om til at
> udskrive noget for hvert x. sekund. Browseren timede stadig ud.
Mig bekendt må timeout-tælleren starte forfra hver gang programmet modtager
en byte.
Jeg har selv lige haft en browser til at køre i over en time, hvor den kun
har modtaget ganske få bytes. Den kører stadig...
Hvordan skal browseren kunne se forskel på, om serveren står og venter i
nogle sekunder, eller om det er en dårlig forbindelse?
Hvis jeg downloader en fil med en browser over en dårlig forbindelse, så
giver browseren da heller ikke op, bare fordi der ikke kommer data i nogle
sekunder.
Nu hvor jeg har skrevet det ovenstående, kommer jeg i tanker om hvad det
egentlig drejer sig, nemlig at uploade en fil. Og der er jo slet ingen
pauser! Hvorfor i alverden skulle browseren time ud, når der slet ingen
pauser er???
--
Mvh.
Niels Andersen
| |
Allan Olesen (17-01-2002)
| Kommentar Fra : Allan Olesen |
Dato : 17-01-02 07:57 |
|
"Niels Andersen" <niels-usenet@myplace.dk> wrote:
>Nu hvor jeg har skrevet det ovenstående, kommer jeg i tanker om hvad det
>egentlig drejer sig, nemlig at uploade en fil. Og der er jo slet ingen
>pauser! Hvorfor i alverden skulle browseren time ud, når der slet ingen
>pauser er???
Serveren kan vel lige så vel forårsage pauser på en upload. Det er jo
tcp, så der skal sendes pakker begge veje.
--
Allan Olesen, Lunderskov
"UNIX er overflødigt." - Lars P. Fischer
| |
Niels Andersen (04-01-2002)
| Kommentar Fra : Niels Andersen |
Dato : 04-01-02 18:57 |
|
"Jonas Koch Bentzen" <ingen.emailadresse@eksempel.dk> wrote in message
news:a14ngm$sju$1@sunsite.dk...
> > [file-upload via http]
> >> Samtidig er
> >> der det problem, at browseren jo ofte timer ud efter nogle minutter.
> >> Det kan give problemer, hvis der er tale om store filer.
> >
> > Det siger folk ofte, men jeg aner ikke hvor det kommer fra.
> > Browseren timer altså ikke ud, så længe der sker noget!
>
> Jo, mange browsere vil time ud, hvis ikke de får noget svar tilbage.
Lad os lige tage den forfra:
1) Browseren åbner en tcp-socket til serveren.
2) Browseren sender en fil.
3) Serveren returner et svar, nok en html-fil.
Det, der tager tid, er punkt 2. En browser kan have en timeout på 1 minut,
men alligevel stå og køre i punkt 2 i en halv time. Ligesom når man
downloader. En browser timer jo ikke ud bare fordi det tager lang tid at
downloade en fil.
> Prøv følgende script, der kører i fem minutter, før det svarer:
Det er jo også noget *helt* andet.
(Fra dit andet svar)
> Okay, det var måske det, du mente med "sker noget"? Godt nok, men jeg
> tør ikke basere en professionel løsning på en formodning om, at de
> fleste browsere "nok" ikke timer ud, hvis man hele tiden sender dem
> noget.
Hvis en browser timer ud mens den uploader, så er det en *bug*! En ret grov
en, endda. Selv Microsoft ville nok finde og rette fejlen inden release.
--
Mvh.
Niels Andersen
| |
Adam Sjøgren (05-01-2002)
| Kommentar Fra : Adam Sjøgren |
Dato : 05-01-02 12:31 |
|
On Sat, 05 Jan 2002 12:07:42 +0100, Jonas Koch Bentzen wrote:
> Jeg forsøgte i øvrigt at lave det script, jeg sendte før, om til at
> udskrive noget for hvert x. sekund. Browseren timede stadig ud.
.... men hvad med den modsatte problemstilling: Hvis browseren
upload'er en stor fil _sender_ browseren hele tiden noget. Time'r den
så også ud?
Mvh.
--
"Well, I'm a moon around you" Adam Sjøgren
asjo@koldfront.dk
| |
Jonas Koch Bentzen (05-01-2002)
| Kommentar Fra : Jonas Koch Bentzen |
Dato : 05-01-02 14:04 |
|
Adam Sjøgren skrev:
>
> Hvis browseren
> upload'er en stor fil _sender_ browseren hele tiden noget. Time'r den
> så også ud?
Min browser (Konqueror) gør ikke (testede med en fil på 4-5 MB). Jeg
har ikke testet det med andre browsere.
--
Jonas Koch Bentzen
http://understroem.dk/
| |
Thorbjoern Ravn Ande~ (04-01-2002)
| Kommentar Fra : Thorbjoern Ravn Ande~ |
Dato : 04-01-02 14:10 |
|
Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:
> Det er efter min mening en rigtig dårlig ide, hvis brugerne skal kunne
> oploade store filer (og det skal de). Jeg vil ikke anbefale
> HTTP-uploads større end 8 MB. Der bruges enormt megen RAM til det.
Andre forslag kunne være at bruge WebDAV og Internet Explorer. Det er der mange webservere der kan.
Hvad præcis er dine krav og hvad kan du forvente at folk kan hitte ud af at bruge.
--
Thorbjørn Ravn Andersen 'He should have a red hat,' said
http://bigfoot.com/~thunderbear Twoflower. 'And he certainly ought to be
cleaner and more, more sort of jolly.
He doesn't look like any gnome to me.'
| |
CykelSmeden fra Aalb~ (04-01-2002)
| Kommentar Fra : CykelSmeden fra Aalb~ |
Dato : 04-01-02 15:42 |
|
"Thorbjoern Ravn Andersen" <thunderbear@bigfoot.com> skrev i en meddelelse
news:kk3d1m1cvm.fsf@mimer.null.dk...
> Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:
>
> Hvad præcis er dine krav og hvad kan du forvente at folk kan hitte ud af
at bruge.
> --
enig. Jeg havde store problemer med hacks inden jeg begyndte at pille i
ftpadgang.
efter at jeg fik lavet at kun kendte brugere kom ind, og ftpadgang kun ser
sit eget dir som rod, har jeg haft mange forsøg på angreb, men ingen
indtrængen. (standard ftp)
Jeg har selvfølgelig den fordel at ingen ftpbrugere har brug for
terminaladgang, så telnet er lukket.
teoretisk er det sikkert en dårlig løsning, men i praksis ser det indtil nu
(> 3mdr) udmærket ud.
finn
| |
Jonas Koch Bentzen (04-01-2002)
| Kommentar Fra : Jonas Koch Bentzen |
Dato : 04-01-02 16:25 |
|
Thorbjoern Ravn Andersen skrev:
>
> Hvad præcis er dine krav og hvad kan du forvente at folk kan hitte ud
> af at bruge.
Mine krav har jeg faktisk specificeret allerede i første indlæg, men
her kommer de igen:
1. Forskellige Windows-brugere på forskellige netværk, hvoraf nogle har
dynamisk IP.
2. Brugerne skal kunne FTP med deres sædvanlige FTP-program.
Jeg ved godt, det er urimelige betingelser, men, d'herrer, sådan ser
virkeligheden altså nogle gange ud. Det er ikke alle kunder, der er
villige til at skifte til et SCP/sftp-program.
Som jeg kan læse af tråden, er der stort set ikke noget, jeg kan gøre
for at sikre, at adgangskoden ikke bliver sendt i klar tekst. Til
gengæld kan jeg så sørge for, at FTP-brugerne ikke har SSH-adgang
(hvilket var den oprindelige plan, som selvfølgelig kun kunne lykkes,
hvis FTP-delen var krypteret).
--
Jonas Koch Bentzen
http://understroem.dk/
| |
Thorbjoern Ravn Ande~ (04-01-2002)
| Kommentar Fra : Thorbjoern Ravn Ande~ |
Dato : 04-01-02 17:10 |
|
Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:
> 1. Forskellige Windows-brugere på forskellige netværk, hvoraf nogle har
> dynamisk IP.
> 2. Brugerne skal kunne FTP med deres sædvanlige FTP-program.
>
> Jeg ved godt, det er urimelige betingelser, men, d'herrer, sådan ser
> virkeligheden altså nogle gange ud. Det er ikke alle kunder, der er
> villige til at skifte til et SCP/sftp-program.
>
> Som jeg kan læse af tråden, er der stort set ikke noget, jeg kan gøre
> for at sikre, at adgangskoden ikke bliver sendt i klar tekst. Til
> gengæld kan jeg så sørge for, at FTP-brugerne ikke har SSH-adgang
> (hvilket var den oprindelige plan, som selvfølgelig kun kunne lykkes,
> hvis FTP-delen var krypteret).
Du kan ikke få standard FTP-klienter til at kryptere deres password.
Så enkelt er dét.
Så er du nødt til at lave en ekstern tunnel som du kan ftp'e igennem.
Det kræver at der sker noget på klienten - og dit eneste alternativ
til et lille program lagt ud til at oprette den pågældende tunnel, er
en javaklient der gør det samme.
Fra
http://rad.geology.washington.edu/~tj/proftpd/doc/contrib/ProFTPD-mini-HOWTO-SSH.html
ser det ud til at det eneste der skal til, er en proxy på port 21, og
at klienten kan køre passivt. Da det kun er dataoverførslen der sker
på andre porte, kan det være at det er tilstrækkeligt.
Jeg går ud fra du godt kan sætte serveren op så brugeren ikke behøver
gøre dét selv.
Med hensyn til Java applets (brugeren åbner en given webside og logger
ind, herefter virker ftp) så kig på
http://www.google.com/search?hl=da&q=ftp+ssh+tunnel+java+applet&lr=
Der er en del at blive klog af. AppGates java applet har jeg brugt
med stor interesse. Den har også en enkel "flyt filer med musen"
funktionalitet, som let kan være et interessant alternativ. Der
nævnes også en integreret FTP-proxy, som gør lige præcis hvad du gerne
vil have.
Er det noget at starte på? Eller er det noget andet du gerne vil have?
--
Thorbjørn Ravn Andersen 'He should have a red hat,' said
http://bigfoot.com/~thunderbear Twoflower. 'And he certainly ought to be
cleaner and more, more sort of jolly.
He doesn't look like any gnome to me.'
| |
Jonas Koch Bentzen (04-01-2002)
| Kommentar Fra : Jonas Koch Bentzen |
Dato : 04-01-02 18:02 |
| | |
Christian E. Lysel (05-01-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 05-01-02 14:22 |
|
Jonas Koch Bentzen wrote:
> Det tror jeg - tak for linket.
Er du sikker?
Dine krav var at brugerne kun har en ftp klient, dette krav forudsætte
også at brugerne har åbent for ftp i deres firewall.
Hvis du skal downloade en java applet bør dette ske igennem ftp for at
overholde ovennævnte krav.
Når nu appletten er hentet vil brugerne kører ssh over port 22, hvilket
ikke nødvendigvis er åbnet i deres firewall.
Dine krav skal således udvides til at tillade ftp, ssh og klienterne
skal også have en virtuel java motor.
Skal det være brugervenligt skal de hente java-appleten igennem https
(port 443), hvilket udvidere kravet med https.
Min forslag ville blot kører al traffik igennem https, og kræve en
browser med understøttelse af ssl og http/1.1.
| |
Jonas Koch Bentzen (05-01-2002)
| Kommentar Fra : Jonas Koch Bentzen |
Dato : 05-01-02 21:03 |
|
Christian E. Lysel skrev:
> Jonas Koch Bentzen wrote:
>
>> Det tror jeg - tak for linket.
>
>
> Er du sikker?
At jeg kan bruge det i denne sammenhæng - nej. At jeg kan bruge det i
andre sammenhænge - ja. Jeg har efterhånden fundet ud af, at det var
lidt naivt at tro, at jeg kunne lave en ordentlig løsning uden at
installere noget på Windows-maskinerne, men til andre løsninger er
Thorbjørns løsning måske en mulighed.
--
Jonas Koch Bentzen
http://understroem.dk/
| |
Thorbjoern Ravn Ande~ (05-01-2002)
| Kommentar Fra : Thorbjoern Ravn Ande~ |
Dato : 05-01-02 21:44 |
|
Jonas Koch Bentzen <ingen.emailadresse@eksempel.dk> writes:
> lidt naivt at tro, at jeg kunne lave en ordentlig løsning uden at
> installere noget på Windows-maskinerne, men til andre løsninger er
> Thorbjørns løsning måske en mulighed.
Det er en gråzone om en given applet er kørende, netop fordi koden
følger med websiden. Er det ikke acceptabelt at sige at folk skal
logge ind på den og den side, inden de går i gang med ftp?
--
Thorbjørn Ravn Andersen 'He should have a red hat,' said
http://bigfoot.com/~thunderbear Twoflower. 'And he certainly ought to be
cleaner and more, more sort of jolly.
He doesn't look like any gnome to me.'
| |
Mickey (04-01-2002)
| Kommentar Fra : Mickey |
Dato : 04-01-02 15:31 |
|
"Jonas Koch Bentzen" <ingen.emailadresse@eksempel.dk> skrev i en meddelelse
news:a141pb$qef$1@sunsite.dk...
> Jeg er ved at opsætte en server, som forskellige Windows-brugere skal have
FTP-adgang til. Problemet er sikkerheden:
> Jeg ville foretrække, at alle brugernavne og adgangskoder krypteres.
> Windows-brugerne vil gerne kunne bruge deres normale FTP-program (jeg
> har prøvet at prakke dem WinSCP på, og den var de ikke glade for).
> Findes der en metode, hvorpå jeg kan tilbyde dem sikker adgang gennem
> deres standard-FTP-program? Jeg har set på SafeTP, men det ser ret
> kompliceret ud. Det i sig selv er ikke det store problem, men det ser
> ud som om, man skal installere et eller andet på Windows-maskinen også,
> og det går ikke, eftersom det er en del forskellige Windows-maskiner på
> forskellige netværk, der skal kunne logge ind.
SafteTP er din ven ;)
- safetp.cs.berkeley.edu
Den agerer proxy både på server og på klient siden, dvs der skal installeres
en manager på windowsmaskinen og så kan det normale FTP program eller bruges
som sædvanligt. SafeTP lægger sig så mellem klienten og nettet og krypterer
session og data kanalerne (evt. kun session) og på serveren sker ca. det
samme mellem internettet og FTP serveren.
--
|-|$235-|)k - Mickey - Eko sum lapis
Problemer med forbindelsen ?
- lav en traceroute på http://trace.susie.dk
| |
Niels Andersen (04-01-2002)
| Kommentar Fra : Niels Andersen |
Dato : 04-01-02 17:26 |
|
"Mickey" <003@susie.dk> wrote in message
news:a14g5d$irp$1@egon.worldonline.dk...
> > Jeg har set på SafeTP, men det ser ret
> > kompliceret ud. Det i sig selv er ikke det store problem, men det ser
> > ud som om, man skal installere et eller andet på Windows-maskinen også,
> > og det går ikke
> SafteTP er din ven ;)
[...]
> dvs der skal installeres
> en manager på windowsmaskinen
Øh?
--
Mvh.
Niels Andersen?
| |
Mickey (04-01-2002)
| Kommentar Fra : Mickey |
Dato : 04-01-02 17:02 |
|
"Niels Andersen" <niels-usenet@myplace.dk> skrev i en meddelelse
news:zIkZ7.11978
> Øh?
sorry - fik vist ikke læst indlæget ordentligt... :(
- og btw, SafeTP er ikke kompliceret for windowsdelen
--
|-|$235-|)k - Mickey - Eko sum lapis
Problemer med forbindelsen ?
- lav en traceroute på http://trace.susie.dk
| |
|
|