|
| Sikker FTP, er det muligt Fra : Michael |
Dato : 06-10-03 08:50 |
|
Hej,
Jeg har fået til opgave at lave et netværk med alt hvad dette indebære af
installation af Windows servere, klienter, domæner, routere og opsætning af
VPN og da jeg ikke er prof' vil I nok se en del til mig i det næste stykke
tid
Her er mit første spørgsmål.
Hvad gør man hvis man ønsker at nogle af ens kunder skal kunne downloade fx
opdateringer, jeg tænker på FTP som vist ikke er så forbandet sikkert,
kunne man evt. smide en firewall ind som kun lukker bestemte IP adresser ind
evt. sammen med MAC, hvor sikkert er det? Eller skal man bruge VPN?
/md
#1
| |
Stig Meyer Jensen (06-10-2003)
| Kommentar Fra : Stig Meyer Jensen |
Dato : 06-10-03 13:04 |
|
"Michael" <news@mhcdan.dk> skrev i en meddelelse
news:3f811eaa$0$32503$edfadb0f@dread16.news.tele.dk...
[snip]
>
> Hvad gør man hvis man ønsker at nogle af ens kunder skal kunne downloade
fx
> opdateringer, jeg tænker på FTP som vist ikke er så forbandet sikkert,
> kunne man evt. smide en firewall ind som kun lukker bestemte IP adresser
ind
> evt. sammen med MAC, hvor sikkert er det? Eller skal man bruge VPN?
IMHO kommer det meget an på hvordan dit setup ser ud og hvor fleksible dine
kunder er. Du kan sikkert godt få noget sikker ftp kommunikation op, men du
kan bruge en masse resourcer på at sikre noget og så alligvel være åben for
exploits. Hvis du allerede har en server, hvor nogen ringer ind med VPN, vil
det IMO være meget nemmere at oprette dine kunder der og lade dem logge
ind - hvis det ellers er muligt i kundens ende og du ellers har styr på din
VPN mht. adgang osv.
Når kunden så er logget på med VPN ville jeg nok foretrække FTP frem for SMB
anyways ;)
--
Stig Meyer Jensen
stig@mine_3_initialer.dk
| |
Bjarke Andersen (06-10-2003)
| Kommentar Fra : Bjarke Andersen |
Dato : 06-10-03 13:07 |
|
"Michael" <news@mhcdan.dk> crashed Echelon writing
news:3f811eaa$0$32503$edfadb0f@dread16.news.tele.dk:
> Hvad gør man hvis man ønsker at nogle af ens kunder skal kunne
> downloade fx opdateringer, jeg tænker på FTP som vist ikke er så
> forbandet sikkert, kunne man evt. smide en firewall ind som kun lukker
> bestemte IP adresser ind evt. sammen med MAC, hvor sikkert er det?
> Eller skal man bruge VPN?
Kommer an på hvor sikkert du vil gøre det. Og jeg formoder vi snakker om
FTP over internet.
FTP programmet eller Firewall (alt efter program/udstyr) kan filtrere på
IP-adresser, men hvis der er tale om mange kunder, vil det ende med en
medarbejder vil kunne bruge en del tid på at ændre opsætning for kunden
hvis de skifter udbyder eller skal bruge opdateringerne fra anden lokation.
At filtrere på MAC adresse ved jeg faktisk ikke om kan lade sig gøre over
Internet. Andre?
VPN kan bruges som erstatning eller som tillæg til ovenstående. Udover den
hjælper til at identificere brugeren som logger på og samtidig krypterer
trafikken, kan den evt. bruges i forbindelse med filtreringen på IP-
adresser.
Husk dog, VPN erstatter/forbedrer ikke sikkerheden ved adgang ligesom FTP.
Enhver kan logge sig på VPN fx. ved at have VPN klienten og et fungerende
brugernavn og adgangskode, på akkurat samme måde som (u)sikkerheden ved
FTP.
VPN vil bare hjælpe med at kryptere den trafikken.
--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address
| |
Stig Meyer Jensen (06-10-2003)
| Kommentar Fra : Stig Meyer Jensen |
Dato : 06-10-03 13:21 |
|
"Bjarke Andersen" <usenet@*spammer*bjoeg.dk> skrev i en meddelelse
news:Xns940C8F96D4325bjoegdk@130.225.247.90...
[Snip snak om ftp over vpn]
> VPN kan bruges som erstatning eller som tillæg til ovenstående. Udover den
> hjælper til at identificere brugeren som logger på og samtidig krypterer
> trafikken, kan den evt. bruges i forbindelse med filtreringen på IP-
> adresser.
>
> Husk dog, VPN erstatter/forbedrer ikke sikkerheden ved adgang ligesom FTP.
> Enhver kan logge sig på VPN fx. ved at have VPN klienten og et fungerende
> brugernavn og adgangskode, på akkurat samme måde som (u)sikkerheden ved
> FTP.
>
> VPN vil bare hjælpe med at kryptere den trafikken.
Hvilket vel eliminerer det (imo) primære problem ved FTP:
At passwords sendes ukrypteret.
--
Stig Meyer Jensen
stig@mine_3_initialer.dk
| |
Jens (06-10-2003)
| Kommentar Fra : Jens |
Dato : 06-10-03 13:27 |
|
"Stig Meyer Jensen" <stig@mine_3_initialer.dk> skrev i en meddelelse
> > VPN vil bare hjælpe med at kryptere den trafikken.
>
> Hvilket vel eliminerer det (imo) primære problem ved FTP:
> At passwords sendes ukrypteret.
Om det virker eller hvordan ved jeg ikke, men nogle ftpservere har en knap
som angiver at password og brugernavne skal være krypteret.
Mvh Jens
| |
Stig Meyer Jensen (06-10-2003)
| Kommentar Fra : Stig Meyer Jensen |
Dato : 06-10-03 13:40 |
|
"Jens" <mkg@jellingnet.dk> skrev i en meddelelse
news:blrn0j$b6l$1@news.net.uni-c.dk...
>
> "Stig Meyer Jensen" <stig@mine_3_initialer.dk> skrev i en meddelelse
>
> > > VPN vil bare hjælpe med at kryptere den trafikken.
> >
> > Hvilket vel eliminerer det (imo) primære problem ved FTP:
> > At passwords sendes ukrypteret.
>
> Om det virker eller hvordan ved jeg ikke, men nogle ftpservere har en knap
> som angiver at password og brugernavne skal være krypteret.
Ja der er vist noget med at nogen servere / klienter kan noget med X.509
certifikater, men hvordan (og om) det virker fornuftigt ved jeg ikke. Der
stoler jeg mere på det forskellige VPN implementeringer :)
Vi kan jo evt. FUTte over i dk.edb.sikkerhed og se om der er nogen der ved
mere? :P
--
Stig Meyer Jensen
stig@mine_3_initialer.dk
| |
Jens (06-10-2003)
| Kommentar Fra : Jens |
Dato : 06-10-03 13:56 |
|
"Stig Meyer Jensen" <stig@mine_3_initialer.dk> skrev i en meddelelse
> Vi kan jo evt. FUTte over i dk.edb.sikkerhed og se om der er nogen der ved
> mere? :P
Nejnej, jeg interesserer mig kun for mit lille hjemmenet, der er sikkerhed
jo ligegyldigt.
Det er kun vigtigt at der kan åbnes nogen netværksdrev over min switch og 6
ipèr fra tdc, jeg bliver banned fra den gruppe på under 3 indlæg.
(ja lad os det.)
Mvh Jens
| |
Uffe S. Callesen (06-10-2003)
| Kommentar Fra : Uffe S. Callesen |
Dato : 06-10-03 14:18 |
|
>>> Bjarke Andersen<usenet@*spammer*bjoeg.dk> 06-10-2003 14:06:55 >>>
>At filtrere på MAC adresse ved jeg faktisk ikke om kan lade sig gøre over
>Internet. Andre?
Nope - kan ikke lade sig gøre hvis jeg husker teorien rigtigt !
Umiddelbart vil jeg mene den bedste løsning er at placere en FTP server på
et DMZ ben - og så ellers filtrere på IP adresser - det kombineret med
stærke user/passwords bør være godt nok til de fleste. Ikke mindst fordi
serveren er placeret så et evt. hack ikke får yderligere konsekvenser.
/Uffe Callesen
| |
Glenn Møller-Holst (06-10-2003)
| Kommentar Fra : Glenn Møller-Holst |
Dato : 06-10-03 14:32 |
|
Michael wrote:
> Hej,
>
> Jeg har fået til opgave at lave et netværk med alt hvad dette indebære af
> installation af Windows servere, klienter, domæner, routere og opsætning af
> VPN og da jeg ikke er prof' vil I nok se en del til mig i det næste stykke
> tid
>
>
> Her er mit første spørgsmål.
>
> Hvad gør man hvis man ønsker at nogle af ens kunder skal kunne downloade fx
> opdateringer, jeg tænker på FTP som vist ikke er så forbandet sikkert,
> kunne man evt. smide en firewall ind som kun lukker bestemte IP adresser ind
> evt. sammen med MAC, hvor sikkert er det? Eller skal man bruge VPN?
>
>
> /md
> #1
>
>
Hej Michael
Svar:
Problems with the FTP protocol:
http://www.seifried.org/security/network/20010926-ftp-protocol.html
"...
Currently vsftpd (Very Secure FTPD) is the only ftp server I know of
specifically designed with security as it's main goal.
...
Kurt: What do you think of FTP in general?
H D Moore: To be plain, FTP sucks
...
For a secure transfer protocol, I recommend scp [Secure CoPy], part of
the OpenSSH package. There are FREE windows clients available, as well
as Full-Featured GUI applications by companies like F-Secure. SCP does
incur an encryption overhead, but for most cases it is fast enough.
..."
-
Active FTP vs. Passive FTP, a Definitive Explanation:
http://www.slacksite.com/other/ftp.html
mvh/Glenn
| |
Glenn Møller-Holst (06-10-2003)
| Kommentar Fra : Glenn Møller-Holst |
Dato : 06-10-03 14:50 |
|
Michael wrote:
> Hej,
>
> Jeg har fået til opgave at lave et netværk med alt hvad dette indebære af
> installation af Windows servere, klienter, domæner, routere og opsætning af
> VPN og da jeg ikke er prof' vil I nok se en del til mig i det næste stykke
> tid
>
>
> Her er mit første spørgsmål.
>
> Hvad gør man hvis man ønsker at nogle af ens kunder skal kunne downloade fx
> opdateringer, jeg tænker på FTP som vist ikke er så forbandet sikkert,
> kunne man evt. smide en firewall ind som kun lukker bestemte IP adresser ind
> evt. sammen med MAC, hvor sikkert er det? Eller skal man bruge VPN?
>
>
> /md
> #1
>
>
Hej Michael
SafeTP Windows Client.
Windows 95/98/ME/NT/2000:
http://safetp.cs.berkeley.edu/safetpc.html
SafeTP Server on Windows NT/2000:
http://safetp.cs.berkeley.edu/nt.html
Hovedadresse:
SafeTP.
Transparent FTP Security Software.
For Windows 9x/ME/NT/2000 and UNIX:
http://safetp.cs.berkeley.edu/
mvh/Glenn
| |
Michael (06-10-2003)
| Kommentar Fra : Michael |
Dato : 06-10-03 15:10 |
| | |
Socketd (06-10-2003)
| Kommentar Fra : Socketd |
Dato : 06-10-03 15:41 |
|
On Mon, 6 Oct 2003 09:50:01 +0200
"Michael" <news@mhcdan.dk> wrote:
> Hvad gør man hvis man ønsker at nogle af ens kunder skal kunne
> downloade fx opdateringer, jeg tænker på FTP som vist ikke er så
> forbandet sikkert, kunne man evt. smide en firewall ind som kun lukker
> bestemte IP adresser ind evt. sammen med MAC, hvor sikkert er det?
> Eller skal man bruge VPN?
Normalt overfalder folk ftp pga den misforståelse at passwords og
usernames sendes i klar tekst, men det er åbenbart ikke gået op for dem
at alle ftp servere og klienter, med respekt for sig selv, understøtter
ssl/tls.
http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext.html
mvh
socketd
| |
|
|