FTP nur im privaten Netz

Status
Für weitere Antworten geschlossen.

US-1111

Benutzer
Mitglied seit
20. Mrz 2018
Beiträge
14
Punkte für Reaktionen
1
Punkte
9
Hallo zusammen,

ich war bisher nur stiller Mitleser - jetzt habe ich aber eine Frage, für die ich keine richtige Antwort gefunden habe:

Entgegen den meisten hier im Forum, möchte ich einen FTP Sever aufsetzen, der nicht von außen, sondern nur innerhalb des privaten Netzwerks, also hinter der Fritzbox, nutzbar ist.

Meine Fragen:

  • Ist das per se sicher, solange ich die entsprechenden Ports auf der Fritzbox nicht freigebe? Oder muss ich mehr Maßnahmen ergreifen?
  • Wenn ja, kann ich dann auf SFTP verzichten und aus Performance Gründen FTP machen?

Hintergrund:
Ich lege mit einem Programm BackUps von verschiedenen Familienrechnern auf dem NAS ab. Nun mache ich mir schon seit einiger Zeit Gedankon zu Ransom Ware ala WannaCry. Daher möchte ich das Laufwerk Mapping der Rechner zum NAS loswerden und die Sicherung per FTP mit jeweils eigenen Usern/Password aufsetzen. Meine Hoffnung wäre, dass Ransom Ware so ausgesperrt wäre und meine Backups sicher sind. Allerdings will ich auf keinen Fall ein Einfallstor von außen aufmachen.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
  • Ist das per se sicher, solange ich die entsprechenden Ports auf der Fritzbox nicht freigebe? Oder muss ich mehr Maßnahmen ergreifen?
Alles, was keinen offenen Ports im Router hat - vorausgesetzt, solche elendigen Dinge wie UPnP-Automatismen sind dort deaktiviert - ist von außen nicht erreichbar und damit sehr sicher. Restunsicherheiten sind natürlich immer dann vorhanden, wenn andere Ziele im LAN von außen erreichbar sind und dort Lücken genutzt werden könnten, um sich erweiterte Rechte zu verschaffen und von dort dann weitere Ziele im LAN anzugreifen.
  • Wenn ja, kann ich dann auf SFTP verzichten und aus Performance Gründen FTP machen?
Zunächst einmal bist Du Herr über Dein LAN - von daher ist es vertrauenswürdig und bedarf nicht unbedingt einer Verschlüsselung. Nutzt man WLAN oder andere von extern erreichbare Dienste, ergibt sich ein gewisses Gefährdungspotential, dem Du aber durch geeignete Maßnahmen wie bspw. einer Firewallregel begegnen könntest, die den FTP-Zugriff nur für Geräte einer bestimmten IP gestattet. Vor Angriffen über Ransom Ware von diesen zugelassenen Geräten schützt das allerdings nicht gänzlich - wenn von dort per Benutzerkennung auf die DS zugegriffen wird, kann das grundsätzlich auch von entsprechender Malware getan werden.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Aktiviere zusätzlich in der Firewall der Syno den Zugriff für FTP aber schränke den IP-Bereich auf dein lokales Netz ein.
 

US-1111

Benutzer
Mitglied seit
20. Mrz 2018
Beiträge
14
Punkte für Reaktionen
1
Punkte
9
Danke für die Tipps!

Eine Frage habe ich noch zu
Vor Angriffen über Ransom Ware von diesen zugelassenen Geräten schützt das allerdings nicht gänzlich - wenn von dort per Benutzerkennung auf die DS zugegriffen wird, kann das grundsätzlich auch von entsprechender Malware getan werden..
Wenn auf dem Client kein Laufwerksmapping existiert und ich in der Backup Software den FTP User mit PW im Backup Profil hinterlege, dann sehe ich eigentlich nur 2 Szenarien, dass eine Ransomware trotzdem den Backup verschlüsselt:

  • Der Trojaner verhält sich längere Zeit still und snifft den Netzwerkverkehr (da ist viel auszuwerten und ob FTP ins Beuteschema passt?)
  • Der Trojaner ist so schlau, dass er die Backup profile scant und die Credentials da rausliest (eigentlich auch unwahrscheinlich, wenn man bedenkt, wieviele Backup Programme es gibt und wie selten das Szenario wohl ist)
Oder habe ich was übersehen?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Letztlich ist es doch nur eine Frage, ob jemand gezielt Schaden anrichten will - wenn ich das möchte, dann werde ich bspw. auch gezielt einen Blick auf gängige Backuplösungen werfen (denn wenn das Ziel eines Angriffs ein funktionierendes Backup der Daten hat, ist ein Angriff weitgehend nutzlos). Und die dafür in Frage kommenden Protokolle sind endlich... abgesehen davon kann ein verschlüsseltes Backup nochmals durch eine Malware verschlüsselt werden, wenn man den ausgehenden Datenverkehr angreift. Oder aber - wenn Programme das nicht abfangen - einen Proxy nutzen (teilweise auch den, der mitunter durch die bekannten Sicherheitssoftware-Pakete auf den Rechnern etabliert wird). Unbedenkliche Sicherheit wirst Du also nicht erreichen.
 

US-1111

Benutzer
Mitglied seit
20. Mrz 2018
Beiträge
14
Punkte für Reaktionen
1
Punkte
9
Schon klar, dass es keinen 100%igen Schutz gibt. Ich habe ja auch noch externe Backups.
Aber WannaCry hat mich schon nachhaltig beeindruckt: man konnte infiziert werden, allein weil eine Verbindung zum Internet bestand.
Und da fühle ich mich ein wenig besser, wenn ich etwas abseits der Standardwege benutze um meine Sicherungen zu fahren.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat