Sicherheit bei FTP

[scoubie]

Hallo zusammen,

ich hab da mal zur Sicherheit eine Frage:

Ich benutze einen Cisco Router, die Prot-Freigabe kann nur durch meinen Internetanbieter erfolgen, ich selbst habe keinen Zugriff auf diese Einstellungen.
Der Router ist auf NAT eingestellt, ich müßte also für FTP z.B. den Portbereich 55536-55663 freischalten lassen.

Und nun endlich zur Frage: wenn ich diese Ports freischalten lasse, habe ich in diesem Bereich ja keinen Firewallschutz mehr, oder?
Ich würde also die DS-508 direkt an den Router anschließen und dann kann man von außen theoretisch via FTP zugreifen können.

Besitzt die DS-508 eine eigene Firewall? Wenn nein, wie kann ich mich schützen?

Vielen Dank für die Info!


mfG

scoubie

 

[HarryPotter]

Eine Firewall macht nichts anderes als Ports blocken oder freigeben.
Wenn du also diesen FPT Ports am Router öffnest, was willst du denn dahinter mit einer Firewall? Die Ports wieder schliessen

 

[scoubie]

Servus HarryPotter,

eigentlich ging es darum, ob jemand unberechtigter dann Zugriff hat.


mfG

Scoubie

 

[Trolli]

Einen Zugriff über FTP bekommt man nur mit entsprechendem Passwort. Es sollte ein sicheres Passwort gewählt werden, außerdem solltest Du darüber nachdenken, nur SSL/TLS-Verbindungen zu Deinem FTP-Server zuzulassen, damit das Passwort auch nicht bei der Eingabe abgefangen werden kann. Mit diesen Vorbeugemaßnahmen kann man FTP als relativ sicher bezeichnen.

Aber grundsätzlich ist es natürlich immer sicherer, keinen Zugriff von außen zuzulassen und die entsprechenden Ports dichtzumachen. Ist halt immer eine Frage des persönlichen Sicherheitsbedürfnisses.
-> http://www.synology-wiki.de/index.php/Grundsätzliches_zum_Thema_Netzwerksicherheit

Trolli

 

[smulg]

Ich habe hier mal den Screenshot beigefügt wo man die Einstellungen sieht.
Der anonyme Zugriff sollte NICHT aktiviert sein, und SSL/TLS sollte SCHON aktiviert sein.

 

[Trolli]

Sinnvoll wäre es noch, auch die 'automatische IP-Blockierung' einzuschalten.

 

[smulg]

Was genau versteckt sich hinter dieser Funktion? Stateful-FW? Oder einfach ein Filter welche IP auf keinen Fall zugelassen werden (Blockierungsliste)? Da wäre doch eine White-List besser, oder?

 

[Matthieu]

Wenn sich jemand versucht 5x mit dem falschen Passwort einzuloggen, landet er auf dieser Liste und wird ab sofort geblockt. Die DS guckt dann nicht einmal nach, ob die Zugangsdaten stimmen...

MfG Matthieu

 

[ag_bg]

Was genau versteckt sich hinter dieser Funktion? Stateful-FW? Oder einfach ein Filter welche IP auf keinen Fall zugelassen werden (Blockierungsliste)? Da wäre doch eine White-List besser, oder?

In die Listen werden IP´s aufgenommen, welche durch 5-maliges falsches Einloggen in 10 Minuten aufgefallen sind
Zitat aus der Hilfe im Management:

Automatische IP-Blockierung aktivieren

Wenn diese Funktion aktiviert ist, erkennt das System automatisch jene Hosts, die sich seit zehn Minuten mehr als fünfmal eingeloggt haben und fügt deren IP zur Blockierungsliste hinzu. Anwender von diesen blockierten Hosts können nicht mehr über das FTP auf das System zugreifen.

best regards

 

[smulg]

Ah, alles klar. Danke! Dann werde ich das natürlich auch aktivieren!

 

[scoubie]

Hallo Leute,

dank Eurer Hilfe habe ich es jetzt mal so hinbekommen, dass ich lokal via FTP auf die DS-508 zugreifen kann. Mittels Total Commander klappt das ganze sogar via ftps.

Nun stellt sich mir die Frage, wieviele Ports ich vom Router auf die DS weiterleiten lassen muß.

Sind 2 Ports ausreichen? Funktioniert das ganze, wenn ich z.B. die Ports 55536 und 55537 freischalten lasse?

Wie bereits erwähnt, kann ich an meinem Router selbst keine Änderungen vornehmen, ich muß diese von meinem Internetanbieter durchführen lassen.


Ich muß dann meinem Provider eine eMail schicken, in der ich ihm folgendes angebe:

Port-Nummer TCP / UDP interne IP-Adresse:
(Beispiel: 4711 TCP 10.11.12.13)
Bitte hier, pro gewünschtem Port eine Zeile anfügen !

Was benötigt man nun für FTP: TCP oder UDP?


Vielen Dank für Eure Hilfe!


mfG

Scoubie

 

[Trolli]

Für FTP benötigt man TCP-Ports. Du solltest die Ports doch etwas grosszügiger bemessen. Ich würde schon so 20-30 Ports dafür einkalkulieren.

Trolli

 

[scoubie]

Servus Trolli,

danke für die schnelle Antwort.

D.h. wenn ich die Ports 55536 bis 55538 an die IP meiner DS weiterleiten lasse, dann klappts mit FTP?
Ist das dann eine Sicherheitslücke oder kommt man dann nur zur DS und diese blockiert dann alle unberechtigten Zugriffe?

mfG

Scoubie

 

[Trolli]

Wenn im Programmcode des FTP-Servers keine Sicherheitslücke ist, ist die Portfreigabe unbedenklich. Aber natürlich ist jede Öffnung zum Internet hin natürlich eine potentielle Sicherheitslücke.

Trolli

 

[scoubie]

Wenn im Programmcode des FTP-Servers keine Sicherheitslücke ist, ist die Portfreigabe unbedenklich. Aber natürlich ist jede Öffnung zum Internet hin natürlich eine potentielle Sicherheitslücke.

Trolli

Servus Trolli,

und wie kann man das dann absichern?
Zugang nur per VPN?

Danke für Deine Hilfe!


mfG

Scoubie

 

[Trolli]

Vollständige Sicherheit gibt es nicht. Das ist das, was ich sagen wollte. Dazu müsstest Du schon das Kabel rausziehen. Und selbst dann könnte Dir noch jemand die Station klauen - dann wären die Daten auch weg. Es ist halt immer eine Frage wie wertvoll die Daten für Dich sind und wie hoch Dein Sicherheitsbedürftnis ist. Eine generelle Regel gibt es dazu nicht.

Vielleicht interessiert Dich auch unsere Wiki-Seite zum Thema: http://www.synology-wiki.de/index.php/Grunds%C3%A4tzliches_zum_Thema_Netzwerksicherheit

Trolli

 

[scoubie]

Für FTP benötigt man TCP-Ports. Du solltest die Ports doch etwas grosszügiger bemessen. Ich würde schon so 20-30 Ports dafür einkalkulieren.

Trolli

Servus Trolli,

habe gerade mit einem Techniker meines Internetanbieters gesprochen. Dieser meinte, für FTP würden die Ports 20 & 21 ausreichen. Wofür brauche ich 20-30 Ports?

Außerdem werde ich aus diesem Artikel einfach nicht schlau:

http://board.protecus.de/t4580.htm

Der Unterschied zwischen aktivem und passivem FTP ist mir weiterhin unklar


mfG

Scoubie

 

[Trolli]

Stimmt. Für aktives FTP reichen die Ports 20 + 21. Die anderen Ports benötigst Du nur für passiv FTP. Standardmäßig wird heute aber weitgehend passiv FTP eingesetzt, da hier auch mehrere Verbindungen gleichzeitig geöffnet werden können. Genau dazu braucht man auch die mehreren Ports - damit können dann mehrere Dateien gleichzeitig übertragen werden.
Wenn Du Deinen FTP-Zugang auch anderen Benutzern zugänglich machen willst, würde ich auf passiv FTP jedenfalls nicht verzichten...

Trolli

 

[smulg]

Es ist immer ein Balanceakt. Entweder man möchte die Dienste aus dem Internet nutzen können (FTP, SSH, ...) oder man schottet die DS ab.
Du kannst du FTP-Ports (aktiv wie auch passiv) ruhig weiterleiten lassen wenn du ein paar Punkte beachtest.

• KEIN anonymer Zugriff
• sichere Passwörter verwenden
• automatische IP-Blockierung aktivieren
• sicheres FTP (sFTP, FTP/SSH) verwenden (Die Logindaten werden nicht im Klartext übertragen)
• Von Zeit zu Zeit die Log-Files kontrollieren

Grüße
Smulg

 

[scoubie]

Danke für Eure Geduld!

Ich melde mich, sobald ich wieder was neues erreicht habe!

Ein wirklich super Forum mit sehr netten Usern!



mfG

Scoubie