vsftpd > internal > external

[mr. winterbottom]

Hallo Leute,

ich habe mich seit einiger Zeit mit ubuntu (Server Edition 8.10) befasst.
Hier habe ich den vsftpd aufgesetzt.

Nun habe ich bemerkt dass intern und extern nicht gleich sind!

Wenn ich am FTP-Client die LAN-IP der Servers eingebe kann ich problemlos auf den Server zugreifen.
Wenn ich aber mit einer DynDns Adress verweigert der Server den zugriff.
Sprich, die Anmelödung funktioniert zwar. Aber der Client rödelt und rödelt, kommt aber nicht an die Verzeichnisse ran und bricht, mit der Meldung "Das der passiv Modus fehlgeschlagen sei", ab.

Hängt dass damit zusammen dass ich im lokalen LAN mit einer DynDns "handtiere" oder geht dass generell nicht.

Was ich damit meine.
Wenn ich jetzt bei einem Freund wäre, könnte ich dann mittels DynDns zugreifen. oder geht dass generell nicht?


mr. winterbottom

 

[jahlives]

H
Hängt dass damit zusammen dass ich im lokalen LAN mit einer DynDns "handtiere" oder geht dass generell nicht.

Was ich damit meine.
Wenn ich jetzt bei einem Freund wäre, könnte ich dann mittels DynDns zugreifen. oder geht dass generell nicht?


mr. winterbottom

Das könnte sehr wohl der Grund sein, wenn du aus dem LAN via DynDNS Name zugreifen willst. Gute Router erkennen das und können damit umgehen.
Wenn die Konfig korrekt ist, dann sollte es kein Problem sein von extern via DynDNS Name zuzugreifen

 

[mr. winterbottom]

Was mich aber weiterhin irritiert ist dass das ganze "Spiel" auf der DS mit ipkg vsftpd funzte.

Ist schon etwas komisch!

mr. winterbottom

 

[mr. winterbottom]

nachtrag

Ich habe soeben mal spasseshalber den Port 22 (ssh) auf den Server weitergeleitet.
Der "frisst" xxxxx.dyndns.org


Witzigkeit kennt keine Grenzen


mr. winterbottom

 

[magick]

Für passive ftp sollte eine Weiterleitung von Port 21 eigentlich reichen.

 

[mr. winterbottom]

Die weiterleitung auf Port 21 findet ja statt.

Könnte mal jemand mit seiner Dyn-IP auf seinen vsftpd zugreifen und berichten?


mr. winterbottom

 

[jahlives]

Welche Ports hast du an die DS weitergeleitet? 21 und 20 reichen afaik für aktiv FTP, für passiv FTP hingegen brauchst du auch die 50000-er Ports. Steht auch so im Wiki. Die Anmeldung geht auch bei passiv FTP via Port 21, erst danach erteilt der Server den Befehl an den Client einen 50000-er Port zu verwenden.
Wenn du die Ports nicht öffnen willst, dann musst du den Client so einstellen, dass er nur den aktiven Modus verwendet.

 

[mr. winterbottom]

Moin,

also ich habe das jetzt mal mit meinem FTP-Client am Handy probiert.
Siehe da, die aktive Verbindung funktioniert!

Gibt es überhaupt ein Sicherheitsrisiko zwischen aktiv und passiv?


mr. winterbottom

 

[jahlives]

Mir wäre kein besonderes Sicherheitsrisiko bekannt. Passive FTP kann mehr parallele Verbindungen bedienen, weil viel mehr Ports und damit potentielle Sockets vorhanden sind. Bei aktiv hast du nur Port 20 und 21. Für Passive FTP kannst du wenn du unbedingt willst alle Ports über 1024 zur Verfügung stellen

 

[itari]

Das mit den Ports ist ja nur für den Beginn der Konversation; danach sucht sich der Server schon freie Ports, wenn er wirklich welche brauchen täte. Passiver FTP hat meist einen anderen Sinn http://de.wikipedia.org/wiki/File_Transfer_Protocol#Passives_FTP

Itari

 

[goetz]

Hallo,
das Sicherheitsrisiko ist FTP selbst, es überträgt Benutzer und Passwort im Klartext. Für anonymous FTP ist das ja OK, für alles andere SFTP oser FTPES.

Gruß Götz

 

[itari]

Ich weiß, schon wieder zu dem Thema ...

der normale FTP ist kein Sicherheitsrisiko, weil es gibt da keine Sicherheitsvorkehrungen in Form einer Verschlüsselung. So wie E-Mail oder viele andere Programme auch unverschlüsselt die Daten übertragen.

Will man Sicherheit, dann sollte man sich über 2 Dinge klar werden: 1] es gibt sie nicht umsonst und ohne Anstrengung ... oft gehört der Wechsel von Kennworten im Stundenrhythmus dazu und 2] ist sie nicht wirklich absolut. Hier darf man also von einem kleinen Restrisiko sprechen.

Itari

 

[goetz]

Hallo,
ich will ja nur
a - den Leuten bewußt machen was sie da treiben, viele wissen es einfach nicht
b - die Möglichkeit das "Restrisiko" mit geringem Aufwand um ein vielfaches zu minimieren aufzeigen.
Ich widerhole mich gern telnet und ftp sind absolut outdated.

Gruß Götz

 

[jahlives]

2] ist sie nicht wirklich absolut. Hier darf man also von einem kleinen Restrisiko sprechen.

Itari

Garantiert nicht gehacked wird deine DS wenn sie nicht läuft (aber auch nur bis Synology WOL bringt) Zur Steigerung der Sichereit könntest du das Teil noch im Mariannengraben versenken und Beton drübergiessen
Sobald eine DS läuft und eine Netzwerkverbindung hat, kann sie auch geknackt werden. Weil wir ja wissen, dass jede Applikation Fehler hat. Selbst der beste Programmierer der Welt wird pro -sagen wir mal - 5000 Codezeilen mehrere schwere Fehler produzieren. Bei mehreren Millionen Codezeilen eines modernen Betriebsystems sind garantiert immer Fehler vorhanden.
Beim Spaceshuttle ist die gesamte Computer Steuerung nur wenige tausend Zeilen Code und trotzdem wird trotz viel höherer Anforderung an die erlaubten Fehler davon ausgegangen, dass mindestens 5 schwere Fehler dabei sind. Es gibt Industriestandarts die festlegen pro wieviele Zeilen Code ein Fehler vorkommen darf

 

[itari]

Ich widerhole mich gern telnet und ftp sind absolut outdated.

Man gibt Leuten zur Begrüßung keine Hand, weil man sich nicht anstecken will.
Man setzt sich beim Pinkeln hin, damit es sauberer ist.
Man ehrt die Erfinder des Internets, indem man ab und zu mit Telnet und FTP spielt.
Man überlässt seine Daten der öffentliche Verwaltung ohne Murren.
Man denkst sich nichts Böses dabei, wenn die Kontodaten irgendwo irgendwem weitergeleitet werden.
...
Was war jetzt grad noch outdated

Itari

 

[jahlives]

@itari
Ich liebe deine Beiträge. Muss ich immer wiedermal schmunzeln
Letztendlich ist es doch mit telnet und ftp wie bei allem: Pure Geschmacksache. Wobei ich jetzt telnet sicher nicht über Internet einsetzen würde, aber zu Hause im LAN ist imho doch kein Problem. Und an FTP führt doch bei grossen Datenmengen fast kein Weg vorbei obwohl das Protokoll ja noch aus der www-Steinzeit stammt.
@goetz
Kennst du ein besseres Protokoll für wirklich grosse Datenmengen mit vergleichbarem Durchsatz wie ftp?

 

[goetz]

Hallo,
@jahlives
Quelle Wikipedia:

Secure FTP überträgt die Authentifizierung des Clients am Server sowie den Wechsel und die Auflistung von Verzeichnissen durch einen verschlüsselten SSH-Tunnel. Der eigentliche Datentransfer erfolgt wie bei FTP unverschlüsselt über einen anderen, zufällig ausgewählten Port, den Client und Server vorher aushandeln.

damit ist unverschlüsselte Authentifizierung vom Tisch und Durchsatz wie FTP.

Es geht mir ja nicht um die Verschlüsselung vom Datentransfer, sondern um die der Zugangsdaten. Wahrscheinlich habe ich das nicht so expizit rüber gebracht.

Wenn ihr WLAN macht, setzt ihr dann WEP ein obwohl WPA2 möglich ist? Würdet ihr Authentifizierung zum Inernetbanking per http machen?

Sicher, im internen Netz kein Problem, das wissen wir, aber wissen all die anderen welches Protokoll wie die Authenfizierung überträgt?

Gruß Götz

 

[jahlives]

Es geht mir ja nicht um die Verschlüsselung vom Datentransfer, sondern um die der Zugangsdaten. Wahrscheinlich habe ich das nicht so expizit rüber gebracht.

Wenn ihr WLAN macht, setzt ihr dann WEP ein obwohl WPA2 möglich ist? Würdet ihr Authentifizierung zum Inernetbanking per http machen?

So sehe ich das auch. Primär sollten die Logindaten verschlüsselt werden, die reine Datenübetragung muss nicht unbedingt verschlüsselt sein. Und solange Accounts wie root, admin & Co nicht für FTP zugelassen sind ist es ja auch nicht so schlimm, wenn der Login abgefangen würde (weil ev unverschlüsselt). Und wenn zusätzlich der/die FTP Accounts nur die nötigsten Rechte auf dem Dateisystem hat/haben ist die Gefahr ja auch ziemlich gering

Und WLAN nutze ich aus anderen Gründen nicht

 

[goetz]

sobald aber Schreibrechte vergeben sind können sich dann ganz schnell Inhalte auf der Platte anhäufen die man nicht wirklich will und einen in Erklärungsnot bringen können (hatten wir hier im Forum schon mal mit diversen russischen Dateien).

ist es ja auch nicht so schlimm, wenn der Login abgefangen würde (weil ev unverschlüsselt)

ich sehe dabei aber auch immer die (nachvollziehbare) Faulheit der Leute für unterschiedliche Sachen unterschiedliche Benutzernamen und Passwörter zu verwenden, die Daten kann man ja auch mal bei ebay, facebook, freenet, friendscout usw. probieren.

Gruß Götz

 

[itari]

ich sehe dabei aber auch immer die (nachvollziehbare) Faulheit der Leute für unterschiedliche Sachen unterschiedliche Benutzernamen und Passwörter zu verwenden, die Daten kann man ja auch mal bei ebay, facebook, freenet, friendscout usw. probieren.

Faulheit wird halt bestraft ... das war schon immer so und warum wollen wird da was dran ändern?

Itari