Sicherheitsfragen zur very secureFTP

steven · Beitrag von **steven** » 23.09.2005 12:14:58

Hallo Leute,

ich geh zur zeit über einen linuxrechner ins internet. auf diesem rechner läuft eine firewall welche nur für port 80 offen ist.
ich möchte nun einen Very SecureFTP zugang einrichten. dafür muss ich ja Port 20 und 21 öffnen. entstehen dadurch sicherheitsprobleme? ist mein gateway durch das öffnen der beiden "türen" jetzt anfälliger?

verwendet vsftp asynchrone oder synchrone verschlüsselung?
sollte es synchrone verschlüsselung sein wird das passwort verschlüsselt(asynchron) übertragen?
welche geschwindigkeitseinbuse muss ich für die verschlüsselung der daten hinnehmen?

welche sicherheitsprobleme treten bei der übertragung mit vsftp auf?

danke für eure Hilfe und Informationen

nepos · Beitrag von **nepos** » 23.09.2005 12:28:42

Also, vsftpd kann meines Wissens keine Verschluesslung. Das very secure bezieht sich hier auf das Design des FTP-Daemons, bei dem von Anfang an auf Sicherheit geachtet wurde.

steven · Beitrag von **steven** » 23.09.2005 12:40:01

ich dachte der vsftp ist eine allroundlösung für das gesicherte übertragen von daten über das netz?
wenn dem nicht so ist,. was könnt ihr als alternative empfehlen?

herrchen · Beitrag von **herrchen** » 23.09.2005 12:42:31

steven hat geschrieben:was könnt ihr als alternative empfehlen?

ssh und einen geeigneten client, wie z.b.: WinSCP, nautilus ...

herrchen

steven · Beitrag von **steven** » 23.09.2005 12:56:33

mit winscp kann man also auf ssh freigaben zugreifen? ok. was für downloadraten kann man mit ssh erreichen? schließlich werden die daten ja in echtzeit verschlüsselt.

herrchen · Beitrag von **herrchen** » 23.09.2005 13:00:12

steven hat geschrieben:was für downloadraten kann man mit ssh erreichen? schließlich werden die daten ja in echtzeit verschlüsselt.

mit einem halbwegs aktuellen rechner macht das kaum einen unterschied.

herrchen

steven · Beitrag von **steven** » 23.09.2005 13:08:47

was bedeutet aktueller rechner? ich will auf keinen fall die ganze zeit eine 4 ghz herdplatte laufen lassen.

und was ist mit dem sicherheitsproblem? inwiewei kann man den ssh port missbrauchen? bzw. wie kann man das alles noch sicherer machen?`verwendung im chroot möglich?

herrchen · Beitrag von **herrchen** » 23.09.2005 13:18:38

steven hat geschrieben:was bedeutet aktueller rechner? ich will auf keinen fall die ganze zeit eine 4 ghz herdplatte laufen lassen.

500MHz

und was ist mit dem sicherheitsproblem?

welchem?

inwiewei kann man den ssh port missbrauchen?

??

bzw. wie kann man das alles noch sicherer machen?

stecker ziehen?
betreust du eine bank?
du hattest vor einen ftp zugang zu machen ...

verwendung im chroot möglich?

ja.

herrchen

steven · Beitrag von **steven** » 23.09.2005 13:29:29

also ich fasse mal kurz zusammen was ich bis jetzt in erfahrung bringen konnte:

- die beste lösung währe ein einfacher ssh zugriff mit hilfe von winscp.
- durch den geöffneten Port 22 für die SSH Verbindung entstehen nur gefahren welche sich aufgrund der möglichkeiten von ssh auftun
- diese gefahren kann ich eindämmen indem ich eine chrootumgebung für den user festlege und die rechte des users extrem beschränke
- geschwindigkeitseinbuse gibt es nicht wirklich

gibt es dennoch möglichkeiten wie jemand diese verbindung missbrauchen kann? (abhören, daten verändern)

nein keine bank, aber ich möchte für eine firma abschätzen wie sicher es wäre in zukunft keine dvds mehr zu verschicken

[/i]

nepos · Beitrag von **nepos** » 23.09.2005 16:29:34

[ ] du weisst, was SSH ist?

Joghurt · Beitrag von **Joghurt** » 23.09.2005 17:32:24

steven hat geschrieben:- die beste lösung währe ein einfacher ssh zugriff mit hilfe von winscp.

Wobei der Benutzeraccount, der die Daten bereithält, als Shell möglichst scponly eingestellt wird; damit kann man nur noch mit scp / sftp Daten kopieren, aber man kann sich nicht mit ssh einloggen.

geschwindigkeitseinbuse gibt es nicht wirklich

30MB/s schafft SSH locker.

gibt es dennoch möglichkeiten wie jemand diese verbindung missbrauchen kann? (abhören, daten verändern)

Dafür wurde ja SSH entwickelt, um das zu verhindern; bei telnet und ftp ist dies ja möglich.

peschmae · Beitrag von **peschmae** » 23.09.2005 17:50:59

steven hat geschrieben:gibt es dennoch möglichkeiten wie jemand diese verbindung missbrauchen kann? (abhören, daten verändern)

Einfach so kann man das nicht. Es sei denn du benutzt Passwörter (und nicht public-key Zeugs) zur Zugriffskontrolle und die seinen schlecht gewählt.

Grundsätzlich ist Openssh ein sehr sichere Stück Software (wurde auch von den Leuten vom OpenBSD-Projekt geschrieben - und denen ist Sicherheit sehr wichtig)

Wenn man jetzt aber davon ausgeht dass keine Software fehlerfrei ist - eine durchaus vernünftige Annahme - dann ist auch OpenSSH nicht sicher.
Aber dann würde ich mir dringenst auch mal den Webserver genauer ansehen und was darauf so an Zeugs läuft (php, cgis)

MfG Peschmä

steven · Beitrag von **steven** » 26.09.2005 07:19:06

wunderbar, vielen dank für eure hilfe und die informationen.