Sicheres FTP - Teil2

Hallo zusammen

Wir haben auf einem MS IIS 5 (Win 2000 Server) - update auf 2003 steht im frühling nächstes jahr an - den Open SSH Server installiert:

http://www.openssh.org/

Wir haben jetzt nur noch ein Problem. Der OpenSSH Server hat keine Benutzerverwaltung. D.h. wir müssen jeden Kunden der über OpenSHH mit uns Daten austauschen will, zuerst in Windows (lokal - nicht im AD) erfassen.
Aber…
Wenn der Benutzer erfasst ist, dann kann er sich auf dem FTP-Server des IIS anmelden. D.h. sein passwort würde ungeschützt gesendet werden.
VPN können wir nicht durchsetzen.

Natürlich wäre die einfachste Lösung FTP und OpenSSH Server auf 2 getrennten Servern in der DMZ zu installieren. Hat sonst noch jemand eine praktikable Idee.

Vielen Dank fürs Mitdenken

Grüsse Peter

Wir haben jetzt nur noch ein Problem. Der OpenSSH Server hat
keine Benutzerverwaltung. D.h. wir müssen jeden Kunden der
über OpenSHH mit uns Daten austauschen will, zuerst in Windows
(lokal - nicht im AD) erfassen.
Aber…
Wenn der Benutzer erfasst ist, dann kann er sich auf dem
FTP-Server des IIS anmelden. D.h. sein passwort würde
ungeschützt gesendet werden.
VPN können wir nicht durchsetzen.

Du wolltest doch die Tage noch den ftp-Traffic über einen ssh-Tunnel schicken. Wo wird da ein ungeschützes Kennwort verschickt? Der Kunde authentifiziert sich per Kennwort oder vielleicht sinnvoller per Zertifikat gegenüber dem ssh-Server. Schon diese Authentifikation passiert verschlüsselt. Anschliessend überträgt er das ftp-Kennwort über diesen Tunnel - dank ssh verschlüsselt.

Wenn du ihm jetzt noch VPN unterjubeln willst, um den Tunnel durch einen Tunnel zu schicken, kann ich den Kunden sehr gut verstehen, wenn er das ablehnt:wink:

Gruss
Schorsch

Hallo,

Wir haben auf einem MS IIS 5 (Win 2000 Server) - update auf
2003 steht im frühling nächstes jahr an - den Open SSH Server
installiert:

Mit welchem Ziel? rsync-over SSH? Prima.

Wir haben jetzt nur noch ein Problem. Der OpenSSH Server hat
keine Benutzerverwaltung. D.h. wir müssen jeden Kunden der
über OpenSHH mit uns Daten austauschen will, zuerst in Windows
(lokal - nicht im AD) erfassen.
Aber…
Wenn der Benutzer erfasst ist, dann kann er sich auf dem
FTP-Server des IIS anmelden.

Wenn ihr rsync-over-SSH macht, wäre es das einfachste, den FTP-Server abzuschalten.

D.h. sein passwort würde
ungeschützt gesendet werden.

Nicht, wenn der FTP-Server nicht läuft.

Ich habe keine Erfahrung mit FTP-over-SSH (weil ich FTP nicht sonderlich mag), aber kann man den Windows-FTPd nicht an das lokale Interface (177.0.0.1) binden? Dann könnte der Tunnel über den ebenfalls lokal laufenden SSH-Server aufgebaut werden, nicht aber von wo anders.

Falls der Windows-FTPd wieder einmal unkonfigurierbar ist, kann man den Effekt natürlich auch mit einem Paket-Filter (AKA „Firewall“) zu imitieren versuchen.

Natürlich wäre die einfachste Lösung FTP und OpenSSH Server
auf 2 getrennten Servern in der DMZ zu installieren. Hat sonst
noch jemand eine praktikable Idee.

rsync & SSH. Unison. Nur kein FTP.

Gruß,

Sebastian

Salü Schorsch

Die Basis ist ein simpler FTP-Server.

Jetzt wollen wir eine alternative mit Verschlüssel anbieten.

Dabei haben wir das oben beschriebene Problem. Noch weitere Fragen?

Grüsse Peter

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Die Basis ist ein simpler FTP-Server.

Jetzt wollen wir eine alternative mit Verschlüssel anbieten.

Dabei haben wir das oben beschriebene Problem. Noch weitere
Fragen?

so frage ich auch immer, wenn ich keine antwort will.

aber egal, wie jemand anders schon schrieb:

wenn der ftpd am localhost haengt, kann man sich nur ueber den ssh tunnel und damit verschluesselt anmelden. oder gleich scp oder sftp benutzen…

joachim

Die Basis ist ein simpler FTP-Server.

Jetzt wollen wir eine alternative mit Verschlüssel anbieten.

Dabei haben wir das oben beschriebene Problem. Noch weitere
Fragen?

Soll der ftp-Server etwa nach wie vor frei über das Internet erreichbar sein, der Kunde also die freie Wahl haben, ob er direkt ftp nutzt, oder über ssh tunnelt?

Irgendwie auf dem Schlauch,
Schorsch

Salü Schorsch

Du hast den Sachverhalt exakt erfasst.

Viele kleine Firmen haben nicht einmal einen IT-Verantwortlichen.
Dafür sind ihre Daten auch nicht in besonderen Masse schützenswert.

Andere Kunden haben eine mörderische Ausrüstung und der IT-Leiter will das auch unterstützt sehen. Eben z.B. durch eine sichere Verbindung auf den FTP-Server. Und das alles im Windowsumfeld

viele Grüsse
Peter

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

und wer nicht hören will…

ssh tunnel

hmm… d.h. über einen Proxy? Oder doch lieber einen OpenSSL Server?
und das alles mit IIS 5?

oder gleich scp :oder sftp benutzen…

IMHO benutzen beide als Basis das Ftps Protkoll, dass vom IIS 5 nicht unterstützt wird

Ich weiss ja, dass wer eine Frage stellt, sich mit jeder Antwort glücklich schätzen darf… :->

Gruss und Dank

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Salü Sebastian

Wenn ihr rsync-over-SSH macht, wäre es das einfachste, den
FTP-Server abzuschalten.

Sofort! Hey Alter - das wäre der Megahammer )
D.h. der SSH ist nachher unser FTP-Server und kann von jedem Smart-FTP oder anderen FTP Client unverschlüsselt Files (gezippt zwischen 12’000 bis 890000 Byte gross) empfangen werden? Und das Produkt läuft auf unseren Win2000 / 2003 Servern?

Wohin soll ich die Weinkiste schicken? :->

viele Grüsse
Peter

Hallom

Wenn ihr rsync-over-SSH macht, wäre es das einfachste, den
FTP-Server abzuschalten.

Sofort! Hey Alter - das wäre der Megahammer )
D.h. der SSH ist nachher unser FTP-Server und kann von jedem
Smart-FTP oder anderen FTP Client unverschlüsselt Files
(gezippt zwischen 12’000 bis 890000 Byte gross) empfangen
werden?

Nein, natürlcih nicht. FTP ist in erster Linie ein Klartext-Protokoll, (das schrieb ich wohl schon) und damit unsicher (auch das sagte ich schonmal). Es gibt ein paar Versuche, das FT-Protokoll sicher zu machen, aber die gehen eben nicht mit jedem FTP-Clienten. Wenn Du die Anforderung „beliebiger FTP-Client“ hast, dann mußt Du mit Passwortkompromittierung leben. So einfach ist das.

Wenn Du das nicht willst kannst Du entweder

· Um Verschlüsselung aufgebohrtes FTP nutzen. Das geht nicht mit jeder Software und ist FTP-typisch Scheisse.

· Du nutzt was richtiges. Das ist dann gut, braucht aber auch spezielle Software.

Und das Produkt läuft auf unseren Win2000 / 2003
Servern?

Rrrr. Sicheres FTP mit allen Clients läuft genau auf keinem Betriebssystem.

Andere Lösungen habe ich ja schon genannt, nicht wahr?

Wohin soll ich die Weinkiste schicken? :->

Zu mir. Adresse auf Anfrage

Gruß,

Sebastian

Hallo,

.

ssh tunnel

hmm… d.h. über einen Proxy? Oder doch lieber einen OpenSSL
Server?

SSH Tunnelmacht man sinnvollerweise über einen (Open)SSH-Server.

und das alles mit IIS 5?

Keine Ahnung.

oder gleich scp :oder sftp benutzen…

IMHO benutzen beide als Basis das Ftps Protkoll,

Nein.

dass vom IIS 5 nicht unterstützt wird

Hast Du mal den Microsoft-Support gefragt? Der wird ja eine Lösung kennen, da er ja den IIS kennt, oder sehe ich da was falsch?

Gruß,

Sebastian

Salü Sebastian

1. MS Support empfiehlt SSL Proxy
2. Newbie Frage: Was ist der Unterschied zwischen einem SSH und einem SSL Server?

Dank und Gruss
Peter

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo,

1. MS Support empfiehlt SSL Proxy

Und das funktioniert dann quer duch das Netz mir beliebigen Cients?

2. Newbie Frage: Was ist der Unterschied zwischen einem SSH
   und einem SSL Server?

Ähhh…, das ist erstmal ein ziemlich anderes Protokoll.

Gruß,

Sebastian

Salü Sebastian

2. Newbie Frage: Was ist der Unterschied zwischen einem SSH
   und einem SSL Server?

Ähhh…, das ist erstmal ein ziemlich anderes Protokoll.

aha… das eine ist rot und das andere gelb? :->
Bitte lass mich nicht dumm sterben und pumpe Dein Wissen in ein Posting!
Vielen Dank

viele Grüsse
Peter

PS:
Die Kiste Wein werden wir irgendwann mit Malte, Schorsch, Hexerl und Little H. an einem Treffen erledigen :-o

Warum ftp??? (kleine Philippika)

Andere Kunden haben eine mörderische Ausrüstung und der
IT-Leiter will das auch unterstützt sehen. Eben z.B. durch
eine sichere Verbindung auf den FTP-Server. Und das alles im
Windowsumfeld

Gibt es irgendeinen konkreten Grund, warum ihr ftp machen wollt? Was ist eigentlich euer Ziel?

Wollt ihr den Kunden Daten zur Verfügung stellen, wollt ihr, dass die Kunden euch Daten zur Verfügung stellen? Soll das ganze automatisch in Batch-Jobs laufen, oder ein- oder beidseitig on demand manuell abgerufen werden? Sollen die Daten autom. in bestimmte Schnittstellen einfliessen…

Was wollt ihr überhaupt machen? Vielleicht, wenn das einmal geklärt ist, kann man überlegen, auf welchem Wege sich das realisieren lässt, welche Protokolle dafür geeignet sind. Und dann kann man auch über die Sicherheit sprechen.

Bislang jedenfalls habe ich keine Ahnung, warum du überhaupt ftp einsetzen willst, es scheint mir im Gegenteil zunehmend so, als sei dies für deine Zwecke eine vollkommen ungeeignete Lösung.

Gruss
Schorsch

Salü Schorsch

Das war aber eine sanfte Philippika

Zweck:
Kunden stellen gezippte Backups von DB zwecks Analyse zur Verfügung. Kunden sind Kleinunternehmen ohne IT Verständigen bis hin zu internationalen Finanzinstituten mit riesigen IT-Abteilungen.

Alle müssen die Datein (können gezippt bis 800’000 MByte gross werden…) sporadisch der Firma übergeben.

Diese liest die Datein in Ihr Kundensupport DB Server ein und liefert ggf über Mail eine Lösung

Grüsse Peter

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

OpenSSH und WinSCP

Kunden stellen gezippte Backups von DB zwecks Analyse zur
Verfügung. Kunden sind Kleinunternehmen ohne IT Verständigen
bis hin zu internationalen Finanzinstituten mit riesigen
IT-Abteilungen.

Alle müssen die Datein (können gezippt bis 800’000 MByte gross
werden…) sporadisch der Firma übergeben.

Das ist schon eine klassische Aufgabe für ftp. Dennoch würde ich an deiner Stelle auf ftp vollständig verzichten, auch nicht versuchen, es zu tunneln. Du erhöhtest auf diese Weise nur den Aufwand für dich und für deine Kunden.

OpenSSH habe ich selber noch nicht eingesetzt, kann mir aber nicht vorstellen, dass es wesentlich komplexer ist oder ein vollständig anderes Look&Feel hätte, als das ssh-Subsystem unter Linux. Auf dem Server also ssh und sonst nichts.

Auf der Clientseite hast du mit WinSCP eine wirklich kinderleicht zu installierende und bedienende Applikation, mit der du die Verbindung zum Server aufbaust, und per Drag’nDrop die Transfers startest. Transfers im Hintergrund, Wiederaufnahme nach Abbruch, autom. Verzeichnissynchronisation… sind nur einige der Features.

Will der Kunde den Transfer automatisieren, steht mit pscp das entspr. Tool zur Verfügung, das beliebig initiierte Transfers ohne jeden manuellen Eingriff erlaubt.

Kann natürlich sein, dass einige deiner Kunden Vorbehalte gegen eine OpenSource-Lösung haben, da OpenSource im IT-Budget nicht auftaucht und somit das Gewicht der EDV-Abteilung beziehungsweise ihres Leiters nicht widerspiegelt - sachliche Einwände gegen eine solche Lösung wüsste ich kaum, zumindest keine, die bei ftp nicht zumindest gleichermassen zu tragen kämen.

Gruss
Schorsch

Salü Schorsch

Die Idee ist wirklich gut. Wenn das Look and Feel wirklich einem FTP-Server entspricht, dann wäre das wirklich eine gute Lösung.

Den WINSCP habe ich mir angeschaut und er hat mich sehr überzeugt. Sowieso als mir als Alternative zum üblichen Explorer meine gute alte Norton Commander Ansicht angeboten hat.

Nochmals vielen Dank für Deine ausführlichen, geduldigen und sehr durchdachten Postings.

viele Grüsse
Peter

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo,

Die Idee ist wirklich gut. Wenn das Look and Feel wirklich
einem FTP-Server entspricht, dann wäre das wirklich eine gute
Lösung.

Du solltest Dir wirklich Unison zumindest mal ansehen. Ich kenne es zwar nur unter Linux, aber da ist es wirklich nett.

Gruß,

Sebastian