Sicherheitsbedenken mit FTP

Hallo,

ich betreue beruflich eine Internetseite. Bis vor kurzem konnte ich über mehrere Methoden Seiten uploaden - ab sofort geht das nur noch über FTP. Dafür müsste ein Port auf unserer Firewall des Firmennetzes (ca. 3000 Mitarbeiter) freigeschaltet werden. Nun weigert sich unser Sicherheitsbeauftragter dies zu tun, da er zuviele Sicherheitsbedenken hat. Er schlägt vor, die Veröffentlichung über www2ftp.de vorzunehmen.

Nun meine Frage: Treten da nicht die gleichen Sicherheitsbedenken auf??? Mir wäre es lieber, wenn ich mit WS FTP Pro veröffentlichen könnte - was spricht dagegen, was dafür?

Ich freue mich über jeden hilfreichen Beitrag

Gruß
Frank

Hallo,

ich betreue beruflich eine Internetseite. Bis vor kurzem
konnte ich über mehrere Methoden Seiten uploaden - ab sofort
geht das nur noch über FTP. Dafür müsste ein Port auf unserer
Firewall des Firmennetzes (ca. 3000 Mitarbeiter)
freigeschaltet werden. Nun weigert sich unser
Sicherheitsbeauftragter dies zu tun, da er zuviele
Sicherheitsbedenken hat. Er schlägt vor, die Veröffentlichung
über www2ftp.de vorzunehmen.

Nun meine Frage: Treten da nicht die gleichen
Sicherheitsbedenken auf??? Mir wäre es lieber, wenn ich mit WS
FTP Pro veröffentlichen könnte - was spricht dagegen, was
dafür?

Dagegen spricht, das IM Firmennetz der entsprechende Port geöffnet werden müsste, irgendein Account auf irgendeine Internetseite AUS einem Firmennetz heraus geöffnet und das Passwort von FTP verbindungen meistens im Klartext, also mitlesbar übertragen wird, etc.
Dafür spricht lediglich die Einfachheit.
Ein „sicherer Kompromiss“ wäre u.U. das angegebene verfahren, allerdings lediglich damit das internet Firmennetzwerk nicht mit noch einem port (ausser dem Port 80 zum surfen) geöffnet werden müsste. Da ich die Firmeninternen Sicherheitspolicys und administrativen Aufwand (technisch sowie sozial) kenne gehe ich davon aus, das das zwar der einfachere eg wäre, das Passwort aber eh nach wie vor im klartext übertragen wird. Sicherer wäre z.B. eine SSH verbindung oder SCP oder Secure FTP oder ähnliches…
http://de.wikipedia.org/wiki/Secure_FTP

Gruß
h.

Ich freue mich über jeden hilfreichen Beitrag

Moien

ich betreue beruflich eine Internetseite. Bis vor kurzem
konnte ich über mehrere Methoden Seiten uploaden - ab sofort
geht das nur noch über FTP. Dafür müsste ein Port auf unserer
Firewall des Firmennetzes (ca. 3000 Mitarbeiter)
freigeschaltet werden. Nun weigert sich unser
Sicherheitsbeauftragter dies zu tun, da er zuviele
Sicherheitsbedenken hat.

Er hat zum Teil Recht: das FirmenNAT hält jeden direkten Zugriff von aussen ab. D.h. egal was aus dem Netz bei der Firma angekommt, es wird deinen PC nie erreichen. Wenn er dir nun den Port öffnet trifft alles ungefiltert bei dir ein.

Da man aber ftp über einen beliebigen Port fahren kann und du z.B. irgendwo im hohen Niemansland (>32000 als Ausgangspunkt) arbeiten kannst seh ich da kein Problem. Selbst windows sollte Angriffe auf so einen Port überleben.

Sein Problem wird mehr der Verwaltungsaufwand und der mögliche Missbrauch für P2P stören. P2P’s können meistens auch über beliebige Ports fahren…

Er schlägt vor, die Veröffentlichung
über www2ftp.de vorzunehmen.

Das würde ich strikt ablehnen. www2ftp erhält ja dann deine Zugangsdaten im Klartext. Und wie sicher die Seite ist weiss keiner. Je weniger Leute die Daten haben, desdo besser.

Mir wäre es lieber, wenn ich mit WS
FTP Pro veröffentlichen könnte

(Was übrigens Passswort und Usernamen auch im Klartext überträgt. Ist nur schwerer abzufangen.)

cu

Hallo,

ich betreue beruflich eine Internetseite. Bis vor kurzem
konnte ich über mehrere Methoden Seiten uploaden - ab sofort
geht das nur noch über FTP.

Das ist nicht die Firma, in der der Sicherheitsbeauftragte sich querstellt, oder?

Dafür müsste ein Port auf unserer
Firewall des Firmennetzes (ca. 3000 Mitarbeiter)
freigeschaltet werden. Nun weigert sich unser
Sicherheitsbeauftragter dies zu tun, da er zuviele
Sicherheitsbedenken hat. Er schlägt vor, die Veröffentlichung
über www2ftp.de vorzunehmen.

Das ist eine ganz schlechte Idee.

Nun meine Frage: Treten da nicht die gleichen
Sicherheitsbedenken auf???

Nein, aber andere, da die Zugangsdaten in fremde Hände kommen.

So komst Du nicht weiter. Du mußt eine andere Arte des Zuganges wählen, am besten ein vertrauenswürdiger Rechner außerhalb Eures Firmennetzes.

Andererseits wäre es eine gute Idee, der Firma, deren Homepage Du betreusr, davon zu überzeugen, daß FTP ein problematiches Protokoll ist.

HTH,

Sebastian

Hi,

danke für die Antworten. Eure Aussagen werden mir bei der anstehenden Diskussion sehr nützlich sein.

Danke
Frank

Hallo,

ich betreue beruflich eine Internetseite. Bis vor kurzem
konnte ich über mehrere Methoden Seiten uploaden - ab sofort
geht das nur noch über FTP. Dafür müsste ein Port auf unserer
Firewall des Firmennetzes (ca. 3000 Mitarbeiter)
freigeschaltet werden. Nun weigert sich unser
Sicherheitsbeauftragter dies zu tun, da er zuviele
Sicherheitsbedenken hat. Er schlägt vor, die Veröffentlichung
über www2ftp.de vorzunehmen.

Das Problem wird nicht FTP selbst sein, dafür müssten nur die Ports 20 und 21 geöffnet werden. Es gibt aber noch sowas wie passives FTP. Client und Server handeln dann gemeinsam bestimmte Ports aus, und die können beliebig gewählt werden. Dann wird die Konfiguration natürlich schwer.

Nun meine Frage: Treten da nicht die gleichen
Sicherheitsbedenken auf??? Mir wäre es lieber, wenn ich mit WS
FTP Pro veröffentlichen könnte - was spricht dagegen, was
dafür?

Die Passwörter für den Upload würde ich nicht aus der Hand geben. WS-FTP Pro kann aber auch mit aktivem FTP arbeiten. Euer Sysadmin könnte die Ports auch nur für Dich freigeben. Dann sollte es eigentlich keine Probleme geben.

Gruß
Kai

Hallo Frank,

Ich freue mich über jeden hilfreichen Beitrag

Einen vernünftigen NAT kann man so konfigurieren, dass er nur, z.B. FTP, zwischen deinem PC und der IP dieses einen Hosts zulässt.

MfG Peter(TOO)