(S)FTP-Server. Ratsam oder alternativen?

    Recht übersichtlich in Relation zur möglichen Gesamtanzahl ;)

    Klar ist das immernoch ein kaum zu überblickender Haufen ggü. v4, aber das muss ja auch niemand händisch durchwühlen...

    Lass uns mal rechnen: Wenn ein ping eine Sekunde dauert, dann würde es, allein den Bereich der Interface_ID zu scannen, 8.925.512,9 Jahre dauern. 8| :S


    Edit: Oder bei 8,9 Millionen Hacker würde es 1 Jahr dauern. Gibt es 8,9 Millionen Hacker? :/ Und dann hätten die noch das "Pech", das ich jeden Tag auf einen anderen Präfix liege...

    3 Mal editiert, zuletzt von q.tip ()

    Bei IPv4 komplett würde es 128 Jahre dauern... zwar nur ein Bruchteil, aber so kann man das offensichtlich nicht rechnen, es sei denn wir sind gerade im 128. Jahr gelandet, weshalb es so viele erwischt hat :S

    Wäre aber zu schön um wahr zu sein, wenn durch IPv6 plötzlich alles sicher wäre :)

    Ich kann übrigens auch mehrere IPs gleichzeitig anpingen oder offene Ports abfragen... nur mache ich mir nicht die Mühe, da ich dafür keine Verwendung habe.

    Was ich sagen will: Wenn jemand will, dann kann eine Person das was Du mit einer Sekunde berechnet hast x-Mal in einem Bruchteil der Sekunde schaffen.

    Einmal editiert, zuletzt von tiermutter () aus folgendem Grund: Ein Beitrag von tiermutter mit diesem Beitrag zusammengefügt.

    Na ja, der Sicherheitsfaktor nimmt nimmt bei IPv6 um 280 zu. Ich sehe da schon einen Fortschritt. Wie schon geschrieben: Keine 100 prozentige Sicherheit, aber nah dran!


    Die Anzahl der im 128. Jahr IPv4-Gehackten wäre geschätzt etwa 90% geringer, wenn sie täglich eine andere IP genutzt hätten.


    PS: Ich kenne Programme, die "mehere Pings" in der Sekunden absetzen können. Letztlich sendet man nur ein Pool von IP's an ein entsprechendes Programm, aber letztlich wird jede IP doch einzeln angepingt und das dauert dann trotzdem.

    2 Mal editiert, zuletzt von q.tip ()

    100% gibt es ja auch nicht, wie man so schön sagt. Prozessoren werden aber halt auch immer schneller und Computersysteme können mehr in kürzerer Zeit verarbeiten, sodass dieser Faktor mit der Zeit sicherlich schrumpfen wird. Aber erstmal muss das Interesse da sein, IPv6 überhaupt zu attackieren.


    Ich glaube wir sollten an dieser Stelle aber damit aufhören :ziped:

    Ganau: Noch gibt es wohl kein Interesse IPv6 zu attackieren. Und wenn die damit beginnen, werde ich es wohl nicht bemerken.

    Silentium :ziped: .

    Das alte ftp ist in der Tat sehr unsicher - da wird selbst das Passwort im Klartext übertragen und kann mitgelesen werden.


    sftp, also ftp über ssh, kann aber weiterhin sicher genutzt werden, auch ohne VPN. Im Gegensatz zu VPN ist es aber möglich, ssh unsicher zu betreiben. Daher muss man aufpassen, sich mit ssh/sftp nicht zu schlampen und ein Loch in den Schutz zu schießen.


    Was für eine sichere Nutzung von sftp nötig ist:

    1. Portfreigabe im Router für ssh, aber nach extern möglichst nicht Port 22, sondern einen hohen Port >40000. (Das alleine ist nicht hinreichend für einen sicheren Zugang, reduziert die Zahl der Angriffe aber deutlich.)

    2. Keinen Port für ftp oder telnet. Diese Protokolle sind sehr unsicher.

    Und dann entweder

    3a. Sichere Passwörter für alle Benutzer, die sich mit ssh anmelden dürfen. Ab zehn zufälligen Zeichen ist man auf der sicheren Seite. Ganz wichtig ist aber, dass man keinen Benutzer vergisst. Ein supersicheres Passwort für den ftp-Benutzer bringt nichts, wenn der Admin sich weiter mit Standardpasswort anmelden kann. Hier liegt das Risiko, dass man einen Benutzer vergisst.

    Oder besser

    3b. - ssh-Keys von allen Benutzern, die sftp machen dürfen, anlegen lassen und die öffentlichen Schlüssel auf dem Server eintragen.

    - Anmeldung an ssh ausschließlich über ssh-Keys erlauben, Anmeldung über Passwort verbieten. (Dies ist bei Qnap leider recht kompliziert, weil man dafür dem ssh-Dämon eine geänderte Konfigurationsdatei unterjubeln muss.)


    Mit Lösung 3b hat man auch ohne den Einsatz von VPN etwa dieselbe Sicherheit wie mit VPN.

    Zitat von Anthracite

    Mit Lösung 3b hat man auch ohne den Einsatz von VPN etwa dieselbe Sicherheit wie mit VPN.

    Ist aber immer noch mit einer Portfreigabe verbunden und von daher genauso "unsicher". Malware einschleusen gelingt den Hackern auch ohne Passwort und Zertifikate nur durch den offenen Port bei entsprechenden Sicherheitslücken.

    Einmal editiert, zuletzt von q.tip ()

    Naja es spielt schon eine entscheidende Geige, was für ein Dienst dahinter lauscht. Gehärtetes SSH oder VPN ist halt ne andere Nummer als https eines NAS. Mitunter ist ja auch entscheidend, wie up to date der Dienst ist bzw wie schnell eine etwaige Lücke geschlossen wird. Per se ist eine Portfreigabe ja nichts Schlimmes, ohne würde gar nichts funktionieren.

    Zitat von q.tip

    Ist aber immer noch mit einer Portfreigabe verbunden und von daher genauso "unsicher". Malware einschleusen gelingt den Hackern auch ohne Passwort und Zertifikate nur durch den offenen Port.

    Nein, das ist so nicht korrekt. Ein offener Port alleine genügt nicht.


    Ein erfolgreicher Angriff, egal ob durch Hacker oder durch Malware, kann durch zwei Möglichkeiten erfolgen:

    1. Anmeldedaten (z. B. Passwort) geknackt

    2. Die Anwendung, die am freigegebenen Port lauscht, hat eine Sicherheitslücke (Fehler im Design oder im Programmcode)


    Zu 1.

    Weder ssh-Keys noch VPN-Schlüssel sind knackbar. Eine Gefahr besteht nur, wenn der Client (= der Benutzer, der sich anmeldet) fahrlässig handelt und seinen Rechner ungeschützt Dritten zur Verfügung stellt (freiwillig oder nicht).


    Zu 2.

    ssh gehört zu den am meisten genutzten Protokollen in diesem Umfeld und ist entsprechend gut geprüft und getestet, das Risiko einer Lücke entsprechend gering. Ein kleiner Nachteil ist, dass die Autorisierung nicht schon im Router sondern erst im NAS erfolgt.

    VPN ist ebenfalls viel genutzt und geprüft. Da es mehr VPN-Protokolle gibt und diese teilweise neueren Datums sind, sehe ich ein geringfügig höheres Risiko, dass eine Lücke irgendwo entdeckt wird.


    Ob man einen erfolgreichen Angreifer lieber im Router oder im NAS hat ... das ist eher eine akademische Frage, wo der Schaden größer ist.


    Übrigens, auch bei VPN werden Ports freigegeben - aber nur im Router, nicht bis zum NAS hin.

    Wie sieht es aber mit der Geschwindigkeit von SSH aus? Ich hatte es früher mal benutzen wollen - war aber leider viel zu langsam für große Datenmengen.

    Ich Lese absolut interessiert mit..aber für mich als "Laien" der nur sein 435xeu , unifi udm pro se ..ein paar switche und AP's betreibt ist das echt ein Brett :)


    Ich mag das gerne verstehen aber wird zwischendurch echt schwierig ;(


    Gutes bsp ist das ich vor langer Zeit meinen Eltern das mit dem, ftp beigebracht habe .

    Zuletzt( ok auch fast 7 jahre her ) konnten wir in der ganzen Familie via FTP das komplette Hochzeit Archiv meiner Schwester tauschen.

    Hat super geklappt und waren hier auch nur ausgewählte Leute...


    Identisch ist das heute nur das ich Geheiratet habe.... Sind 8 Leute denen ich vertraue und mit denen ich das ganze via FTP tauschen möchte.

    Hier möchte ich keine Darstellung etc... nur den reinen Datenaustausch...daher ftp doch super.....


    Weiterhin noch ein paar Freunde mit denen ich noch ein paar andere Dateien austauschen will.

    Auch nur 3 und Vertrauenswürdig .


    Das was Anthracite uns mitgeteilt hat klingt super interessant.....

    Um das aber ganz zu verstehen und bewerten zu können muss ich aber glaube ich mehr über das Thema Lesen ^^

    Zitat von Hoster

    7 jahre her ) konnten wir in der ganzen Familie via FTP das komplette Hochzeit Archiv meiner Schwester tauschen.

    Hat super geklappt und waren hier auch nur ausgewählte Leute...

    Vor 7 Jahren gab's aber noch nicht verbreitet Kryptogerld mit dem man schön anonym Geld Erpressen konnte.


    Und das es nur 8 Leute sind, ist ja wumpe das NAS ist offen im Netz und jeder von wo auch immer kann sich dann Zugang verschaffen. Das macht ja auch keiner Gezielt, das sind Verbrecherbanden die mit geklauten oder gemieteten Serverfarmen Exploit Kits fahren.


    Ist so wie die Haustüre nicht verschließen aber dann sagen, ich hab ja nur 3 Leuten gesagt wo ich wohne .. ja das kümmert ja keinen der am Haus vorbei lauft in mal die Klinke ausprobiert.

    Zitat von Anthracite

    Das alte ftp ist in der Tat sehr unsicher - da wird selbst das Passwort im Klartext übertragen und kann mitgelesen werden.

    Muss gerade mal bisschen mit meinem zitieren aufpassen ..Neige immer zu volltext zitaten ^^


    Also das klingt sehr interessant.

    Ich würde das ganze erstmal gerne bis 3a umsetzen... Wie sich das mit dem ssh protokoll bis ins Detail realisieren lässt muss ich mich erstmal reinlesen.

    Ist jetzt keine einfache Aufgabe aber ich denke machbar.


    Wenn ich das ganze dann mit vpn abrunde fahre ich denke ich besser als einige andere :) Sagt mir zumindest mein Gefühl^^


    Zitat von dolbyman

    Vor 7 Jahren gab's aber noch nicht verbreitet Kryptogerld mit dem man schön anonym Geld Erpressen konnte.

    Hast du Recht das leuchtet ein.

    Man sieht ja zwischendurch was manchmal so versucht an die Firewall anzuklopfen...



    War es nicht so das FTP eigentlich immer mittel der Wahl war zum großen Datenaustausch?

    Also jetzt auch bei größeren Firmen u.ä.


    Ich Arbeite auch bei einem großen Industrieunternehmen und wollte mich eigentlich auch schon immer mal auf den Weg machen und mich ein wenig Schlau machen wie es bei uns läuft...interessant wäre das ja schon...

    Zitat von Hoster

    War es nicht so das FTP eigentlich immer mittel der Wahl war zum großen Datenaustausch?

    Also jetzt auch bei größeren Firmen u.ä.

    Das ist jetzt aber schon länger her, so etwa zwanzig Jahre. Die Bedrohungslage hat sich seitdem deutlich geändert, und sichere Verfahren wie sftp oder ftps sind genauso einfach in der Anwendung. Öffentliche Downloaddienste wie Bibliotheken frei zugänglicher Programme sind meistens auf https gegangen, inkl. Bedienung über den Browser.


    Große Firmen verwenden oft auch (teure) proprietäre Systeme mit Einmalzugängen u. Ä..


    Für deine Zwecke ist sftp mit oder ohne VPN die beste Wahl. Mit VPN können auch Netzwerkfreigaben eine Möglichkeit sein.

    Genau....solch eine Frage habe ich mir bereits gestellt...

    Bspw. ARD oder ZDF Mediatheken und natürlich viele andere Portale... Aber Logisch...meist alles https..

    Wobei was meist genau dahinter werkelt ist ja auch nicht immer zu erkennen, zumindest für mich nicht ^^


    SFTP bzw ftps werde ich mir mal die Tage genau angucken.

    Danke nochmal für deine Tipps :)

    Qnap schlägt mir ja auch vor das ich mit ihm die Zertifikate Konfigurieren kann.. werde ich mir mal genauer angucken. Bin sehr gespannt :)


    FTP Server Inhalte lassen sich ja meist auch ganz normal im Browser darstellen. Zumindest war das früher mal so :)

    Wie gesagt, schaue ich mir mal genauer an :)


    Das mit den Ports war auch nochmal ein guter Tipp! Hier möglichst hohe zu Wählen.

    Gehe jetzt einfach davon aus, das damit gemeint ist nicht gleich im Scanner Bereich aufzufallen?

    Zitat von Hoster

    Bspw. ARD oder ZDF Mediatheken und natürlich viele andere Portale... Aber Logisch...meist alles https..

    Wobei was meist genau dahinter werkelt ist ja auch nicht immer zu erkennen, zumindest für mich nicht

    Naja gut .. Videodaten via ftp raus schicken wird wohl eher nicht gehen. Und das ganze kommt ja meist nicht von denen selber(ARD/ZDF/etc) sonder von irgendwelchen CDN's die da noch DRM und Geoblocking durchführen

    Zitat von Hoster

    komplette Hochzeit Archiv meiner Schwester tauschen.

    Da ist es heute einfacher eine kostenfreie E-Mail-Adresse zu organisieren und den beinhalteten Cloudspeicher zu verwenden.