(S)FTP-Server. Ratsam oder alternativen?

  • Moin @ all.

    In der heutigen Zeit nimmt es ja zum Glück immer mehr zu mit dem Ausbau der GF Anschlüßen. Auch bei mir ist es bald soweit.

    Seid meinem letzten Update darf ich mich aber eigentlich nicht mehr beschwerden. Momentan hab ich DSL + LTE5g in Hybrid. Somit komme ich auf ca. 200/80 Leitung.


    Gerne würde ich nun auf meinem Nas einen FTP Server einrichten um Daten für einen Kumpel bereitszustellen bzw auszutauschen.

    Das ganze ist ziemlich umfangreich und ich fand "damals" einfach FTP genial.

    Übersichtlich und schnell.


    Jetzt habe ich gelesen das es aber wohl mittlerweile "out" ist. Obwohl die Hersteller die Apps ja noch anbieten.

    Die Sicherheitslücke die ich mir erstelle ist, wenn ich das richtig verstanden habe wohl extrem groß.

    Quasi lasse ich die Zugbrücke herunter, öffne das Schloßtor und helfe den Räubern noch beim heraustragen der Beute :)


    Zwischendrin las ich aber das man das ganze auch via SFTP bzw SSH etc. wohl etwas sicherer machen kann .

    Ist diese Lösung einigermaßen vernünftig oder auch hier Irrsinn?

    Oder gibt es eine Möglichkeit FTP doch "Sicher" umzusetzen?


    Was wäre denn die beste Alternative hierfür?

    Schade würde ich es finden weil ich wie gesagt das ganze FTP Server-> Client gespiele irgendwie bisschen cool finde :)


    Cloud extern kommt nicht in Frage aufgrund Größe und Dateimenge.

    Und wie gesagt...in der heutigen Zeit mit den vorhandenen Anschlüßen ja auch kein Problem mehr.


    Bin total gespannt ^^

  • Ohne VPN ist fast alles Irrsinn, dann bleibt nur "gehärtetes" SSH.

    Im VPN könnt ihr euch dann nach eurem Belieben aussuchen, was ihr verwendet, ich bevorzuge hier aber SMB.

  • Wenn ihr so riesige Datenmengen übertragen müsst... VPN mit Wireguard wäre da geeignet.

    Alles andere, wie tiermutter sagt, Irrsinn.


    Bei VPN musst Du dann evtl. auch noch die anderen Geräte im LAN, die der Kumpel nicht anfassen darf, härten.


    Gruss

  • VPN Verbindung setzt sich natürlich voraus...

    Bin kein Netzwerk Profi aber eine VPN Verbindung kriege ich hin :)


    Dann wäre aber auch ein FTP Server -> Client ohne Problem zu erstellen und kann guten Gewissens genutzt werden? Kann ja hier das ganze trotzdem als "S-FTP" einstellen.



    P.S. Danke schonmal für die fixe Antwort ^^

  • Mit VPN ist hier aber kein Anonymizer Bezahl VPN gemeint ..ist dir bewusst oder?

    VPN Server auf deinem Router und Client beim Kumpel

  • SFTP ist SSH... FTPS ist das bessere FTP ;)

    Da der Traffic im VPN ja ohnehin verschlüsselt ist, tut das mMn gar nicht Not.

  • Mod: Unnötiges Volltextzitat gekürzt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Mit VPN ist hier aber kein Anonymizer Bezahl VPN gemeint

    Mehr als bewusst...Damit ist kein NordVPN oder wie das alles heisst gemeint.


    VPN Server durch meinen Router..hier unifi etc. etc....


    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    tiermutter Stimmt....wenn man es via vpn macht wäre es ja dann doppelt gemoppelt :)



    Ok..das ganze lässt sich dann so umsetzen :)


    Oder würdet ihr hier eine Alternative vorschlagen?


    Bzw vill gar keine Alternative mehr..weil ja ftp scheinbar überholt ist?

  • FTP durch einen VPN Tunnel kann man sehr gut einsetzten, der Tunnel verschlüsselt alles für dritte.

    Vorteil FTP, man kann wenn man mehrere Dateien übertragen muss mit mehreren parallelen Streams arbeiten und somit auch die volle Bandbreite im WAN bei hohen Latenzen ausnutzen.

    Mit der neuen FTP App war aber irgendwo bei 8 die Grenze.

  • Dachte ich mir auch...

    Habe jetzt nochmal ein bisschen durch die Gegend gelesen und die Richtungen gehen echt komplett nach Links oder Rechts...

    Wenn ich nur ein paar Dateien Teilen will..kann ich einen Link generieren und diesen via Mail senden und der Empfänger kann mit dem Link und ggf PW dann das ganze herunterladen oder etwas hochladen...


    Das klingt für mich jetzt nicht wirklich sicherer als ein bspw. SFTP oder FTPs Zugang...Wahrscheinlich muss ich mich da mal genauer hinsetzen und das ganze Studieren ..

    Wird ja nicht ohne Grund von einigen so verteufelt.

  • Diese Links ja aber auch nur via VPN .. sonst darfst du der Malware schon mal entgegen winken .


    Von da her, VPN+SMB/FTP/etc aber IMMER VPN

  • Irgendwo hat jemand geschrieben das sowohl qnap als auch syn.. damit "werben" das es sicher sei.

    Wenn ich das richtig verstanden habe wird das bei der Link variante über eine art server relay weitergeleitet?


    Die Daten wandern von mir über den qnap server zum endnutzer, bspw. freunde/familie/etc und somit soll das ganze dann sicher sein und müsste ja demnach auch keine weitere Freigabe bekommen in der Firewall o.ä. ?

  • Irgendwo hat jemand geschrieben das sowohl qnap als auch syn.. damit "werben" das es sicher sei.

    Ja früher mal .. aber jetzt sagt QNAP selber das NAS NICHT mehr dem Web auszusetzen sind (nach nem halben Dutzend Malware Kapangen war wohl der Imagschaden zu gross)


    Wenn ich das richtig verstanden habe wird das bei der Link variante über eine art server relay weitergeleitet?

    Via Cloudlink .. ja, aber wenn die Dateien gross sind kann das dauern das Tunneln ist gedrosselt

    Die Daten wandern von mir über den qnap server zum endnutzer, bspw. freunde/familie/etc und somit soll das ganze dann sicher sein und müsste ja demnach auch keine weitere Freigabe bekommen in der Firewall o.ä. ?

    So haben sich das viele Gedacht und die NAS dem WAN ausgesetzt .. die Verbrecher hat's gefreut. Bisher hat alleine Deadbolt, 85-90BTC kassiert. Nach momentanem Kurs ca. 2.25 Millionen Euro (von QNAP Nutzern an Verbrecher)

  • Ja das da ja mal dieser Riesen Angriff war...habe ich vor kurzem auch gelesen. Im Zuge dessen wurde ja glaube ich auch dringlichst von UpnP abgeraten.



    Achso..ich wusste nicht das es dann quasi nochmal über" Big Brother " läuft und dann erst beim "Kunden" ankommt.

    Dachte es geht direkt ...erschien mir irgendwie auch ein wenig logischer aufgrund von Kapa...etc.... aber wie soll hier sonst mehr Sicherheit gewährleistet werden...



    Hm ok dann muss ich mich doch mit dem Thema intensiv beschäftigen wenn ich nicht die Hose runterlassen will....

    Das man beim Nas ins Wan setzen aufpassen muss war mir schon immer klar aber mit einfach mal eben so... ist es nicht getan.

    Meistens denk ich :" Es muss einfach gehen, sonst gehts einfach nicht" aber ich denke das ist hier der falsche weg.


    Mein Nas will ich nicht einfach ins Wan setzen und fertig.. aber tatsächlich mal einen Link freigeben um mal eben ein paar Dateien zur verfügung zu stellen finde ich schon gut,

    Wie gesagt...gerade heutzutage wo die Leitungen immer schneller werden und so ein Nas kostet ja schon ein wenig Geld... Im Gesunden Rahmen mag ich das schon ganz gern ein wenig nutzen aber nicht um die Hose runterzulassen.


    Und die FTP Server > Client Lösung finde ich persönlich irgendwie ein wenig Elegant und komfortabel.

    Aber wie gesagt...manchmal muss man auch Ideen begraben...

    Wobei du ja oben bereits gesagt hast das sich auch diese " Nostalgischen " Alten Protokoll Lösungen aus den 80ern mit einer ordentlich eingerichteten VPN Lösung umsetzen ließen ^^

  • Aber ich dachte der Drops mit dem VPN war schon gelutscht .. also Fernzugriff via VPN und dann geht was der Router Prozessor und der Upload so kann.

  • Ist er auch...ja ich schreibe manchmal die sachen dreimal ^^

    VPN server wird eingerichtet und dann kann ich ruhigen gewissens meinen ftp server nutzen.


    Eigentlich wollte ich nur damit sagen das es so wichtig ist sich immer wieder zu sensibilisieren wie wichtig hier solche Maßnahmen sind.


    Es ist ein bisschen wie mit Bakterien...wenn diese Leuchten/Glühen würden dann würden einige auch mehr auf ihre Hygiene achten ^^

    Ähnlich auch mit der Cybersecurity.

  • Kannst aber z.B. einen Reverse Proxy davor hängen oder mit einer own/next-cloud im Container arbeiten.

    Am besten beides.


    So könnte man auch wieder direkt Daten vom NAS aus bereitstellen, ist aber eine komplexe Einrichtung.

  • Ohje ne das ist mir zu Komplex. Ich bin froh wenn ich das "Standard" Werk zum laufen bekomme ^^

  • Hoster

    Hier möchte ich dir mal mein Vorgehen mit FTP und Freigabelinks per Filestation schildern. Einige der Forenmitglieder, die hier gepostet haben, kennen mich und meinen "leichtsinnigen" Umgang mit Portfreigaben.

    Ich habe eine Fritzbox, bei der gibt es Port-Freigaben für HTTPS, HTTP, FTP und die Passiv-Ports für (S)FTP für 10 Benutzer mit je 2 Verbindungen. Diese Freigaben existieren aber NUR für IPv6. Außerdem habe ich in der Fritzbox die "Zwangstrennung" jede Nacht um 4 Uhr eingestellt, sodass ich jeden Tag einen neuen IPv6-Präfix bekomme. Dann habe ich einen Hostnamen per DDNS bei SPDYN eingerichtet mit SSL-Zertifikat bei Lets Encrypt - NICHT IN DER QNAP CLOUD -. Dann läuft auf meinem NAS die QuFirewall, bei der alle Quell-IPv6 gesperrt sind, außer Germany und mein Heim-Netz (im Wesentlichen). Die Ports 80 und 443 öffne ich (weltweit) nur dann, wenn ich ein neues SSL-Zertifikat für meinen DDNS Hostnamen beziehen möchte. Ansonsten sind die Ports für HTTPS und (S)FTP nur deutschlandweit offen. Somit habe ich meine Angriffsfläche für Portscans und möglichen Malware-Attacken schon mal merklich reduziert. Durch die QuFirewall habe ich eine gute Übersicht über die geblockten Zugriffe auf meine IPv6 Freigaben, deren Anzahl NULL (!!) ist, seit Einrichtung der Firewall Anfang dieses Jahres. Ich denke auch, dass es recht schwierig wäre, die möglichen 3,4 * 1038 IPv6 Adressen zu scannen, um Malware zu verteilen, allein die Interface-ID (die letzten 64 Bit der Adresse) bietet 281.474.976.710.656 Möglichkeiten (FF FE rausgerechnet). Die Freigabelinks von der Filestation (HTTPS) gebe ich nur an Familienmitglieder (verteilt im Bundesgebiet) und an Freude weiter, die auch Konten für (S)FTP im NAS haben - bisher 6 Leute. Diese Freigabelinks stellen natürlich eine gewisse gewisse Gefahr da, falls diese weitergegeben werden. Bisher funktioniert (S)FTP über IPv6 bei den bisher kontaktierten Freunden und Familienmitgliedern, auch über Handy (hier Vodafone), ohne Probleme!


    Nur um keine Diskussionen aufkommen zu lassen, ich weiß, dass diese Lösung keine 100 prozentige Sicherheit bietet, aber vielleicht nah dran??

  • Dann wärmen wir das Thema nochmal auf, ok ;)


    Natürlich ist man mit v6 only derzeit (!!!) noch relativ gut vom Bösen abgeschottet und noch mehr, wenn es on top germany only ist (was ich in meiner Firewall übrigens auch so aktiv habe, auch wenn es nur Freigaben für mehrere VPN gibt). V6 steckt zumindest in den Köpfen aber auch noch in den Kinderschuhen, damit will niemand so recht zu tun haben, weder Entwickler, noch Privatleute oder Hacker. Wenn die Bösewichte aber erstmal Blut geleckt haben und v6 grundsätzlich berücksichtigen, dann sieht das alles wieder anders aus, und das wird kommen! Wenn ich Bösewicht wäre, dann hätte ich schon längst im Sinn "Deutschland? Ja Mensch, da werden globale v4 immer mehr abgebaut und Dienste müssen auf v6 bereitgestellt werden, den Leckerbissen lasse ich mir nicht entgehen!". Damit ist 3,4 * 10^38 schonmal deutlich reduziert, wenn man sich auf DE (und co) beschränken würde (in vielen Ländern wie Kanada arbeitet man nicht mit v6). Dann nehme man auch noch die Mobilfunknetze raus, in denen kaum was zu holen ist und schon sieht das doch recht übersichtlich aus :)

  • Übersichtlich? Allein die Interface-ID, (siehe oben) ist ca. 64000 mal so groß wie der gesamte IPv4-Bereich! ;)