|
| Hvor stor en risiko er der på port 20 og21~ Fra : Dan |
Dato : 23-02-05 13:21 |
|
Hejsa!
Jeg har tænkte mig at sætte min egen FTP server op!
Men det kræver jo at port 20 og 21 er åbne!
Hvor stor en risiko er der for at der kan komme nogen og gøre "skade" den
vej!?
Mvh
Dan
| |
Jan Vestergaard (23-02-2005)
| Kommentar Fra : Jan Vestergaard |
Dato : 23-02-05 13:36 |
|
Dan wrote:
> Jeg har tænkte mig at sætte min egen FTP server op!
> Men det kræver jo at port 20 og 21 er åbne!
Port 21 er nok til en almindelig FTP-server.
> Hvor stor en risiko er der for at der kan komme nogen og gøre "skade"
> den vej!?
Ligeså stor, som på alle andre porte - og du skal under alle omstændigheder
åbne en port for at køre en FTP-server.
Jan
--
Jan Vestergaard, Kildedalen 27, 3400 Hillerød
Email: jan@jve.invalid Web: www.jve.dk
Erstat invalid med dk ved mail - men indlæg bør besvares i gruppen.
| |
Dan (23-02-2005)
| Kommentar Fra : Dan |
Dato : 23-02-05 13:42 |
|
> Ligeså stor, som på alle andre porte - og du skal under alle
> omstændigheder
> åbne en port for at køre en FTP-server.
>
> Jan
>
Okay! Hvad kan man gøre for at beskytte sig mod ubydene gæster?
Mvh
Dan
| |
Brian R. Jensen (23-02-2005)
| Kommentar Fra : Brian R. Jensen |
Dato : 23-02-05 20:23 |
|
On Wed, 23 Feb 2005 13:41:46 +0100, "Dan"
<torskerogn@*NOSPAM*hotmail.com> wrote:
>Okay! Hvad kan man gøre for at beskytte sig mod ubydene gæster?
Konfigurer din ftp-server korrekt/fornuftigt
/Brian
| |
Claus Tersgov (23-02-2005)
| Kommentar Fra : Claus Tersgov |
Dato : 23-02-05 21:54 |
|
"Dan" <torskerogn@*NOSPAM*hotmail.com> skrev
> Okay! Hvad kan man gøre for at beskytte sig mod ubydene gæster?
Klip stikket over!
Man kan ikke gøre andet end at holde sin maskine opdateret altid, og så
minimere brugen af ukendte programmer.
Hvis en hacker er fast besluttet på at komme ind i et system, så kommer han
også ind...
Det, du bør være mere bekymret over, er bagdøre i diverse ukendte og
tvivlsomme programmer og filer. Installer og hent *kun* fra steder, du har
tillid til.
Claus
| |
Henrik Stidsen (23-02-2005)
| Kommentar Fra : Henrik Stidsen |
Dato : 23-02-05 15:14 |
|
"Jan Vestergaard" <jan@jve.invalid> wrote in
news:421c78cd$0$161$edfadb0f@dtext02.news.tele.dk
>> Jeg har tænkte mig at sætte min egen FTP server op!
>> Men det kræver jo at port 20 og 21 er åbne!
> Port 21 er nok til en almindelig FTP-server.
Nej, port 20 er dataporten, FTP bruger både 21 og 20 (command port -
1)
--
..: Henrik Stidsen - http://hs235.dk/ - http://hs235.dk/blog/ ::...
"Alot of people may not know this but I happen to be quite famous"
| |
jamen (23-02-2005)
| Kommentar Fra : jamen |
Dato : 23-02-05 15:42 |
|
Henrik Stidsen wrote:
> Nej, port 20 er dataporten, FTP bruger både 21 og 20 (command port -
> 1)
Ved aktiv ftp sætter serveren port 20 som lokalport, når den opretter
dataforbindelsen til klienten. Dvs porten skal *ikke* forwardes/åbnes
for indgående trafik.
| |
Henrik Stidsen (25-02-2005)
| Kommentar Fra : Henrik Stidsen |
Dato : 25-02-05 15:33 |
|
jamen <jamen@invalid> wrote in
news:421c9513$0$169$edfadb0f@dtext01.news.tele.dk
>> Nej, port 20 er dataporten, FTP bruger både 21 og 20 (command
>> port - 1)
> Ved aktiv ftp sætter serveren port 20 som lokalport, når den
> opretter dataforbindelsen til klienten. Dvs porten skal *ikke*
> forwardes/åbnes for indgående trafik.
Der kan man bare se, så ved jeg også det :)
--
Henrik Stidsen - http://såkadulæredet.dk/
'Veni, Vidi, Velcro' - I came, I saw, I stuck around.
| |
Jan Vestergaard (23-02-2005)
| Kommentar Fra : Jan Vestergaard |
Dato : 23-02-05 19:17 |
|
Henrik Stidsen wrote:
> Nej, port 20 er dataporten, FTP bruger både 21 og 20 (command port -
> 1)
Den diskussion har været i gruppen før - og ja - port 20 bruges - men det er
ikke nødvendigt, at åbne den.
Jan
--
Jan Vestergaard, Kildedalen 27, 3400 Hillerød
Email: jan@jve.invalid Web: www.jve.dk
Erstat invalid med dk ved mail - men indlæg bør besvares i gruppen.
| |
Calle. (23-02-2005)
| Kommentar Fra : Calle. |
Dato : 23-02-05 22:18 |
|
Henrik Stidsen wrote:
> "Jan Vestergaard" <jan@jve.invalid> wrote in
> news:421c78cd$0$161$edfadb0f@dtext02.news.tele.dk
>
>>> Jeg har tænkte mig at sætte min egen FTP server op!
>>> Men det kræver jo at port 20 og 21 er åbne!
>
>> Port 21 er nok til en almindelig FTP-server.
>
> Nej, port 20 er dataporten, FTP bruger både 21 og 20 (command port -
> 1)
JO port 21 er nok
--
Calle.
| |
Claus Tersgov (24-02-2005)
| Kommentar Fra : Claus Tersgov |
Dato : 24-02-05 01:44 |
|
"Henrik Stidsen" <nospamforme@hs235.dk> skrev
> Nej, port 20 er dataporten, FTP bruger både 21 og 20 (command port -
Port 20 er lukket i min router, men min FTP server kører da
ufortrødent......
Claus
| |
Martin Nielsen (24-02-2005)
| Kommentar Fra : Martin Nielsen |
Dato : 24-02-05 10:42 |
|
"Claus Tersgov" <nospamnews@tersgov.dk> skrev i en meddelelse
news:421d22f5$0$80883$157c6196@dreader2.cybercity.dk...
>
> "Henrik Stidsen" <nospamforme@hs235.dk> skrev
> Port 20 er lukket i min router, men min FTP server kører da
> ufortrødent......
>
> Claus
Port 20 er sikkert åben for upstream trafik. Som udgangspunkt lukker en alm.
router vel kun porten for downstream trafik. Det er ihvertfald min erfaring
fra de gange jeg har opsat FTP/HTTP-serverere. Port 80 er f.eks. åben pr.
default, alligevel skal den åbnes, når man vil køre HTTP-server.
Martin /Helsingør
| |
Madhatter@dk.invalid (23-02-2005)
| Kommentar Fra : Madhatter@dk.invalid |
Dato : 23-02-05 13:49 |
|
On Wed, 23 Feb 2005 13:20:51 +0100, "Dan"
<torskerogn@*NOSPAM*hotmail.com> wrote:
>Jeg har tænkte mig at sætte min egen FTP server op!
>Men det kræver jo at port 20 og 21 er åbne!
>Hvor stor en risiko er der for at der kan komme nogen og gøre "skade" den
>vej!?
Risikoen er ganske stor...
Derfor skal du være over din FTP-server så den kun lukker dem ind du
ønsker, og at de ikke kan foretage mere end det du tillader...
Tillader du f.eks at anonyme brugere kan uploade filer, vil du nok
opdage på et tidspunkt at FTP-serveren bliver fyldt op med
piratprogrammer og MP3 filer
<mlr>
| |
Benny Nissen (23-02-2005)
| Kommentar Fra : Benny Nissen |
Dato : 23-02-05 13:53 |
|
Madhatter@dk.invalid wrote:
> Tillader du f.eks at anonyme brugere kan uploade filer, vil du nok
> opdage på et tidspunkt at FTP-serveren bliver fyldt op med
> piratprogrammer og MP3 filer
Og porno...
Så hvis du gerne vil have noget af ovenstående, så er det blot at sætte
serveren op, og give fuld adgang til den. Så venter du blot nogle dage,
og så skulle det være klaret
--
Benny Nissen
http://bennynissen.dk
| |
Dan (23-02-2005)
| Kommentar Fra : Dan |
Dato : 23-02-05 13:56 |
|
>> Tillader du f.eks at anonyme brugere kan uploade filer, vil du nok
>> opdage på et tidspunkt at FTP-serveren bliver fyldt op med
>> piratprogrammer og MP3 filer
>
> Og porno...
>
> Så hvis du gerne vil have noget af ovenstående, så er det blot at sætte
> serveren op, og give fuld adgang til den. Så venter du blot nogle dage, og
> så skulle det være klaret
>
>
> --
> Benny Nissen
> http://bennynissen.dk
Okay! Ja det var jo ikke lige det der var planen med den!
Jeg ville selvføligt lave bruge navne med tilhøren password!
Og kun disse skulle have lov til at logge ind og uploade/downloade!
Nogen der har nogen gode ider! Min plan var at prøve der program der hedder
"Gene6 FTP".
Mvh
Dan
| |
Uffe S. Callesen (23-02-2005)
| Kommentar Fra : Uffe S. Callesen |
Dato : 23-02-05 16:13 |
|
Dan wrote:
> Jeg ville selvføligt lave bruge navne med tilhøren password!
> Og kun disse skulle have lov til at logge ind og uploade/downloade!
>
> Nogen der har nogen gode ider! Min plan var at prøve der program der hedder
> "Gene6 FTP".
>
> Mvh
> Dan
Det der er vigtigt at forstå Dan - er at ftp protokollen per definition
er usikker. Username og passwords sendes som klar tekst og kan altså
'sniffes' / opfanges af andre.
Det kan omgåes ved at benytte en ftp server som tilbyder SSL/TLS
kryptering - finder du en sådanne (Jeg bruger selv vsftpd - men den er
til unix/linux) afhænger sikkerheden stort set udelukkende af selve ftp
server softwaren.
Inden du vælger så prøv at søge på google efter vulnerabilities
(sårbarheder) i det pågældende stykke ftp server software.
Eller for at gøre det simpelt så søg her:
http://www.securityfocus.org/bid/keyword/
Om du manuelt skal åbne port 20 for indgående trafik afhænger af din
router - typisk er det ikke nødvendigt.
--
Mail mig på uffe <snabelA> skelmose <prik> dk
| |
Dan (23-02-2005)
| Kommentar Fra : Dan |
Dato : 23-02-05 17:12 |
|
> Det der er vigtigt at forstå Dan - er at ftp protokollen per definition er
> usikker. Username og passwords sendes som klar tekst og kan altså
> 'sniffes' / opfanges af andre.
>
> Det kan omgåes ved at benytte en ftp server som tilbyder SSL/TLS
> kryptering - finder du en sådanne (Jeg bruger selv vsftpd - men den er til
> unix/linux) afhænger sikkerheden stort set udelukkende af selve ftp server
> softwaren.
Okay!
Hvis jeg nu bruger SSL/TLS! Er det så stadig muligt at bruge I.E. som ftp
program!
Så man kan logge sig på fra "alle" computer!??
Mvh
Dan
| |
Stig Johansen (23-02-2005)
| Kommentar Fra : Stig Johansen |
Dato : 23-02-05 18:58 |
|
Uffe S. Callesen wrote:
<warning - lidt provokerende>
> Username og passwords sendes som klar tekst og kan altså
> 'sniffes' / opfanges af andre.
Hvordan? [1]
Evesdropping på fiber?
Evesdropping på kobberlinie?
Antal konstaterede tilfælde?
osv.
</warning - lidt provokerende>
[1] /Ikke/ promiscous mode på maskiner på LAN.
--
Med venlig hilsen
Stig Johansen
| |
Asbjorn Hojmark (23-02-2005)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 23-02-05 23:46 |
|
On Wed, 23 Feb 2005 18:57:55 +0100, Stig Johansen
<stig_johansen_it_at_=(@)hotmail.com> wrote:
>> Username og passwords sendes som klar tekst og kan altså
>> 'sniffes' / opfanges af andre.
> Hvordan? [1]
Fx med debug i de routere, pakken kommer igennem. Det kan være meget
simpelt, givet at man har adgang til dem.
> Evesdropping på fiber?
Det er svært, men ikke umuligt.
> Evesdropping på kobberlinie?
Det er relativt nemt.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/
| |
Jesper G. Poulsen (23-02-2005)
| Kommentar Fra : Jesper G. Poulsen |
Dato : 23-02-05 17:01 |
|
Dan skrev:
> Jeg ville selvføligt lave bruge navne med tilhøren password!
> Og kun disse skulle have lov til at logge ind og uploade/downloade!
Så er ssh og scp vist løsningen for dig. Her i huset kan brugerne kun
up- og downloade via scp (secure copy - filkopiering gennem en secure
shell tunnel).
--
Med venlig hilsen
Jesper G. Poulsen - Linux Registered User #316493
- Look, this is Debian. They don’t release things until you have to
fire rockets at the thing to stop it working
| |
Calle. (23-02-2005)
| Kommentar Fra : Calle. |
Dato : 23-02-05 22:21 |
|
Dan wrote:
> Nogen der har nogen gode ider! Min plan var at prøve der program der
> hedder "Gene6 FTP".
>
cerberusftp er et rigtig godt program, og samtidig freeware.
Har kørt over et år her uden problemer
--
Calle.
| |
Bjarke Andersen (23-02-2005)
| Kommentar Fra : Bjarke Andersen |
Dato : 23-02-05 15:26 |
|
"Dan" <torskerogn@*NOSPAM*hotmail.com> crashed Echelon writing
news:fz_Sd.59$Nq3.12@news.get2net.dk:
> Hvor stor en risiko er der for at der kan komme nogen og gøre "skade"
> den vej!?
Den reelle risiko ligger i det program du vil køre.
Hvis vi tager et eksempel som Serv-U har det igennem årene haft et antal
sikkerhedsbrister som en ondsindet person vil kun udnytte, hvis du har lige
den fejlbehæftede version installeret.
Så find først ud af hvilket ftp program som er sikrest p.t.
Dernæst, alm ftp login sker i cleartext, dvs. at det kan sniffes direkte ud
af pakken. Hvis du skal køre noget ftp for bestemte brugere, så kig efter
noget som osse tilbyder kryptering af både login og evt. og dataene der
sendes/modtages derefter.
--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address
| |
Jesper Dybdal (23-02-2005)
| Kommentar Fra : Jesper Dybdal |
Dato : 23-02-05 18:03 |
|
"Dan" <torskerogn@*NOSPAM*hotmail.com> wrote:
>Jeg har tænkte mig at sætte min egen FTP server op!
>Men det kræver jo at port 20 og 21 er åbne!
Som andre har sagt: det er kun 21 der skal være åben indad.
>Hvor stor en risiko er der for at der kan komme nogen og gøre "skade" den
>vej!?
Når du åbner den port, sker der præcis én ting: nemlig at folk ude i
verden kan snakke med dit ftp-server-program. Om de derved kan få
ftp-serveren til at lave ulykker, afhænger af hvad du vælger for en
ftp-server og hvordan du konfigurerer den.
Hvis du lader være med at tillade anonym ftp, så er der allerede en
hel masse af de mulige problemer der forsvinder.
Dernæst er det en god idé at sørge for at kun veldefinerede nødvendige
dele af dit filsystem kan tilgås via ftp - absolut ikke noget sted
hvorfra du kunne finde på at køre et program, fx. Og tag backup af de
kataloger.
Sniffede klartekstpasswords, som andre her har udtrykt bekymring for,
mener jeg ikke er den store risiko i praksis. Gud & hvermand bruger
ordinær ftp til at uploade websider med, og jeg har aldrig hørt om et
tilfælde hvor nogen sniffede og misbrugte et ftp-password. Medmindre
dine data er ufatteligt værdifulde og/eller meget berømte, er der
ingen der gider det.
Endelig skal du helst finde et ftp-server-program som ikke har for
mange sikkerhedsfejl der kan udnyttes udefra. Jeg ved intet om
ftp-servere til Windows; under Unix/Linux er pure-ftpd og vsftpd vist
begge ganske sikre.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).
| |
Calle. (23-02-2005)
| Kommentar Fra : Calle. |
Dato : 23-02-05 22:17 |
|
Dan wrote:
> Hejsa!
>
> Jeg har tænkte mig at sætte min egen FTP server op!
> Men det kræver jo at port 20 og 21 er åbne!
> Hvor stor en risiko er der for at der kan komme nogen og gøre "skade"
> den vej!?
>
kun port 21 er nødvendig
--
Calle.
| |
|
|