/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
sikkerhed med ftp
Fra : Martin Jørgensen


Dato : 23-08-02 10:24

Hej Alle.
Jeg kører p.t. med en FTP server(bulletproff).
De filer der er til rådighed på serveren er mere eller mindre fortrolige.

Hvordan sikre man disse filer bedst muligt?

Serveren er koblet på nettet over en 3com gateway.

Er det rigtigt , at filer fra en ftp ikke er kryptoreret når de sendes til
modtageren?

Jeg har selv overvejet at zippe alle filerne med et langt password , men jeg
ville da gerne hører evt. andre muligheder.

Filerne ligger på en server der kører win2000.

hygge
Martin




 
 
Peter Mogensen (23-08-2002)
Kommentar
Fra : Peter Mogensen


Dato : 23-08-02 10:43

Martin Jørgensen wrote:
> Hvordan sikre man disse filer bedst muligt?

Det kommer jo an på hvem der skal have fat i dem og hvilke midler de har.

> Er det rigtigt , at filer fra en ftp ikke er kryptoreret når de sendes til
> modtageren?

ja.


> Jeg har selv overvejet at zippe alle filerne med et langt password , men jeg
> ville da gerne hører evt. andre muligheder.
>
> Filerne ligger på en server der kører win2000.

Jeg var lige ved at sige "sftp", men så - nej.

Løsningen er helt afhængig af hvor transarent den skal være for klienterne.
Man kunne f.eks. foreslå at sætte en HTTP/SSL server op istedet der
verificerede klienten også (og ikke kun klienten der verificerer
serveren som normalt). ... men det vil kræve at hver klient er i
besidelse af et x509 certifikat og en HTTP-klient der kan bruge det.

Hvis det skal hentes med alm. FTP, så kunne du overveje at bygge et VPN
mellem serveren og de potentielle klienter.

Peter





Henrik Bøgh (23-08-2002)
Kommentar
Fra : Henrik Bøgh


Dato : 23-08-02 15:24

Peter Mogensen wrote in dk.edb.sikkerhed:

[...]

> Jeg var lige ved at sige "sftp", men så - nej.

Hvorfor dog det?
Mig bekendt findes der adskillelige glimrende sftp-servere til Windows,
omend jeg kun kender til en som er OS:

http://www.jfitz.com/tips/ssh_for_windows.html#SSH_Servers

[...]

> Peter

--
Med Venlig Hilsen
H e n r i k B ø g h
"Heaven would be a place where bullshit existed only on television"
-- Frank Zappa


Peder Vendelbo Mikke~ (23-08-2002)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 23-08-02 17:51

Henrik Bøgh skrev:

> Mig bekendt findes der adskillelige glimrende sftp-servere til
> Windows, omend jeg kun kender til en som er OS:

Hvad betyder "som er OS"?
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >


Henrik Bøgh (23-08-2002)
Kommentar
Fra : Henrik Bøgh


Dato : 23-08-02 18:20

Peder Vendelbo Mikkelsen wrote in dk.edb.sikkerhed:

[...]

> Hvad betyder "som er OS"?

OS = Open Source - altså hvor kildekoden er frit tilgængelig.

--
Med Venlig Hilsen
H e n r i k B ø g h
"If human is so innovative - why does some people still use slrn?"
-- webtagwall


Kasper Dupont (24-08-2002)
Kommentar
Fra : Kasper Dupont


Dato : 24-08-02 00:20

Henrik Bøgh wrote:
>
> Peder Vendelbo Mikkelsen wrote in dk.edb.sikkerhed:
>
> [...]
>
> > Hvad betyder "som er OS"?
>
> OS = Open Source - altså hvor kildekoden er frit tilgængelig.

Så sig da OSS lige som alle andre.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

Henrik Bøgh (24-08-2002)
Kommentar
Fra : Henrik Bøgh


Dato : 24-08-02 16:33

Kasper Dupont wrote in dk.edb.sikkerhed:

[...]

> Så sig da OSS lige som alle andre.

Faktisk syntes jeg at jeg ser OS brugt lige så meget som OSS i det danske
open source miljø.
Det kommer måske af at OSS også bliver brugt for ofte stillede spørgsmål -
men på den anden side er OS jo traditionelt brugt for operativsystem.
Men det er korrekt at når man kommer uden for lille Danmark er det OSS der
udelukkende bliver brugt.

> Kasper Dupont -- der bruger for meget tid på usenet.

--
Med Venlig Hilsen
H e n r i k B ø g h
"It must be soooo dull to be you"
-- Alan Ruck as Stuart Bondek in 'Spin City'


Christian E. Lysel (24-08-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 24-08-02 10:29

Peter Mogensen wrote:
>> Filerne ligger på en server der kører win2000.
> Man kunne f.eks. foreslå at sætte en HTTP/SSL server op istedet der

Har du set de seneste problemer med SSL?


Kasper Dupont (24-08-2002)
Kommentar
Fra : Kasper Dupont


Dato : 24-08-02 14:14

"Christian E. Lysel" wrote:
>
> Peter Mogensen wrote:
> >> Filerne ligger på en server der kører win2000.
> > Man kunne f.eks. foreslå at sætte en HTTP/SSL server op istedet der
>
> Har du set de seneste problemer med SSL?

Du mener det hul, der blev opdaget i både Konqueror og IE?

Hvis jeg forstod det rigtigt brugte en KDE udvilker de
første få timer efter det blev opdaget på at rette fejlen
i Konqueror, mens MS brugte den samme tid på at benægte
fejlens eksistens i IE.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

Christian E. Lysel (24-08-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 24-08-02 15:20

Kasper Dupont wrote:
>>Har du set de seneste problemer med SSL?
> Du mener det hul, der blev opdaget i både Konqueror og IE?

Og IIS, det lader til også at eksistere i andre produkter der bruger
MS's implementation.

> Hvis jeg forstod det rigtigt brugte en KDE udvilker de
> første få timer efter det blev opdaget på at rette fejlen
> i Konqueror, mens MS brugte den samme tid på at benægte
> fejlens eksistens i IE.

Jeg tror det er en design fejl fra MS, og de skal bruge noget tid på at
rette det.

IIS fejlen mener de er rettet i service pack 3.

Det "sjove" er at det ikke er første gang, således har det været huller
i klient og server for 2-3 år siden,

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ie/downloads/iesslfx.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ie/downloads/multissl.asp



En anden variant,
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q299687


For mere info, se

http://search.microsoft.com/default.asp?so=RECCNT&qu=patch%20ssl&boolean=ALL&fqu=*ssl%26patch&siteid=us/itresources


Kent Friis (24-08-2002)
Kommentar
Fra : Kent Friis


Dato : 24-08-02 17:48

Den Sat, 24 Aug 2002 15:14:09 +0200 skrev Kasper Dupont:
>"Christian E. Lysel" wrote:
>>
>> Peter Mogensen wrote:
>> >> Filerne ligger på en server der kører win2000.
>> > Man kunne f.eks. foreslå at sætte en HTTP/SSL server op istedet der
>>
>> Har du set de seneste problemer med SSL?
>
>Du mener det hul, der blev opdaget i både Konqueror og IE?
>
>Hvis jeg forstod det rigtigt brugte en KDE udvilker de
>første få timer efter det blev opdaget på at rette fejlen
>i Konqueror, mens MS brugte den samme tid på at benægte
>fejlens eksistens i IE.

Nej, KDE-folkene havde lukket holdet længe inden MS var klar med en
bortforklaring.

Mvh
Kent
--
Ny tegning på http://195.54.71.150/~kfr/grafik/
- desværre uden DNS for tiden.

Peter Mogensen (25-08-2002)
Kommentar
Fra : Peter Mogensen


Dato : 25-08-02 14:11

Christian E. Lysel wrote:
> Peter Mogensen wrote:
>
>>> Filerne ligger på en server der kører win2000.
>>
>> Man kunne f.eks. foreslå at sætte en HTTP/SSL server op istedet der
>
>
> Har du set de seneste problemer med SSL?


øh... ja... Men fordi der er fejl i nogle implementeringer betyder det
da ikke at teknologien er dårlig.

Peter


Christian E. Lysel (25-08-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 25-08-02 16:57

Peter Mogensen wrote:
> øh... ja... Men fordi der er fejl i nogle implementeringer betyder det
> da ikke at teknologien er dårlig.

Nogle fejl?

MS har i de sidste 3 lavet flere fejl (læs min anden tråd), i øjeblikket
er der kendte fejl der ikke er løst.


Peter Jensen (26-08-2002)
Kommentar
Fra : Peter Jensen


Dato : 26-08-02 14:30

Christian E. Lysel <sunsite.dk.nntp@spindelnet.dk> scribbled:

> Peter Mogensen wrote:
>> øh... ja... Men fordi der er fejl i nogle implementeringer betyder
>> det da ikke at teknologien er dårlig.
>
> Nogle fejl?
>
> MS har i de sidste 3 lavet flere fejl (læs min anden tråd), i
> øjeblikket er der kendte fejl der ikke er løst.

OK, og for så lige at gentage Peter Mogensens ord:

"øh... ja... Men fordi der er fejl i nogle implementeringer betyder
det da ikke at teknologien er dårlig."

MS er ikke de eneste der bruger SSL. Der er faktisk folk der implementerer
det bedre end dem ... Det er de samme folk der typisk udsender en patch et
par timer efter offentliggørelse af fejl (altså før "script kiddies" får
mulighed for at lege).

--
PeKaJe



Christian E. Lysel (26-08-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 26-08-02 17:54

Peter Jensen wrote:
> MS er ikke de eneste der bruger SSL. Der er faktisk folk der implementerer

MS er ikke de eneste der laver fejl i SSL.

Problemet er blot at han kører MS på klient og server. Hans server kan
evt. godt omligges til Linux.

> det bedre end dem ... Det er de samme folk der typisk udsender en patch et
> par timer efter offentliggørelse af fejl (altså før "script kiddies" får
> mulighed for at lege).

Du må snakke om OpenSSL i en ikke kommiciel udgave.


Peter Jensen (27-08-2002)
Kommentar
Fra : Peter Jensen


Dato : 27-08-02 08:44

Christian E. Lysel <sunsite.dk.nntp@spindelnet.dk> scribbled:

>> MS er ikke de eneste der bruger SSL. Der er faktisk folk der
>> implementerer
>
> MS er ikke de eneste der laver fejl i SSL.

Nej, men de er dem der bruger længst tid på at rette fejl ...

> Problemet er blot at han kører MS på klient og server. Hans server kan
> evt. godt omligges til Linux.

Det burde være ligegyldigt med evt. fejl hos klienten. Og hvis han er seriøs
med sikkerhed på serveren, så bruger han *ikke* MS produkter. Deres
track-record er for ringe ... Så hellere en Linux variant eller BSD.

>> det bedre end dem ... Det er de samme folk der typisk udsender en
>> patch et par timer efter offentliggørelse af fejl (altså før "script
>> kiddies" får mulighed for at lege).
>
> Du må snakke om OpenSSL i en ikke kommiciel udgave.

Findes der kommercielle udgaver af OpenSSL? Jeg var under det indtryk at det
var GPL. (Note: Det er tilladt at sælge GPL programmer, men kildekoden skal
leveres med og køberen må gøre hvad h{a,u}n vil med den derefter. Konceptet
kendes som "free speach, not free beer". De fleste GPL programmer er dog
gratis ("free beer")).

Så vidt jeg ved bruger alle Linux distributioner OpenSSL. Nogen der ved hvad
BSD bruger?

--
PeKaJe



Peder Vendelbo Mikke~ (27-08-2002)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 27-08-02 19:28

Peter Jensen skrev:

> Og hvis han er seriøs med sikkerhed på serveren, så bruger han *ikke*
> MS produkter.

Sludder og vrøvl.

Hvis Martin er seriøs, bruger han tid på at sætte sig ind i hvordan
serveren opsættes ordentligt fra starten af. Eventuelt på at kaste
nogle penge efter hans leverandør, som stikker hånden i rygsøjlen på
manden og lærer ham at opsætte den korrekt. Mens opsætningen står på,
er der gode muligheder for at stille opklarende spørgsmål og derved
udvide sin viden.

Det ovennævnte vil give 2 fordele:

1. Martin lærer sine servere meget bedre at kende.
2. Leverandøren kender opsætningen og kan træde til i fejlsituationer
og hurtigt være med til at afhjælpe den.

> Deres track-record er for ringe ...

Den er jeg kold overfor, det er ikke MSs track-record som skal afvik-
le services på serverne, eller drifte dem til dagligt.

Selv OS man betegner som sikre, kommer ud for at lave noget som er
knapt så godt. Selv såkaldte sikre OS findes der sikkerhedsfejl i.

I øvrigt har Martin sikkert ikke det sidste ord at skulle have sagt,
når der skal vælges OS til en server. Han er sandsynligvis bundet op på
et valg, som en økonomidirektør har valgt efter en god tur til Bella
Centeret, hvor MS og diverse konsulentfirmaer har været vært for en
præsentation af MSs produktprogram. Jeg kender personligt til 10 mindre
[1] virksomheder hvor det kører sådan.

[1] Mindre virksomheder definerer jeg som mindre end ca. 5 servere og/
eller ca. 50 desktops.

> Så hellere en Linux variant eller BSD.

Hvordan kan det hjælpe ham med sikkerheden, at han opsætter systemer
som han ikke kender det mindste til?

Risikoen for at lave fejl i et "fremmed" system, er langt større end i
et "kendt" system.

Martin har den 24.08.02 kl. 19.45 skrevet dette:

<URL: news:3d67c626$0$53750$edfadb0f@dspool01.news.tele.dk >

"Er linux bedre... nu har jeg listet rundt om en linux instalering de
sidste 3 måneder , som om det var en varm lort - Jeg har vist ikke
modet endnu"

Martin kan sikkert sætte en rødhætte op, som vil være mere usikker end
han vil kunne gør med W2K. Han vil også have bedre chancer for at ved-
ligeholde W2K fremover.
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >


Peter Jensen (28-08-2002)
Kommentar
Fra : Peter Jensen


Dato : 28-08-02 08:19

Peder Vendelbo Mikkelsen <pedervm@myrealbox.com> scribbled:

>> Og hvis han er seriøs med sikkerhed på serveren, så bruger han *ikke*
>> MS produkter.
>
> Sludder og vrøvl.

Nå? Og hvad så med de uløste SSL problemer? Hvis man bruger SSL kan man ikke
sætte maskinen sikkert op. Hvis han så også bruger IIS som webserver, så har
vi et hav af huller. De fleste lukkes godt nok, men der bliver hele tiden
fundet nye.

> Hvis Martin er seriøs, bruger han tid på at sætte sig ind i hvordan
> serveren opsættes ordentligt fra starten af. Eventuelt på at kaste
> nogle penge efter hans leverandør, som stikker hånden i rygsøjlen på
> manden og lærer ham at opsætte den korrekt. Mens opsætningen står på,
> er der gode muligheder for at stille opklarende spørgsmål og derved
> udvide sin viden.

Er der nogen grund til at det ikke kan lade sig gøre med Linux? Hvis du
betaler dig fra det, så kan du få ekspertråd fra de fleste større
distributioner. Forskellen er at du kan vælge ikke at betale, men så er man
også overladt til en selv (og usenet).

> Det ovennævnte vil give 2 fordele:
>
> 1. Martin lærer sine servere meget bedre at kende.

Ja, det er vigtigt ... Men det behøver ikke være MS for at han kan lære den
at kende.

> 2. Leverandøren kender opsætningen og kan træde til i fejlsituationer
> og hurtigt være med til at afhjælpe den.

Lad os bare ignorere at fejlsituationer statistisk set er sjældnere på *nix
varianter. Der findes stadig leverandører der supporter Linux. Se f.eks.
IBM.

>> Deres track-record er for ringe ...
>
> Den er jeg kold overfor, det er ikke MSs track-record som skal afvik-
> le services på serverne, eller drifte dem til dagligt.

Hvis du skulle vælge mellem et system der har (begrundet) rygte for at være
ustabilt og usikkert, og et der tydeligvist er mere sikkert, hvilket bliver
det så? Jeg har hørt om en server der ved et uheld blev spærret inde bag en
gibsvæg. Flere år (4-5, husker det ikke lige) senere får man endelig
opsporet den, men den har ikke mistet en datapakke i alle de år. Prøv at
gætte om det var et MS system eller et *nix ...

> Selv OS man betegner som sikre, kommer ud for at lave noget som er
> knapt så godt. Selv såkaldte sikre OS findes der sikkerhedsfejl i.

Jep, men OSS OS'er får oftest rettet fejlen efter et par timer. MS bruger
enten ugevis, eller også prøver de at fortie fejlen.

> I øvrigt har Martin sikkert ikke det sidste ord at skulle have sagt,
> når der skal vælges OS til en server. Han er sandsynligvis bundet op
> på et valg, som en økonomidirektør har valgt efter en god tur til
> Bella Centeret, hvor MS og diverse konsulentfirmaer har været vært
> for en præsentation af MSs produktprogram. Jeg kender personligt til
> 10 mindre [1] virksomheder hvor det kører sådan.

Ja, det er desværre sådan man driver forretning, når man stort set har
monopol. Gør det valget bedre? Men hvis det er ham der står for den daglige
drift, så tror jeg at han har friere tøjler en du tror.

>> Så hellere en Linux variant eller BSD.
>
> Hvordan kan det hjælpe ham med sikkerheden, at han opsætter systemer
> som han ikke kender det mindste til?

Kender man noget til MS, før man bruger det. Han spørger jo netop her, fordi
han ikke ved hvordan man gør. Support, det kan man altid betale sig fra. Der
er dog mere konkurrence i *nix verdenen, så supportpriserne er typisk
lavere.

> Risikoen for at lave fejl i et "fremmed" system, er langt større end i
> et "kendt" system.

Korrekt, men det lyder til at dette emne er lige så fremmed for ham på en MS
og en *nix maskine.

> Martin har den 24.08.02 kl. 19.45 skrevet dette:
>
> <URL: news:3d67c626$0$53750$edfadb0f@dspool01.news.tele.dk >
>
> "Er linux bedre... nu har jeg listet rundt om en linux instalering de
> sidste 3 måneder , som om det var en varm lort - Jeg har vist ikke
> modet endnu"
>
> Martin kan sikkert sætte en rødhætte op, som vil være mere usikker end
> han vil kunne gør med W2K. Han vil også have bedre chancer for at ved-
> ligeholde W2K fremover.

En ny RH installation bliver som standard sat ret lukket op. Det omvendte
gør sig gældende for MS (i hvert fald nogle versioner). Hvad angår
opdatering, så synes jeg ikke at det er det helt store problem. Jeg har sat
en ugentlig cron-job op der kører "up2date -u". Det er så det ... Hvis jeg
endelig skal opdatere noget akut, så kigger jeg ind på http://rhn.redhat.com
og vælger de pakker der skal opdateres. Alternativt logger jeg ind og kører
manuelt "up2date -u". Alt i alt kan jeg ikke se det store
vedligeholdelsesproblem.

--
PeKaJe



Christian E. Lysel (27-08-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 27-08-02 21:36

Peter Jensen wrote:
> Findes der kommercielle udgaver af OpenSSL? Jeg var under det indtryk at det

Bla. Securecomputing, stonesoft og e-mobilizer, der er nok flere jeg
kender ikke alle producenters produkt.

IBM/Oracle/Symantec bruger apache i nogle situationer med OpenSSL.

> var GPL. (Note: Det er tilladt at sælge GPL programmer, men kildekoden skal
> leveres med og køberen må gøre hvad h{a,u}n vil med den derefter. Konceptet

Kan du ikke referere til hvor det står i GPL'en?

> kendes som "free speach, not free beer". De fleste GPL programmer er dog
> gratis ("free beer")).
>
> Så vidt jeg ved bruger alle Linux distributioner OpenSSL. Nogen der ved hvad
> BSD bruger?

OpenBSD og FreeBSD bruger også OpenSSL


Peter Mogensen (27-08-2002)
Kommentar
Fra : Peter Mogensen


Dato : 27-08-02 23:20

Christian E. Lysel wrote:

> Kan du ikke referere til hvor det står i GPL'en?

I preamblen:

"if you distribute copies of such a program, whether
gratis or for a fee, you must give the recipients all the rights that
you have. You must make sure that they, too, receive or can get the
source code. And you must show them these terms so they know their
rights."

Og i selve licensen:

"You may charge a fee for the physical act of transferring a copy, and
you may at your option offer warranty protection in exchange for a fee."

Peter


Kasper Dupont (28-08-2002)
Kommentar
Fra : Kasper Dupont


Dato : 28-08-02 07:36

Peter Jensen wrote:
>
> Findes der kommercielle udgaver af OpenSSL? Jeg var under det indtryk at det
> var GPL.

Der tror jeg fatisk, du tager fejl:

[kasperd:pts/0] rpm -qi openssl
Name : openssl Relocations: (not relocateable)
Version : 0.9.6b Vendor: Red Hat, Inc.
Release : 8 Build Date: Sat 08 Sep 2001 01:48:38 AM CEST
Install date: Tue 22 Jan 2002 05:14:19 PM CET Build Host: stripples.devel.redhat.com
Group : System Environment/Libraries Source RPM: openssl-0.9.6b-8.src.rpm
Size : 3065820 License: BSDish
Packager : Red Hat, Inc. <http://bugzilla.redhat.com/bugzilla>
URL : http://www.openssl.org/
Summary : The OpenSSL toolkit.
Description :
The OpenSSL toolkit provides support for secure communications between
machines. OpenSSL includes a certificate management tool and shared
libraries which provide various cryptographic algorithms and
protocols.
[kasperd:pts/0]

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

Peter Jensen (28-08-2002)
Kommentar
Fra : Peter Jensen


Dato : 28-08-02 07:58

Kasper Dupont <kasperd@daimi.au.dk> scribbled:

>> Findes der kommercielle udgaver af OpenSSL? Jeg var under det
>> indtryk at det var GPL.
>
> Der tror jeg fatisk, du tager fejl:

[Snip]

Jep, du har ret. Det er åbenbart en BSD licens. Det gør ikke umiddelbart den
store forskel. Det er stadig open source og man må stadig gøre stort set
hvad man vil. Evt. rettelser er bare mere centralt styret for at undgå
forking. Det er i hvert fald sådan jeg opfatter BSD licensen. Nogen der kan
uddybe?

--
PeKaJe



Martin Jørgensen (24-08-2002)
Kommentar
Fra : Martin Jørgensen


Dato : 24-08-02 18:47


"Peter Mogensen" <apm-at-mutex-dot-dk@nospam.no> wrote in message
news:3D660390.9000704@nospam.no...
> Løsningen er helt afhængig af hvor transarent den skal være for
klienterne.
> Man kunne f.eks. foreslå at sætte en HTTP/SSL server op istedet der
> verificerede klienten også (og ikke kun klienten der verificerer
> serveren som normalt). ... men det vil kræve at hver klient er i
> besidelse af et x509 certifikat og en HTTP-klient der kan bruge det.
>
> Hvis det skal hentes med alm. FTP, så kunne du overveje at bygge et VPN
> mellem serveren og de potentielle klienter.

Jeg du evt. anbefale nogle bøger vedr. opsætning af sådane systemer?
Jeg er newbie vedr. opsætning af server -har jeg lige erfaret :O/

hygge
Martin



Peter Mogensen (25-08-2002)
Kommentar
Fra : Peter Mogensen


Dato : 25-08-02 14:14

Martin Jørgensen wrote:
>
> Jeg du evt. anbefale nogle bøger vedr. opsætning af sådane systemer?
> Jeg er newbie vedr. opsætning af server -har jeg lige erfaret :O/
>


Beskriv først dine krav? SKAL det være alm. FTP? D.v.s. SKAL brugerne
bruge deres "CuteFTP" eller lign. klient?

Hvis du er TOTAL nybegynder og det bare skal virke nu og her er det
måske en bedre ide at investere i et par routere, der kan lave VPN. Husk
at få nogen der anvender IPsec (standard) og ikke f.eks. PPTP (noget MS
stads).

Peter



Christian E. Lysel (24-08-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 24-08-02 10:35

Martin Jørgensen wrote:
> Hej Alle.
> Jeg kører p.t. med en FTP server(bulletproff).
> De filer der er til rådighed på serveren er mere eller mindre fortrolige.

Hvilke typer filer er det?

> Hvordan sikre man disse filer bedst muligt?
>
> Serveren er koblet på nettet over en 3com gateway.
>
> Er det rigtigt , at filer fra en ftp ikke er kryptoreret når de sendes til
> modtageren?

Ja, også brugernavn/password.

> Jeg har selv overvejet at zippe alle filerne med et langt password , men jeg
> ville da gerne hører evt. andre muligheder.

Det samme password?

Jeg bryder mig ikke om denne metode, herved kan folk blot downloade de
krypteret filer, og venter på der kommer en implementationsfejl i
krypteringsapplikationen.

> Filerne ligger på en server der kører win2000.

SSL kan være et alternativ, måske dog ikke på windows platformen, da
denne har nogle kedelige uløste huller i sin SSL implementation.

Hvilken krav kan vi stille til klienterne?


Martin Jørgensen (24-08-2002)
Kommentar
Fra : Martin Jørgensen


Dato : 24-08-02 18:45

> Hvilke typer filer er det?
Det er typisk .pdf og regneark
>

> SSL kan være et alternativ, måske dog ikke på windows platformen, da
> denne har nogle kedelige uløste huller i sin SSL implementation.

Er linux bedre...nu har jeg listet rundt om en linux instalering de sidste 3
måneder , som om det var en varm lort - Jeg har vist ikke modet endnu

> Hvilken krav kan vi stille til klienterne?
Filerne skal kunne læsses evt hentes.
Der er kun 3 personer der har adgang - Pcérne der bliver arbejdet fra er
variable.

hygge
Martin



Christian E. Lysel (24-08-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 24-08-02 22:10

Martin Jørgensen wrote:
>>Hvilke typer filer er det?
> Det er typisk .pdf og regneark

Jeg spurte for at finde ud af hvor følsommet det er, hvilke oplysninger
indeholder disse filer?

>>SSL kan være et alternativ, måske dog ikke på windows platformen, da
>>denne har nogle kedelige uløste huller i sin SSL implementation.
> Er linux bedre...nu har jeg listet rundt om en linux instalering de sidste 3
> måneder , som om det var en varm lort - Jeg har vist ikke modet endnu

Valget af operativ system er vist ret ligegyldigt, hvis du blot du har
den rigtige indstilling til sikkerhed.

>>Hvilken krav kan vi stille til klienterne?
> Filerne skal kunne læsses evt hentes.
> Der er kun 3 personer der har adgang - Pcérne der bliver arbejdet fra er
> variable.

Jeg ville nok selv bruge sftp, på en openbsd server. Der findes også
brugervenlige klient versioner til windows.


Peter Mogensen (25-08-2002)
Kommentar
Fra : Peter Mogensen


Dato : 25-08-02 14:20

Martin Jørgensen wrote:
> Er linux bedre...nu har jeg listet rundt om en linux instalering de sidste 3
> måneder , som om det var en varm lort - Jeg har vist ikke modet endnu

Subjektivt svar: Ja!
Objektivt svar: Sandsynligvis.

Det skulle ivhertfald ikke være det store problem at installere en
Apache/SSL(TLS) server der sikrede dine filer til afhenting via HTTPS.
.... man skal selvfølgelig lige forstå grundprincipperne i x509, men det
skal man også hvis det er Windows!


> Filerne skal kunne læsses evt hentes.
> Der er kun 3 personer der har adgang - Pcérne der bliver arbejdet fra er
> variable.


Det gør det jo lidt besværligt med SSL. Klienterne skal have et
certifikat og hvis maskinerne er variable ville den bedste løsning være
smart-cards. Meeeen... det er et større projekt. Hvor mission-critical
er din applikation?

Nøglerne kan selvfølgelig passwords-beskyttes, men hvis det er meget
følsom data, så burde det være smart-cards. Det giver lidt ekstra
kompleksistet at brugerne skal administrere deres nøgler på flere maskiner.


Peter



Kasper Dupont (25-08-2002)
Kommentar
Fra : Kasper Dupont


Dato : 25-08-02 04:08

"Martin Jørgensen" wrote:
>
> Hej Alle.
> Jeg kører p.t. med en FTP server(bulletproff).
> De filer der er til rådighed på serveren er mere eller mindre fortrolige.
>
> Hvordan sikre man disse filer bedst muligt?
>
> Serveren er koblet på nettet over en 3com gateway.
>
> Er det rigtigt , at filer fra en ftp ikke er kryptoreret når de sendes til
> modtageren?

Ja.

>
> Jeg har selv overvejet at zippe alle filerne med et langt password ,

Det synes jeg lyder som en udmærket idé. Jeg ved ikke hvilken
kryptering zip bruger, men hvis ellers den er sikker er det
fornuftigt at bruge den. Ved at kun have filerne liggende i en
krypteret udgave sikrer du også, at de ikke slipper ud selv om
serveren evt. skulle blive cracket. Hvis ikke zip er sikkert
nok kunne man i stedet bruge PGP, GPG, eller noget lignende.

> men jeg ville da gerne hører evt. andre muligheder.

Det er der. Men intet vil sikre dine filer bedre end at kun
have dem liggende i en krypteret form, og først dekryptere dem
på klienten.

Hvad angår FTP, så er muligheden for, at filerne bliver
dowloadet, ikke dit eneste problem. Du skal sørge for, at man
ikke kan uploade filer uden password, ellers bliver din server
sikkert hurtigt fyldt op med warez. Og sørg for at køre en
FTP server uden kendte sikkerhedsfejl.

Hvis man kun skal kunne downloade, ville jeg nok anbefale HTTP
i stedet for FTP. HTTP kan implementeres meget simplere end
FTP, og hvis man ikke lige bruger IIS vil der nok være længere
mellem hullerne i en HTTP server end en FTP server. Dog skal
man sørge for at slå alle de moduler fra, som man ikke bruger.

>
> Filerne ligger på en server der kører win2000.
>
> hygge
> Martin

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

Jesper Louis Anderse~ (25-08-2002)
Kommentar
Fra : Jesper Louis Anderse~


Dato : 25-08-02 12:09

On Sun, 25 Aug 2002 05:07:58 +0200, Kasper Dupont <kasperd@daimi.au.dk> wrote:
>> Jeg har selv overvejet at zippe alle filerne med et langt password ,
>
> Det synes jeg lyder som en udmærket idé.

Zip er en elendig ide. Der findes vist mere en et par metoder udover
brute force. Blandt andet et par known plaintext attacks. Jeg ville gå
efter pgp/gpg

--
Jesper

Kasper Dupont (25-08-2002)
Kommentar
Fra : Kasper Dupont


Dato : 25-08-02 16:46

Jesper Louis Andersen wrote:
>
> On Sun, 25 Aug 2002 05:07:58 +0200, Kasper Dupont <kasperd@daimi.au.dk> wrote:
> >> Jeg har selv overvejet at zippe alle filerne med et langt password ,
> >
> > Det synes jeg lyder som en udmærket idé.
>
> Zip er en elendig ide.

Som jeg sagde er princippet i orden. Men der kan naturligvis
være fejl i design eller implementation, som gør det usikkert.

> Der findes vist mere en et par metoder udover
> brute force. Blandt andet et par known plaintext attacks.

Kan du fortælle os nogle flere detaljer?

> Jeg ville gå efter pgp/gpg

Der er i princippet den store forskel, men jeg tror gerne at
pgp/gpg er langt mere sikkert end zip.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste