/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Sikker FTP, er det muligt
Fra : Michael


Dato : 06-10-03 08:50

Hej,

Jeg har fået til opgave at lave et netværk med alt hvad dette indebære af
installation af Windows servere, klienter, domæner, routere og opsætning af
VPN og da jeg ikke er prof' vil I nok se en del til mig i det næste stykke
tid


Her er mit første spørgsmål.

Hvad gør man hvis man ønsker at nogle af ens kunder skal kunne downloade fx
opdateringer, jeg tænker på FTP som vist ikke er så forbandet sikkert,
kunne man evt. smide en firewall ind som kun lukker bestemte IP adresser ind
evt. sammen med MAC, hvor sikkert er det? Eller skal man bruge VPN?


/md
#1



 
 
Stig Meyer Jensen (06-10-2003)
Kommentar
Fra : Stig Meyer Jensen


Dato : 06-10-03 13:04


"Michael" <news@mhcdan.dk> skrev i en meddelelse
news:3f811eaa$0$32503$edfadb0f@dread16.news.tele.dk...

[snip]

>
> Hvad gør man hvis man ønsker at nogle af ens kunder skal kunne downloade
fx
> opdateringer, jeg tænker på FTP som vist ikke er så forbandet sikkert,
> kunne man evt. smide en firewall ind som kun lukker bestemte IP adresser
ind
> evt. sammen med MAC, hvor sikkert er det? Eller skal man bruge VPN?

IMHO kommer det meget an på hvordan dit setup ser ud og hvor fleksible dine
kunder er. Du kan sikkert godt få noget sikker ftp kommunikation op, men du
kan bruge en masse resourcer på at sikre noget og så alligvel være åben for
exploits. Hvis du allerede har en server, hvor nogen ringer ind med VPN, vil
det IMO være meget nemmere at oprette dine kunder der og lade dem logge
ind - hvis det ellers er muligt i kundens ende og du ellers har styr på din
VPN mht. adgang osv.

Når kunden så er logget på med VPN ville jeg nok foretrække FTP frem for SMB
anyways ;)

--

Stig Meyer Jensen
stig@mine_3_initialer.dk




Bjarke Andersen (06-10-2003)
Kommentar
Fra : Bjarke Andersen


Dato : 06-10-03 13:07

"Michael" <news@mhcdan.dk> crashed Echelon writing
news:3f811eaa$0$32503$edfadb0f@dread16.news.tele.dk:

> Hvad gør man hvis man ønsker at nogle af ens kunder skal kunne
> downloade fx opdateringer, jeg tænker på FTP som vist ikke er så
> forbandet sikkert, kunne man evt. smide en firewall ind som kun lukker
> bestemte IP adresser ind evt. sammen med MAC, hvor sikkert er det?
> Eller skal man bruge VPN?

Kommer an på hvor sikkert du vil gøre det. Og jeg formoder vi snakker om
FTP over internet.

FTP programmet eller Firewall (alt efter program/udstyr) kan filtrere på
IP-adresser, men hvis der er tale om mange kunder, vil det ende med en
medarbejder vil kunne bruge en del tid på at ændre opsætning for kunden
hvis de skifter udbyder eller skal bruge opdateringerne fra anden lokation.

At filtrere på MAC adresse ved jeg faktisk ikke om kan lade sig gøre over
Internet. Andre?

VPN kan bruges som erstatning eller som tillæg til ovenstående. Udover den
hjælper til at identificere brugeren som logger på og samtidig krypterer
trafikken, kan den evt. bruges i forbindelse med filtreringen på IP-
adresser.

Husk dog, VPN erstatter/forbedrer ikke sikkerheden ved adgang ligesom FTP.
Enhver kan logge sig på VPN fx. ved at have VPN klienten og et fungerende
brugernavn og adgangskode, på akkurat samme måde som (u)sikkerheden ved
FTP.

VPN vil bare hjælpe med at kryptere den trafikken.

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

Stig Meyer Jensen (06-10-2003)
Kommentar
Fra : Stig Meyer Jensen


Dato : 06-10-03 13:21


"Bjarke Andersen" <usenet@*spammer*bjoeg.dk> skrev i en meddelelse
news:Xns940C8F96D4325bjoegdk@130.225.247.90...
[Snip snak om ftp over vpn]
> VPN kan bruges som erstatning eller som tillæg til ovenstående. Udover den
> hjælper til at identificere brugeren som logger på og samtidig krypterer
> trafikken, kan den evt. bruges i forbindelse med filtreringen på IP-
> adresser.
>
> Husk dog, VPN erstatter/forbedrer ikke sikkerheden ved adgang ligesom FTP.
> Enhver kan logge sig på VPN fx. ved at have VPN klienten og et fungerende
> brugernavn og adgangskode, på akkurat samme måde som (u)sikkerheden ved
> FTP.
>
> VPN vil bare hjælpe med at kryptere den trafikken.

Hvilket vel eliminerer det (imo) primære problem ved FTP:
At passwords sendes ukrypteret.

--

Stig Meyer Jensen
stig@mine_3_initialer.dk



Jens (06-10-2003)
Kommentar
Fra : Jens


Dato : 06-10-03 13:27


"Stig Meyer Jensen" <stig@mine_3_initialer.dk> skrev i en meddelelse

> > VPN vil bare hjælpe med at kryptere den trafikken.
>
> Hvilket vel eliminerer det (imo) primære problem ved FTP:
> At passwords sendes ukrypteret.

Om det virker eller hvordan ved jeg ikke, men nogle ftpservere har en knap
som angiver at password og brugernavne skal være krypteret.

Mvh Jens



Stig Meyer Jensen (06-10-2003)
Kommentar
Fra : Stig Meyer Jensen


Dato : 06-10-03 13:40


"Jens" <mkg@jellingnet.dk> skrev i en meddelelse
news:blrn0j$b6l$1@news.net.uni-c.dk...
>
> "Stig Meyer Jensen" <stig@mine_3_initialer.dk> skrev i en meddelelse
>
> > > VPN vil bare hjælpe med at kryptere den trafikken.
> >
> > Hvilket vel eliminerer det (imo) primære problem ved FTP:
> > At passwords sendes ukrypteret.
>
> Om det virker eller hvordan ved jeg ikke, men nogle ftpservere har en knap
> som angiver at password og brugernavne skal være krypteret.

Ja der er vist noget med at nogen servere / klienter kan noget med X.509
certifikater, men hvordan (og om) det virker fornuftigt ved jeg ikke. Der
stoler jeg mere på det forskellige VPN implementeringer :)

Vi kan jo evt. FUTte over i dk.edb.sikkerhed og se om der er nogen der ved
mere? :P

--

Stig Meyer Jensen
stig@mine_3_initialer.dk



Jens (06-10-2003)
Kommentar
Fra : Jens


Dato : 06-10-03 13:56


"Stig Meyer Jensen" <stig@mine_3_initialer.dk> skrev i en meddelelse

> Vi kan jo evt. FUTte over i dk.edb.sikkerhed og se om der er nogen der ved
> mere? :P


Nejnej, jeg interesserer mig kun for mit lille hjemmenet, der er sikkerhed
jo ligegyldigt.
Det er kun vigtigt at der kan åbnes nogen netværksdrev over min switch og 6
ipèr fra tdc, jeg bliver banned fra den gruppe på under 3 indlæg.

(ja lad os det.)

Mvh Jens



Uffe S. Callesen (06-10-2003)
Kommentar
Fra : Uffe S. Callesen


Dato : 06-10-03 14:18

>>> Bjarke Andersen<usenet@*spammer*bjoeg.dk> 06-10-2003 14:06:55 >>>
>At filtrere på MAC adresse ved jeg faktisk ikke om kan lade sig gøre over
>Internet. Andre?

Nope - kan ikke lade sig gøre hvis jeg husker teorien rigtigt !

Umiddelbart vil jeg mene den bedste løsning er at placere en FTP server på
et DMZ ben - og så ellers filtrere på IP adresser - det kombineret med
stærke user/passwords bør være godt nok til de fleste. Ikke mindst fordi
serveren er placeret så et evt. hack ikke får yderligere konsekvenser.

/Uffe Callesen

Glenn Møller-Holst (06-10-2003)
Kommentar
Fra : Glenn Møller-Holst


Dato : 06-10-03 14:32

Michael wrote:
> Hej,
>
> Jeg har fået til opgave at lave et netværk med alt hvad dette indebære af
> installation af Windows servere, klienter, domæner, routere og opsætning af
> VPN og da jeg ikke er prof' vil I nok se en del til mig i det næste stykke
> tid
>
>
> Her er mit første spørgsmål.
>
> Hvad gør man hvis man ønsker at nogle af ens kunder skal kunne downloade fx
> opdateringer, jeg tænker på FTP som vist ikke er så forbandet sikkert,
> kunne man evt. smide en firewall ind som kun lukker bestemte IP adresser ind
> evt. sammen med MAC, hvor sikkert er det? Eller skal man bruge VPN?
>
>
> /md
> #1
>
>

Hej Michael

Svar:

Problems with the FTP protocol:
http://www.seifried.org/security/network/20010926-ftp-protocol.html
"...
Currently vsftpd (Very Secure FTPD) is the only ftp server I know of
specifically designed with security as it's main goal.
...
Kurt: What do you think of FTP in general?
H D Moore: To be plain, FTP sucks
...
For a secure transfer protocol, I recommend scp [Secure CoPy], part of
the OpenSSH package. There are FREE windows clients available, as well
as Full-Featured GUI applications by companies like F-Secure. SCP does
incur an encryption overhead, but for most cases it is fast enough.
..."

-

Active FTP vs. Passive FTP, a Definitive Explanation:
http://www.slacksite.com/other/ftp.html

mvh/Glenn


Glenn Møller-Holst (06-10-2003)
Kommentar
Fra : Glenn Møller-Holst


Dato : 06-10-03 14:50

Michael wrote:

> Hej,
>
> Jeg har fået til opgave at lave et netværk med alt hvad dette indebære af
> installation af Windows servere, klienter, domæner, routere og opsætning af
> VPN og da jeg ikke er prof' vil I nok se en del til mig i det næste stykke
> tid
>
>
> Her er mit første spørgsmål.
>
> Hvad gør man hvis man ønsker at nogle af ens kunder skal kunne downloade fx
> opdateringer, jeg tænker på FTP som vist ikke er så forbandet sikkert,
> kunne man evt. smide en firewall ind som kun lukker bestemte IP adresser ind
> evt. sammen med MAC, hvor sikkert er det? Eller skal man bruge VPN?
>
>
> /md
> #1
>
>

Hej Michael

SafeTP Windows Client.
Windows 95/98/ME/NT/2000:
http://safetp.cs.berkeley.edu/safetpc.html

SafeTP Server on Windows NT/2000:
http://safetp.cs.berkeley.edu/nt.html

Hovedadresse:
SafeTP.
Transparent FTP Security Software.
For Windows 9x/ME/NT/2000 and UNIX:
http://safetp.cs.berkeley.edu/

mvh/Glenn


Michael (06-10-2003)
Kommentar
Fra : Michael


Dato : 06-10-03 15:10

Hej Glenn,


Tak skal du ha', det ser interessant ud så det vil jeg kigge lidt nærmere
på.


/md

>SafeTP Windows Client.
>Windows 95/98/ME/NT/2000:
>http://safetp.cs.berkeley.edu/safetpc.html

>SafeTP Server on Windows NT/2000:
>http://safetp.cs.berkeley.edu/nt.html





Socketd (06-10-2003)
Kommentar
Fra : Socketd


Dato : 06-10-03 15:41

On Mon, 6 Oct 2003 09:50:01 +0200
"Michael" <news@mhcdan.dk> wrote:

> Hvad gør man hvis man ønsker at nogle af ens kunder skal kunne
> downloade fx opdateringer, jeg tænker på FTP som vist ikke er så
> forbandet sikkert, kunne man evt. smide en firewall ind som kun lukker
> bestemte IP adresser ind evt. sammen med MAC, hvor sikkert er det?
> Eller skal man bruge VPN?

Normalt overfalder folk ftp pga den misforståelse at passwords og
usernames sendes i klar tekst, men det er åbenbart ikke gået op for dem
at alle ftp servere og klienter, med respekt for sig selv, understøtter
ssl/tls.

http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext.html

mvh
socketd

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408946
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste