yoyoba
Goto Top

Der Fileserver - sicher

Guten Tag allerseits,

ich hatte bereits schon Themen zu dem Server unserer Firma verfasst, aber ich fange noch einmal von vorne an, da sich immer neue Frage aufstellen. Wir haben einen Fileserver, der für Servicearbeitskräfte gedacht ist um untereinander oder mit dem Büro Daten weltweit auszutauschen. Er sollte natürlich so sicher wie möglich sein, um unerwünschte Besucher zu vermeiden. Das Betriebssystem ist Windows 2003 Server, die Antivirensoftware ist Kaspersky Fileserver. Meine Fragen:

1) Mir wurde gesagt einen Austausch solcher Art macht man am besten mit einem FTP-Server, also habe ich einen FTP-Server mittels Filezilla erstellt. Dann habe ich nach weiteren recherchen feststellen müssen, dass ein normaler FTP eigentlich recht unsicher ist, also doch evtl. falsche Lösung?

2) Eine Lösung der Frage 1. ist eine SSH verschlüsselung, Anleitungen um eine solche verschlüsslung einzurichten für Filezilla fand ich auch schon ( http://www.uni-muenster.de/ZIV/Technik/WWW/ZugangPuTTY.html ) Problem hierbei ist, man benötigt das Programm PuTTy und die Clienten können nicht über Firefox auf den FTP zugreifen da das dann mit der Verschlüsselung nicht funktioniert oder?

3) Benötige ich noch weitere Firewalls da ich ja den Port 21 freigeben musste bei dem Router (Speedport 501V) um es sicher zu halten? Denn nun weiß ich nicht ob der Server mit Kaspersky Fileserver noch so sicher ist und vor Hackern geschützt ist.


Hat jemand von euch evtl. eine einfache, günstige Lösung für das Problem, die Clients sollten einen Zugriff auf den FTP so einfach wie möglich haben und ein FTP-Client-Programm wollte ich eigentlich vermeiden ich wollte eher über Firefox oder über eine verknüpfung im Arbeitsplatz einen Zugriff ermöglichen.?


Danke im Voraus!


MfG

Content-ID: 147093

Url: https://administrator.de/contentid/147093

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

LordGurke
LordGurke 17.07.2010 um 14:43:36 Uhr
Goto Top
Zitat von @Yoyoba:
1) Mir wurde gesagt einen Austausch solcher Art macht man am besten mit einem FTP-Server, also habe ich einen FTP-Server mittels
Filezilla erstellt. Dann habe ich nach weiteren recherchen feststellen müssen, dass ein normaler FTP eigentlich recht
unsicher ist, also doch evtl. falsche Lösung?
Normales FTP ist unsicher, weil alle Daten (auch Benutzername/Kennwort) unverschlüsselt übertragen werden. Aber generell ist es das schnellste Protokoll, was auch bei recht bescheidener Bandbreite noch vernünftig nutzbar ist.


Zitat von @Yoyoba:
2) Eine Lösung der Frage 1. ist eine SSH verschlüsselung, Anleitungen um eine solche verschlüsslung einzurichten
für Filezilla fand ich auch schon ( http://www.uni-muenster.de/ZIV/Technik/WWW/ZugangPuTTY.html ) Problem hierbei ist, man
benötigt das Programm PuTTy und die Clienten können nicht über Firefox auf den FTP zugreifen da das dann mit der
Verschlüsselung nicht funktioniert oder?
Dann nimm doch eine SSL-Gesicherte Verbindung. Da ist der gesamte Datenverkehr wie bei HTTPS komplett verschlüsselt und damit für Dritte nicht mehr mithorchbar.


Zitat von @Yoyoba:
3) Benötige ich noch weitere Firewalls da ich ja den Port 21 freigeben musste bei dem Router (Speedport 501V) um es sicher zu
halten? Denn nun weiß ich nicht ob der Server mit Kaspersky Fileserver noch so sicher ist und vor Hackern geschützt
ist.
Sorry, aber das ist ja schon ein wenig paranoid face-wink
Nur weil Port 21 (Port 22 müsstest du übrigens auch aufmachen) geöffnet ist, kommen nicht gleich Hacker aus der ganzen Welt und stellen das System auf den Kopf face-wink
Das schlimmste was dir da passieren kann ist, dass sie irgendeinen Benutzerzugang wegen schwacher Kennwörter knacken und dann an die Daten kommen. Zwei Firewalls hintereinander sind NIEMALS eine gute Idee.
Und da könntest du einfach einen anderen FTP-Port verwenden, der von 95% der automatisierten Angriff garnicht angefragt wird.

Alternative wäre, das ganze über einen VPN-Zugang zu ermöglichen, da könntest du dann auch auf die ganz normalen Windows-Freigaben zurückgreifen, was aber üblicherweise mit UMTS/HSUPA nicht vernünftig nutzbar ist.
Yoyoba
Yoyoba 17.07.2010 um 14:52:40 Uhr
Goto Top
1) Also durch deine Antwort 2. hebt sich die Frage bei 1. auch auf oder?

2) Also sind wir einer Meinung, Kaspersky sollte das alleine schaffen? :D

3) Und die SSL-Verschlüsselung ermöglicht einen einfachen - sicheren Zugriff auf die Dateien, so dass man sich eigentlich keine Sorgen machen müsste, wenn ich sichere Passwörter habe, dass jemand "mithört" und die Passwörter hat? Mit einfachen Zugriff meine ich einen solchen, wie oben beschrieben, über z.B. den Arbeitsplatz?

4) Habt ihr eine gute Anleitung um eine SSL-Verschlüsselung einzurichten?

5) Soll ich einfach irgendwelche Ports verwenden z.B. 2830? Einfach was worauf keiner kommt?


Vielen Dank face-smile

MfG
mrtux
mrtux 17.07.2010 um 14:54:55 Uhr
Goto Top
Hi !

Das ist genau genommen ein Doppelpost......Du hast doch zu dem Thema schon Antworten in deinem anderen Beitrag erhalten, wie Du vorgehen solltest, nämlich so wie Aqui (oder auch meine Wenigkeit) es dir schon vorgeschlagen hatten. Kauf Dir einen vernünftigen Router mit VPN Unterstützung und Du musst Dir keine Sorgen machen, dass Du evt. Löcher in deine Sicherheit reisst...

Nochmal: Die Speedport-Geräte und auch die Geräte aller anderen Provider, sind Geräte für den Einsatz in einem privaten Haushalt....Die sind dazu gedacht, einen möglichst einfach einzurichtenden Internetzugang (für den technischen Laien) bereitzustellen, alles weitere ist dann Bonusmaterial.

Wenn Du da grundsätzlich verunsichert bist, dann such dir in deiner Region einen Netzwerkspezialisten, denn von den ISPs kannst Du da keine vernünftige Beratung erwarten, die Leute am Telefon sind meist Call-Center Mitarbeiter aber keine erfahrenen Netzwerkspezialisten....

Zitat von @Yoyoba:
2) Also sind wir einer Meinung, Kaspersky sollte das alleine schaffen? :D

Das ist Blödsinn, warum? Ganz einfach, der Kaspersky befindet sich im LAN, also ist das Kind bis dahin schon in den Brunnen gefallen d.h. der Virenwächter muss die Situation im Nachhinein retten, die Sicherheit wurde ja bereits verletzt. Wenn Du jedoch einen Router mit VPN-Unterstützung verwendest, dann "steht" der Router als Teilnehmer im Internet (um es mal einfach auszudrücken) und nicht dein Server. Es ist um ein Vielfaches schwerer die Firmware eines Routers anzugreifen (wenn fachmännisch vorgegangen wurde) als einen Windows Rechner....

4) Habt ihr eine gute Anleitung um eine SSL-Verschlüsselung einzurichten?

Gibt es im Web haufenweise: Standardsuchmaschine!

5) Soll ich einfach irgendwelche Ports verwenden z.B. 2830? Einfach was worauf keiner kommt?

Blödsinn Nummer zwei: Den Port zu finden ist nur eine Frage von Sekunden.

mrtux
Yoyoba
Yoyoba 17.07.2010 um 15:05:49 Uhr
Goto Top
Das Problem ist, wie soll ich 5 Laptops, die überall unterschiedlich unterwegs sind, in ein Netzwerk kriegen? Da würde mir nur Hamachi einfallen aber das wollte ich nun nicht gerade verwenden, wie kriege ich nun also die Laptops in das Netzwerk des Servers?

Vielen Dank!
Friemler
Friemler 17.07.2010 um 15:19:34 Uhr
Goto Top
Hallo Yoyoba,

meine Netzwerkkenntnisse sind eher rudimentär, aber folgendes kann ich Dir sagen:

Zu 1)
Beim FTP-Protokoll werden Login-Daten (Benutzer und Passwort) unverschlüsselt übertragen, deshalb ist FTP eher ungeeignet für eine Firmenlösung. Übrigens ist in Windows 2003 schon ein FTP-Server eingebaut, standardmäßig aber nicht aktiviert. Aber vielleicht ist Filezilla da ja auch die bessere Lösung, weil sich Hacker eher auf die MS-Software eingeschossen haben. Ist aber nur eine Vermutung.

Zu 2)
Mit Putty kann man einen SOCKS-Proxy einrichten, dem man eine dynamische Portweiterleitung auf einen frei wählbaren Port einstellen kann. Unter Connections-SSH-Tunnels Feld Sourceport eine Portnummer eintragen, den Dynamic-Button wählen und dann auf Add. Im Anzeigefeld darüber erscheint dann Dxxxx (xxxx ist die Portnummer). Im Firefox kann man in den Netzwerkeinstellungen eine manuelle Proxy-Konfiguration einstellen. Dort trägt man unter SOCKS-Host 127.0.0.1 und bei Port den Port, den man in Putty für die dynamische Portweiterleitung gewählt hat, ein, wählt SOCKS 5-Proxy und nimmt die 127.0.0.1 aus dem Eingabefeld "Kein Proxy für:" raus. Man muss dann zuerst mit Putty eine SSH-Verbindung zum Server aufbauen und im Mozilla auf Manueller Proxy umschalten (in den Netzwerkeinstellungen, es gibt auch Toolbars, in denen man sich ein Auswahlmenü auf die Firefox-Oberfläche legen kann, z.B. PrefBar-Addon). Putty baut dann einen SSH-Tunnel zum Zielrechner auf. Firefox benutzt für seinen Netzwerkverkehr diesen Tunnel. Am Tunnelende (auf dem Server) kommen die Pakete aus dem Tunnel und werden zur Zieladresse und zum ursprünglichen Zielport weitergeleitet. Voraussetzung ist natürlich, das auf dem Server ein richtig konfigurierter SSH-Server läuft. Mit dem FTP-Server verbindet man sich dann per ftp://127.0.0.1

Auf die Tour (http://127.0.0.1) kriege ich jedenfalls von extern Zugriff auf das Web-Interface meiner FritzBox, auf der ein SSH-Server läuft. [Edit] Funktioniert nur, wenn im Firefox die Option "Referrer senden " abgeschaltet ist, lässt sich auch über PrefBar ein-/ausschalten. [Edit] Als Hauptzweck habe ich das eingerichtet, um a) die FritzBox als Web-Proxy in einer geschützten IT-Umgebung nutzen zu können, die für Port 80 (HTTP) einen eigenen Proxy installiert hat und b) um mit WinSCP auf eine Festplatte am USB-Port der FritzBox zugreifen zu können. Mal so nebenbei als Erklärung.

Falls das alles Quatsch ist, mögen es mir die wahren Fachleute auf dem Gebiet verzeihen.

Gruß
Friemler
mrtux
mrtux 17.07.2010 um 15:22:00 Uhr
Goto Top
Hi !

Zitat von @Yoyoba:
Das Problem ist, wie soll ich 5 Laptops, die überall unterschiedlich unterwegs sind, in ein Netzwerk kriegen? Da würde
mir nur Hamachi einfallen aber das wollte ich nun nicht gerade verwenden, wie kriege ich nun also die Laptops in das Netzwerk des
Servers?

Einfache Sache: VPN-Router kaufen, auf allen Laptops den VPN-Client installieren, Router und Clients konfigurieren und fertig, was ist daran jetzt so kompliziert? Das funktioniert problemlos und sicher sogar von einem Hotel-Hotspot oder Internetcafe aus...

mrtux
headbanger9
headbanger9 17.07.2010 um 15:43:57 Uhr
Goto Top
1. http://de.wikipedia.org/wiki/FileZilla
Filezilla kann a) SFTP und b) FTP über SSL

du musst dich halt entscheiden was du nehmen willst:

a) <http://en.wikipedia.org/wiki/SSH_file_transfer_protocol>
b) <http://en.wikipedia.org/wiki/Transport_Layer_Security>

bei a. hast du IMHO das Problem das du Keys verwenden willst und das müsste dein Client können,
z.B. FireFTP ein Firefoxplugin kann das.
<https://addons.mozilla.org/en-US/firefox/addon/684/?src=api>

für b) brauchst du Zertifikate und eine CA
<http://www.heise.de/security/artikel/SSL-fuer-lau-880221.html>
<http://tinyca.sm-zone.net/index_ger.html>
<http://www.opensource-training.de/PDFs_VPN/vpn_kap8.pdf>

2. was hat Kaperskey mit FTP/SFTP/FTP-over-SSL zu tun ?

3. wenn dir die Sicherheit deiner Daten/Server wichtig ist, dann stell sie nicht ins Internet (oder lass es jemand machen der sich damit auskennt)

cu h.


PS: @mrtux nicht immer ist VPN die optimale Lösung und die Firmware der meisten DSL-Router gleicht eher einem Schweizer Käse face-wink
mrtux
mrtux 17.07.2010 um 15:51:34 Uhr
Goto Top
Hi !

PS: @mrtux nicht immer ist VPN die optimale Lösung und die Firmware der meisten DSL-Router gleicht
eher einem Schweizer Käse face-wink

Darum muss man auch nicht noch zusätzliche Löcher in den Käse bohren... face-wink

mrtux
LordGurke
LordGurke 17.07.2010 um 15:52:40 Uhr
Goto Top
@headbanger9:
Ich hoffe doch schwer, dass da *kein* popeliger siebzehnmarkfuffzich-DSL-Router zum Einsatz kommt sondern was halbwegs vernünftiges face-wink
Schon alleine deshalb, weil ich hoffe, dass da SDSL liegt, was ohnehin kein Billigrouter kann.
60730
60730 17.07.2010 um 16:18:10 Uhr
Goto Top
moin,

ganz ehrlich - ich lese deine anderen Fragen mal nicht - mag sein dass dir das ftp protokoll mit Sinn nahegelegt wurde.

Die Kombination von FTP per Browser und ein Speedport 501V Router lassen vermuten, dass noch viele Lücken zu füllen sind.

  • FTP ist alt und blöd
Also ein FTP Server - egal welcher - kann dir kein Laufwerk zur Verfügung stellen.
Das t in FTP bedeutet transfer - nicht transport.

Ergo muß jeder den ganzen Ordner von A nach B verschieben - auf B was ändern und es wieder retour nach A schieben.

  • Ob er das alleine oder ein anderer das gleiche macht
  • nur das Delta nicht die ganze Datei verschicken
- kann FTP nicht wissen - dafür wurde es nicht gemacht.

(Ändern zwei Leute gleichzeitig ein Dokument - gilt der Spruch - den ersten beissen die Hunde - dessen Änderungen sind wech)

"Besser" wäre dann Webdav - aber bist du Webdav eingerichtet hast geht auch Zeit flöten und "richtig" gut ist auch Webdav nicht.
Ergo - einmal Kohle in die Hand eine ordentliche Firewall besorgt - einen Dienstleister angerufen und den das ganze einrichten lassen.

Kostet nicht die Welt du hast keine Frickellösung die nur du / bzw. wir verstehen und alles ist in Butter.

Falls du es selber machen willst - schau dich nach einer Sonicwall um - die sind "idiotensicher".
Aber wenn du ehrlich bist und deinen Stundenlohn verzehnfachst- selbst die "pipifax" Sonicwall bekommt ein "echter" Profi preiswerter zum laufen als ein Anfänger.
Und du kannst sicher sein, dass es sicher ist.
Natürlich geht auch jede andere FW. Aber ich kann nur das empfehlen, was ich kenne.

Gruß
Friemler
Friemler 17.07.2010, aktualisiert am 18.10.2012 um 18:42:53 Uhr
Goto Top
Hallo Yoyoba,

ich habe hier noch einen Link aus dem Forum gefunden, der Dir helfen könnte, ist zwar nicht genau dein Thema, stellt aber die Verwendung von Clients hinter einer NAT-Firewall vor (da, wo auch Dein Server liegt) unter Verwendung von Putty. Link: VPN für Arme - TCP in SSH tunneln mit Putty

Wenn Du unbedingt den Usern Zugriff über den Firefox gewähren willst, ist die schon in meinem letzten Posting beschriebene Methode evtl. die beste. Über die PrefBar-Toolbar können die User sehr einfach auf den SOCKS-Proxy von Putty umschalten. In Putty lassen sich ja Verbindungsprofile anlegen, lässt sich also auch einfach handhaben.

Das einzige größere Unterfangen ist also den SSH-Server unter Windows 2003 ans Laufen zu kriegen. In der Anleitung unter obigem Link wird darauf nicht so ausführlich eingegangen und es geht um einen Linux-Server. Grundsätzlich kann man aber sagen, daß der SSH-Server Benutzer und Passwörter (oder ein Private/Public-Key Pärchen) braucht, damit sich die Benutzer authentifizieren können, sowie einen Host-Key für den Server, damit er sich gegenüber den Client-Rechnern authentifizieren kann. Wenn man mit Putty zum ersten Mal eine Verbindung zu dem Server aufbaut, wird man gefragt, ob man den Key, den der Server gesendet hat, nur für diese Sitzung akzeptieren will oder ob man ihn für zukünftige Sitzungen speichern will. Letzteres wäre bei Laptops von Außendienstmitarbeitern natürlich am sinnvollsten, in Zukunft kommt die Abfrage dann nicht mehr, außer es hätte sich jemand in den Netzwerkverkehr zwischen Laptop und SSH-Server gehackt.

OpenSSH soll sich mit Windows 2003 gut vertragen. Im Netz findest Du sicherlich jede Menge Infos über Installation und Konfiguration von OpenSSH unter Server 2003.

Gruß
Friemler
lowbyte1
lowbyte1 17.07.2010 um 17:53:37 Uhr
Goto Top
Hi

@maxi89
Das schlimmste was dir da passieren kann ist, dass sie irgendeinen Benutzerzugang wegen schwacher Kennwörter knacken und dann an die Daten kommen.

Nicht ganz ! Es könnte imer noch ein Software Bug in der Server Software haben, so das man ihn remote ausnützen könnte ! heap - stack overflow - formatstring - of by one ....etc etc
Dan könnte ein H0cker mit einem Exploit sehr schell Root auf deinem Sys werden !

was aber üblicherweise mit UMTS/HSUPA nicht vernünftig nutzbar ist.

Soetwas nenne ich Netzwerkkastrierung ;)


@fragesteller

Würde dir einfach sichere Server software empfehlen.

Und da der Fileserver ja praktisch von jedermann aus dem interconnection-network erreichbar ist , solltest du das einem überlassen der sich auskennt. Nur ein Tip von mir.

lowbyte
headbanger9
headbanger9 18.07.2010 um 02:13:36 Uhr
Goto Top
naja jetzt wird es schon philosophisch - SDSL - die Hardware ist sicher auch aus China - die Firmware habe ich mir noch nicht angeschaut,
da mir vollkommen egal, ich lasse die eh nur auf Durchzug konfigurieren und mach selbst PPoE auf der FW dahinter, hat den Vorteil das ich auch den
Linkstatus per SNMP im Nagios sehe.
headbanger9
headbanger9 18.07.2010 um 02:20:50 Uhr
Goto Top
der Kommentar von Kommentar TimoBeil hat mich auf folgende Idee/Frage gebracht:

willst du FTP nehmen weil du TB weise Daten durch die Gegend schiebst ?

wenn nein, schau dir doch mal ein ECM wie z.B. Alfresco an:

<http://wiki.alfresco.com/wiki/Download_Community_Edition>
hushpuppies
hushpuppies 19.07.2010 um 13:08:55 Uhr
Goto Top
Erstmal vorne weg: Ein Speedport ist keine Firewall. Und bietet mit Sicherheit auch keinen Schutz für ein Firmennetzwerk. Das solltest du dringend verändern, falls es da nicht eine richtige Firewall gibt.
Ganz abgesehen davon, dass es relativ strikte Gesetzesvorgaben gibt was z.B. die Protokollierung des Netzwerkverkehrs angeht - das geht nur mit einer richtigen Hardwarefirewall mit Proxy-Funktionalität.
Wenn es hinter deinem Speedport eine richtige Firewall gibt, dann ist der Speedport vermutlich eh auf "Durchzug" geschaltet und die Firewall dahinter kümmert sich um so Sachen wie VPN, Portfreigaben usw.

Die einzige professionelle Alternativ ist meiner Meinung nach wie oben schon mal am Rande erwähnt die Lösung über VPN-fähigen Router bzw. Firewall samt entsprechender Clientsoftware.
Es gibt da durchaus auch günstige Lösungen (z.B. von SecurePoint in Form des Black Dwarfs (zu beziehen über Wortmann, irgendwas um die 250-299 Euro fürs erste Jahr), die für 5 User ausreicht. In Verbindung mit dem Greenbow VPN Client auf den Laptops ist es sogar möglich die Laptops in der Domäne zu lassen, da der Greenbow einer der wenigen Clients ist, die vor der Windows Anmeldung schon funktionieren. Damit ist dann eine ganz normale Anmeldung an der Domäne möglich und die Benutzer "sehen" alle ihre Laufwerke wie gewohnt.
Das geht mit kleineren Dokumenten auch vernüftig über UMTS - nicht sonderlich schnell, aber arbeitbar.

Wenn deine Mitarbeiter grössere Datenmengen bewegen müssen, dann führt IHMO kein Weg an einem vernüftigen Terminalserver vorbei, wo die Leute sich dann remote draufschalten können und aus der Ferne aus Arbeiten ohne das alle Daten über eine viel zu mickerige Leitung hin und her geschoben werden.