12
Filezilla - SFTP mit Zertifikat (nur Clients mit installiertem Zertifikat sollen Verbindung aufbauen können)
Hallo zusammen....
Situation: Windows Server 2008 R2, Filezilla-FTP-Server ist installiert und nimmt ganz normal auf Port 23 Verbindungen an. Benutzername und Kennwort sind zur Authentifizierung notwendig.
Jetzt kam es schon vor, dass wohl die Zugangsdaten weitergegeben worden sind, oder gehackt worden sind und somit fremde auf dem Server waren.
Gibt es die Möglichkeit - und wenn ja, wie - das Ganze auf SFTP umzustellen und nur Clients den Verbindungsaufbau zu erlauben, die ein Zertifikat lokal installiert haben?
Freue mich über Rückmeldungen.
Besten Dank.
Situation: Windows Server 2008 R2, Filezilla-FTP-Server ist installiert und nimmt ganz normal auf Port 23 Verbindungen an. Benutzername und Kennwort sind zur Authentifizierung notwendig.
Jetzt kam es schon vor, dass wohl die Zugangsdaten weitergegeben worden sind, oder gehackt worden sind und somit fremde auf dem Server waren.
Gibt es die Möglichkeit - und wenn ja, wie - das Ganze auf SFTP umzustellen und nur Clients den Verbindungsaufbau zu erlauben, die ein Zertifikat lokal installiert haben?
Freue mich über Rückmeldungen.
Besten Dank.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 245624
Url: https://administrator.de/contentid/245624
Ausgedruckt am: 25.11.2024 um 12:11 Uhr
12 Kommentare
Neuester Kommentar
ein Client Zertifikat ist nicht möglich...
Allerdings via openVPN schon..(ist aber bei meinen Tests nicht so performant gewesen als FTPS)
verwendet ihr derzeit plain FTP ? warum Port 23? zumal 21 da Standard ist...
ein höherer Port wird eher nicht so oft angegriffen / überwacht... 50123 ?
Für die Sicherheit der Datenübertragung / Zugangsdaten auf FTPS setzen...
Filezilla Server Optionen -> SL/TLS Settings
hier dann disallow plain ftp nicht vergessen
Ich würde auf 2-4k beim Zertifikat setzen...
Mit dem Assistenten kannst du ein selbstsigniertes erstellen...
unter Logging dann gleich Logfiles aktivieren, dann können ungebetene Gäste und gehackte Accounts identifiziert werden...
lg
Allerdings via openVPN schon..(ist aber bei meinen Tests nicht so performant gewesen als FTPS)
verwendet ihr derzeit plain FTP ? warum Port 23? zumal 21 da Standard ist...
ein höherer Port wird eher nicht so oft angegriffen / überwacht... 50123 ?
Für die Sicherheit der Datenübertragung / Zugangsdaten auf FTPS setzen...
Filezilla Server Optionen -> SL/TLS Settings
hier dann disallow plain ftp nicht vergessen
Ich würde auf 2-4k beim Zertifikat setzen...
Mit dem Assistenten kannst du ein selbstsigniertes erstellen...
unter Logging dann gleich Logfiles aktivieren, dann können ungebetene Gäste und gehackte Accounts identifiziert werden...
lg
Wozu Zertifikate???
IP und gut...
Lonesome Walker
IP und gut...
Lonesome Walker
Hallo hcfel1,
natürlich meinte ich den Port 21! Nur eine Verwechslung beim Schreiben.
Danke aber für Deine Tips.
natürlich meinte ich den Port 21! Nur eine Verwechslung beim Schreiben.
Danke aber für Deine Tips.
Gut, Ich bin im allgemeinen paranoid (Passwörter im Privatbereich haben gerne 15- 20 Stellen etc.)
aber FTPS ist unter Filezilla in 2 Minuten konfiguriert, diesen "Aufwand" würde ich eingehen...
zumal nicht alle Firmen fixe IPs haben(weiß ja nicht ob BlueStar mit 5 Mann Buden arbeiten muss)
Grüße
aber FTPS ist unter Filezilla in 2 Minuten konfiguriert, diesen "Aufwand" würde ich eingehen...
zumal nicht alle Firmen fixe IPs haben(weiß ja nicht ob BlueStar mit 5 Mann Buden arbeiten muss)
Grüße
Dann nimmt man halt anstelle der IP's Hostnames...
Zertifikate haben den unangenehmen Nachgeschmack, daß man sie exportieren/weitergeben kann...
(ich weiß, die Paranoiden handeln meist ohne Weitsicht und Usability...)
Lonesome Walker
Es wird mit IPs gearbeitet. Es wird da auf nem "irgendwo gehostetem" Server gearbeitet. (Ich frage nur für einen Kollegen)
Besten Dank.
Besten Dank.
Hallo,
Ok das ist schon einleuchtend, denn FTP überträgt im Klartext und das ist so
ziemlich das unsicherste was man zur Zeit machen kann.
Also so wie es schon von @hcfel1 beschrieben worden ist, verhält es sich auch
wirklich mit FileZilla, das kann man auch hier alles nachlesen.
SFTP mit FileZilla
FileZilla mit SSL Zertifikaten nutzen
Einrichtung von SFTP mit Public Key Authentifizierung
Kann ich mich auch mit einem SSH-Key über FileZilla einloggen?
Im allgemeinen ist es doch aber eher so das man eine VPN Verbindung aufbaut und dann
auf den FTP Server zugreifen kann und/oder man einfach nur eine SFTP Verbindung aufbaut
aber nun gut wenn Du es so willst dann schau Dir weiter oben die Anleitungen an und dann
wirst das auch hinbekommen, man installiert dann ein Zertifikat auf dem FileZilla Server und
dann bei einer Verbindung wird der Klient "gefragt", ob er das Zertifikat annehmen möchte
und dann erst wird die Verbindung verschlüsselt. Unterbinden kann man das ganz einfach
in dem man denFTP/SFTP Benutzer in FileZilla deaktiviert, fertig?
Alternativen:
- Windows Server 2008 FTP Rolle installieren und dann dort via SSL Zertifikat absichern
- VPN Server aufsetzen und dann nach der Einwahl Verzeichnisse zur Verfügung stellen
Gruß
Dobby
Ok das ist schon einleuchtend, denn FTP überträgt im Klartext und das ist so
ziemlich das unsicherste was man zur Zeit machen kann.
Jetzt kam es schon vor, dass wohl die Zugangsdaten weitergegeben worden sind,
oder gehackt worden sind und somit fremde auf dem Server waren.
Und das Zertifikat kann man nicht weitergeben?oder gehackt worden sind und somit fremde auf dem Server waren.
Also so wie es schon von @hcfel1 beschrieben worden ist, verhält es sich auch
wirklich mit FileZilla, das kann man auch hier alles nachlesen.
SFTP mit FileZilla
FileZilla mit SSL Zertifikaten nutzen
Einrichtung von SFTP mit Public Key Authentifizierung
Kann ich mich auch mit einem SSH-Key über FileZilla einloggen?
Gibt es die Möglichkeit - und wenn ja, wie - das Ganze auf SFTP umzustellen
Jaund nur Clients den Verbindungsaufbau zu erlauben, die ein Zertifikat lokal installiert haben?
Siehe in den Anleitungen weiter oben.Im allgemeinen ist es doch aber eher so das man eine VPN Verbindung aufbaut und dann
auf den FTP Server zugreifen kann und/oder man einfach nur eine SFTP Verbindung aufbaut
aber nun gut wenn Du es so willst dann schau Dir weiter oben die Anleitungen an und dann
wirst das auch hinbekommen, man installiert dann ein Zertifikat auf dem FileZilla Server und
dann bei einer Verbindung wird der Klient "gefragt", ob er das Zertifikat annehmen möchte
und dann erst wird die Verbindung verschlüsselt. Unterbinden kann man das ganz einfach
in dem man denFTP/SFTP Benutzer in FileZilla deaktiviert, fertig?
Alternativen:
- Windows Server 2008 FTP Rolle installieren und dann dort via SSL Zertifikat absichern
- VPN Server aufsetzen und dann nach der Einwahl Verzeichnisse zur Verfügung stellen
Gruß
Dobby
Danke Dobby für Deine Ausführungen....
Also VPN kommt einfach nicht in Frage.... (zu lang die Erklärung).... Es muss also was ganz Einfaches sein...
"man installiert dann ein Zertifikat auf dem FileZilla Server und dann bei einer Verbindung wird der Klient "gefragt", ob er das Zertifikat annehmen möchte"
Das ist dann ja in dem Sinne eine Sicherheit für die Clients. Es sollte ja umgekehrt sein, dass der Client gefragt wird: "Hast Du mein Zertifikat? - Nein? Dann kommst Du hier net rein!" ..... "Hast Du mein Zertifikat? Ja? Dann herzlich Willkommen!"
Also VPN kommt einfach nicht in Frage.... (zu lang die Erklärung).... Es muss also was ganz Einfaches sein...
"man installiert dann ein Zertifikat auf dem FileZilla Server und dann bei einer Verbindung wird der Klient "gefragt", ob er das Zertifikat annehmen möchte"
Das ist dann ja in dem Sinne eine Sicherheit für die Clients. Es sollte ja umgekehrt sein, dass der Client gefragt wird: "Hast Du mein Zertifikat? - Nein? Dann kommst Du hier net rein!" ..... "Hast Du mein Zertifikat? Ja? Dann herzlich Willkommen!"
Für diese Sicherheit sind die Zugangsdaten!
Ob du die Zugangsdaten oder ein Zertifikat plain übertragst ist egal... sind ja nur Bits
daher Zugangsdaten und SSL !
problem solved!
Ob du die Zugangsdaten oder ein Zertifikat plain übertragst ist egal... sind ja nur Bits
daher Zugangsdaten und SSL !
problem solved!
Oder IP-/Host-Berechtigungen...
Ob du die Zugangsdaten oder ein Zertifikat plain übertragst ist egal... sind ja nur Bits
Hm, das sehe ich auch anders...
daher Zugangsdaten und SSL !
problem solved!
problem solved!
Man merkt schon, Du hast zum Einen das Problem des Fragestellers nicht verstanden, und zum Anderen scheinst Du etwas realitätsfern zu sein.
Lonesome Walker
PS: @BlueStarDE Deine Google Suchbegriffe sind Filezilla IP Filter
Lonesome Walker:
IP Filter klingt gut.... aber das bringt ja nur etwas, wenn die "Clients" feste IPs haben. Es connecten sich aber ganz normal Privatuser von ihrem Heim-Zugang...
IP Filter klingt gut.... aber das bringt ja nur etwas, wenn die "Clients" feste IPs haben. Es connecten sich aber ganz normal Privatuser von ihrem Heim-Zugang...
Das ist dann ja in dem Sinne eine Sicherheit für die Clients. Es sollte ja umgekehrt sein,
dass der Client gefragt wird: "Hast Du mein Zertifikat? - Nein? Dann kommst Du hier net
rein!" ..... "Hast Du mein Zertifikat? Ja? Dann herzlich Willkommen!"
Dann sollte man aber auch ein Programm nehmen das genau diese Anforderungen unterstützt!dass der Client gefragt wird: "Hast Du mein Zertifikat? - Nein? Dann kommst Du hier net
rein!" ..... "Hast Du mein Zertifikat? Ja? Dann herzlich Willkommen!"
Also VPN kommt einfach nicht in Frage.... (zu lang die Erklärung)....
Es muss also was ganz Einfaches sein...
Ein VPN kann man auch via Zertifikat absichern, ebenso wie ein gesamtes NetzwerkEs muss also was ganz Einfaches sein...
mittels eines Radius Servers, wenn FileZilla das so nicht unterstützt was DU vor hast.
Gruß
Dobby
