Hallo zusammen, ich habe mir vor längerem eine NAS zugelegt. Diese Woche wollte ich mal etwas ausprobieren und mir einen "eigenen FTP-Server" gebaut. Daraufhin habe ich mir einen DynDns-Account zugelegt und die Portweiterleitung meines Routers entsprechend eingestellt. Ergebnis der Sache: Nach 30 min war es ohne Probleme möglich (Test duch einen Kollegen mit Filezilla) über das Internet auf meine Festplatte zuzugreifen und die Daten abzurufen. Nun stelle ich mir die Frage wie sicher das ganze ist? Zugang ist nur mit Benutzername und Password möglich. Grundsätzlich sind keine "empfindlichen" Daten auf der Platte, trotzdem möchte ich nicht dass ein Fremder an die Daten kommt. Hat hinsichtlich dieser Frage schon jemand Erfahrung? Immoment habe ich den Dienst wieder abgeschaltet, da ich mir in dieser Fragestellung noch nicht sicher bin. Jedoch würde ich gerne die Festplatte dauerhaft am "Netz" lassen. Über Erfahrungen und Infos wäre ich dankbar. Gruß Stefan
bei ftp wird das password im klartext übertragen, es kann also jeder mitlesen der an teile der Leitung rankommt. (Provider und andere WLAN nutzen). Die sicherheit ist halt das Passwort ohne kommt man nicht rein.
Stefan Weinschütz schrieb: > Ergebnis der Sache: Nach 30 min war es ohne Probleme möglich (Test duch > einen Kollegen mit Filezilla) über das Internet auf meine Festplatte > zuzugreifen und die Daten abzurufen. Wahrscheinlich hast du den FTP daemon so konfiguriert (oder es ist die Standardkonfiguration des NAS), dass er "anonymous" FTP erlaubt, d.h. Zugriff ohne Passwortabfrage. Ausserdem laufen oft noch andere "Sharing" Dienste wie NFS, welche ebenfalls je nach Konfig eben auch keine Authentifizierung verlangen. Solange du nicht genau weisst, was du tust, empfehle ich dir das NAS nicht im Internet sichtbar zu machen. Lass es im LAN laufen und prüfe auch, ob es mittels UPNP keine Löcher in den Router reisst (NAT/PAT/Port Mapping). Wenn's blöd läuft haste sonst noch Besuch vom Staatsanwalt, wegen illegalem File Sharing usw. -> Better Safe Than Sorry!
Ok, wenn das PW als Klartext übertragen wird, heißt dass für mich, dass ich mir absolut sicher sein sollte wer noch im lokalen Netzwerk hängt. Wenn solch ein "Sniffer" mitlauscht könnte er wenn er zum richtigen Zeitpunkt mitloggt mein PW herausbekommen. Problematisch wäre dies dann doch z.B. in öffentlichen Wlan (Restaurant) und sogenannten Hotspots? Meinem Provider sollte ich wohl in dieser Hinsicht vertrauen können... D.h. wenn ich nur in Netzwerken arbeite, wo ich weiß wer noch mit am Netzwerk hängt, also bei Freunden usw. und evtl. noch gelegentlich das PW ändere, sollte die Sache doch einigermaßen sicher sein... Danke Stefan
Naja, kommt auf deine Hardware an. Wenn du als Passwort 'Passwort' benutzt, ist es eine Sache von Stunden, das zu Brute-Forcen. Wenn es so um die 25-30 Zeichen hat, ist es zu aufwändig. Mit Botnetzen trotzdem kein Problem. Vielleicht solltest du eine kleine HTML-Seite mit PHP im Hintergrund aufsetzen, als Verbesserung der Anmeldung (Passwort verschlüsseln und IP nach 100 Versuchen für 24h sperren) und auch um die Oberfläche zu verschönern. Wenn das allerdings wirklich nur unwichtige Daten sind, dann kannst das natürlich auch so weiter machen. Server mit PW erhöhen den Anreiz, etwas zu knacken extrem. Ich hab zu dem Thema mal ein Experiment gemacht, wo ich mit ein paar Kumpels 10 FTP-Server auf alte Computer aufgespielt habe, dann bei den ersten 5 ein Passwort rein. Fazit: Nach 24h waren die mit Passwort waren zu 80% geknackt, von denen ohne wurden 1-2 besucht. Guck dir an, was du wirklich brauchst. Am sichersten ist immer noch ein Webinterface mit PHP. Das kannst du dir auch aus Beispielen zusammenklicken! Mit freundlichen Grüßen, Valentin Buck
Tom M. schrieb: > Stefan Weinschütz schrieb: >> Ergebnis der Sache: Nach 30 min war es ohne Probleme möglich (Test duch >> einen Kollegen mit Filezilla) über das Internet auf meine Festplatte >> zuzugreifen und die Daten abzurufen. > > Wahrscheinlich hast du den FTP daemon so konfiguriert (oder es ist die > Standardkonfiguration des NAS), dass er "anonymous" FTP erlaubt, d.h. > Zugriff ohne Passwortabfrage. > Sorry Tom, leider hatte ich vergessen zu erwähnen, dass natürlich kein anonymous-Acc konfiguriert ist (auch getestet). Also zugriff ist !nur! mit Benutzer+PW möglich...
Hallo, ich habe seit mehreren Jahren einen FTP im Netz. Anonym natürlich verboten, einige Nutzer mit Passwort, weder Nutzername noch Passwort sind sonderlich sicher. Angriffsversuche gab es immer wieder mal, passiert ist nie was. Echte Worterbuchattacken sind mir nicht aufgefallen. Einmal gab es diverse Versuche (offenbar von Hand) von einer deutschen Uni-IP, die Nutzernamen wie admin und root mit verschiedenen Passworten probierten. 2x ein Angriffsversuch aus China (laut IP), einmal mit admin, einmal mit test, beide wohl per Script in kurzen Abständen über gut eine Stunde. Wirklich Sorgen macht es mir nicht, sind keine wichtigen Daten erreichbar und ein Backup gibt es auch. Mehr störte mich da, daß z.B. mein neues Zyxel-NAS keine explizite Zuordnung der FTP-User erlaubt. Wenn ein User per Samba auf die Share ftp zugriff hat, sind per ftp mit dieser Useranmeldung ALLE Share erreichbar, auf die dieser User unter Samba Zugriff hat. Da muß man dann wirklich aufpassen und auch gegentesten. Gruß aus Berlin Michael
Stefan Weinschütz schrieb: > Meinem Provider sollte ich wohl in dieser Hinsicht vertrauen können... Es kommt aber nicht nur Dein Provider an die Pakete ran, die das Paßwort transportieren, sondern auch der Provider von dem aus auf den FTP-Server zugegriffen wird und alle Netzbetreiber dazwischen. Außerdem sehe ich keinen Grund, meinem Provider mehr zu vertrauen als irgendeinem anderen, von daher verbietet sich FTP heutzutage eigentlich für alles außer öffentliche Downloads. Ich auch nicht nachvollziehen, warum die ganzen Webhoster zum Upload der Inhalte weiterhin auf FTP setzen, wo es doch schon seit langem sicherere Alternativen gibt.
Hallo, prinzipiell alles richtig, allerdings reden wir doch hier vermutlich nicht über wichtige privare/geschäftliche Daten? Wer sollte soviel interesse an meinen Daten haben, daß er mich geziehlt angreift? Dank DSL muß er jeden Tag meine aktuelle IP finden. Dank DynDNS hat er es da zwar leicht, aber da muß er zumindest die URL haben. Wenn jemand an meine Daten will, ist es doch wohl eher jemand, dem ich die Zugangsdaten gegeben habe und der mich nun nicht mehr leiden kann... Ändert in soeinem Fall dann wirklich jeder seinen DynDNS-Account oder sperrt/löscht einfach nur den FPT-Account, ohne überhaupt darüber nachzudenken, ob ihn derjeneige jetzt hacken und ärgern will? Letztlich hängt es doch hauptsächlich von den Daten ab, die man da per FTP zur Verfügung stellt. PS: mir ist so direkt noch kein Fall begegnet, wo Webseiten per ManInTheMiddle-Attacke beim FTP-Upload der Webdaten gehackt wurden. Da müßte jemand schon sehr dicht (und damit auch später erkennbar) an der "Leitung" sitzen. Gruß aus Berlin Michael
Es ist eigentlich weniger so, dass was gehackt wird, um an die Daten zu kommen. Klar, wenn da ein Passwort drauf ist, dann würde sich jeder normale Mensch denken: "Ohh, wenn das schon passwortgeschützt ist, dann steckt da auch was dahinter", aber meist geht es um Platz. Also Platz, um online Daten auszutauschen. Und es soll Leute geben, die stinkig werden, wenn diese Daten Kinofilme oder Computerspiele sind. Deshalb benutzt man heute eben diese Sperre von 100 Einlogversuchen pro IP. Oder bei Sicherheitsrelevanten Sachen mit Zugriff auf die lokale Maschine auch mal zum Beispiel nur 2-3. Bei so wenigen Anmeldeversuchen sind auch Botnetze machtlos! Mit freundlichen Grüßen, Valentin Buck
Stefan Weinschütz schrieb: > Nun stelle ich mir die Frage wie sicher das ganze ist? http://de.wikipedia.org/wiki/File_Transfer_Protocol#Sicherheit Je nach Hard/Software wäre also SSl/SSH noch eine Otion (ist aber etwas langsame).
Danke für die Debatte ;-) Ich werde die Tage mal schauen was ich noch so konfigurieren kann und dann entscheiden ob ich es on lasse oder nicht. Gerade die Limitierung der Anmeldeversuche werde ich mir nochmal genauer anschauen. Danke und Gruß Stefan
Bei FTP wird alles im Klartext übertragen. Daher entweder VPN (->OpenVPN mit AES) oder einfach SSH und über z.B. FileZilla SFTP nutzen, es gibt natürlich auch andere Programme ala SCP. Desto weniger Programme laufen, desto besser. Spart zudem Ressourcen, wobei man auch die CPU Last bei der Verschlüsselung einbeziehen muss. Da die meisten Embedded Platformen eine Hardwarebeschleunigung für AES mitbringen, ist das heutzutage aber kein Problem mehr. MFG Johannes
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.