PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : FTPS - Conntrack unsicher?



-As-
26.05.08, 22:52
Hallo,

habe grad herausgefunden, dass ip_conntrack_ftp die FTPS-Verbindung nicht mehr rallt. Ist ja auch verständlich. Jedoch stellt sich hierbei ja das Problem der Paketfilterung da.

vsftpd kann zwar die passiven Ports beschränken, aber diese müsste ich dann statisch angeben und in der Firewall freigeben. Da ich mich dann auf wenige Ports einige, können dann nur wenige Verbindungen gleichzeitig existieren, und mal von anderen Komplikationen abgesehn wenn der Port für etwas anderen benutzt wird bei client..


Frage ist nun. Wie macht man diese (iptables) Firewall entsprechend dynamisch?

Danke!

ps: sorry für rechtschreibung, ich brauchn kaffee^^

Roger Wilco
27.05.08, 14:38
Bei FTPS ist die Verbindung verschlüsselt (eben Transportverschlüsselung via SSL). Wie soll Netfilter bzw. das Connection Tracking da die dynamisch ausgehandelten Ports mitbekommen? Einzige Möglichkeit wäre eine Art Man in the Middle Attacke wobei dein Rechner mit dem Paketfilter als SSL-Proxy fungiert.

Benutze doch lieber SFTP. Das ist im Gegensatz zu FTP(S) firewallfreundlich, du hast keine Probleme mit dem Connection Tracking und es ist trotzdem stark verschlüsselt. Zusätzlich kannst du dabei noch die Schlüsselauthentifizierung von OpenSSH nutzen, damit das alles auch ohne Passwort funktioniert...

-As-
27.05.08, 15:33
Bei FTPS ist die Verbindung ver...

Benutze doch lieber SFTP. Das ist im Gegensatz zu FTP(S) firewallfreundlich, du hast keine Probleme mit dem Connection Tracking und es ist trotzdem stark verschlüsselt. Zusätzlich kannst du dabei noch die Schlüsselauthentifizierung von OpenSSH nutzen, damit das alles auch ohne Passwort funktioniert...

Du weisst schon das FTPS und SFTP was völlig anderes ist? ;) Es geht hierbei ja um einen FTP-Zugang mit den Beschänkungen etc..

Aber trozdem Danke für den Querhinweiß!

Anderes gefragt von mir: Welches Problem besteht potenziell überhaupt wenn das Connectiontracking nicht funktioniert und man 4 Ports in der Firewall FEST freigeschaltet hat? - Mir fehlt da grad der Quergedanke.

Meine Thesen:
- Inkompatibilität zu anderen Applikationnen welche diese Ports benötigen
- Offene Ports für den FTP machen mir Bedenken
- Durch die reduzierte Anzahl der Ports is eine arg quantitativ begrenzte kommunikation möglich.

Andere Ideen?

Roger Wilco
27.05.08, 15:37
Du weisst schon das FTPS und SFTP was völlig anderes ist? ;)
Ja, weiß ich. Warum ich SFTP empfehle, steht in meinem Beitrag.


- Durch die reduzierte Anzahl der Ports is eine arg quantitativ begrenzte kommunikation möglich.
Nein. Wieso auch? Verbindungen werden ja immer durch Quelle und Ziel definiert. Es können ja bspw. auch mehrere Benutzer gleichzeitig auf deinen Webserver zugreifen, obwohl der nur auf Port 80/tcp (und ggf. 443/tcp) lauscht.

Thorashh
27.05.08, 23:45
@-AS-: Du musst nur dafür sorgen, das kein anderer Dienst auf einem der Port für deine Range lauscht. Wenn kein Dienst auf einem dieser Ports lauscht, besteht da auch keine Gefährdung.

-As-
28.05.08, 15:36
Achso, ja. Stimmt ja..^^

Nur wundere ich mich warum der ftps-Port definiert ist mit 989 und 990 aber dieser bei ftps garnicht zum tragen kommt. Zusätzlich frage ich mich, warum vsftpd diese Ports nicht standardmäßig bei verschlüsselung nutzt sonder weiterhin den Port 21.

Versteh ich jez die Welt nich mehr oder hat das "Gründe"?

mfg

Thorashh
28.05.08, 16:09
FTP über TLS: Port 20/21
FTP über SSL: 989/990

-As-
28.05.08, 18:20
Ja also Problem gefunden, ich hatte FTPES eingestellt weil FTPS nich klappte

bei FTPS verbindet er korret über den 990er Port - FSFTPD reagiert jedoch nicht! Was muss man hier noch einstellen?

Roger Wilco
28.05.08, 18:26
Ähm, du willst das nicht machen. Außerdem willst du nochmal nachlesen, wozu beide Optionen eigentlich gut sind.

-As-
28.05.08, 19:39
also so recht finde ich den unterschied nicht. hast du ne seite mit infos?