FTP, SFTP und FTPS

[Netranger]

Also in Anlehnung an meinen gestrigen Beitrag Ordner & Rechte-vergabe bedanke ich mich auch an dieser Stelle bei TokTok was mein Problem gelöst hat

Als Tipp für einen jeden Admin muß ich aber sagen, daß es eigentlich unerlässlich ist via (S)FTP auf die Box zuzugreifen da man hier einfach alle Ordner im Griff hat und Ordnung schaffen kann.
Da ist mit dem eXplorer von DOOF nicht zu packen.

Meine persönliche Empfehlung und Favorit ist hier der TotalCommander

Gruß vom Ranger

 

[Trolli]

SFTP können die Synology Stations nicht ohne Modifizierung. Ein Zugang ist aber über FTP oder FTPES möglich.

 

[Netranger]

FTP über SSL

SFTP können die Synology Stations nicht ohne Modifizierung. Ein Zugang ist aber über FTP oder FTPES möglich.

Gute ich präzisiere - FTP über SSL und das ist laut Wiki ebenfalls SFTP.

Siehe Text "Sichere Alternativen bieten SFTP (FTP über SSH)"

Gruß - Netranger

 

[Trolli]

FTP über SSL/TLS ist zum einen FTPS (kann die DS nicht) und zum anderen FTPES (kann die DS)

FTP über SSH ist dann SFTP. (Kann die DS nach entsprechenden Modifizierungen)

Steht auch so im Wiki-Artikel. Oder lese ich das falsch?

Trolli

 

[Netranger]

Ned bös sein Trolli, aber der Text der von Dir verlinkten Wiki Seite schreibt:

Sichere Alternativen bieten SFTP (FTP über SSH), FTPS (FTP über implicit SSL) und FTPES (FTP über explicit SSL/TLS).
Ohne Modifikation beherrschen die Synology Stations die Kommunikation über unverschlüsseltes FTP und über FTPES.

Es mag ja sein daß die in der neuesten FW-Version 028 bereits implementiert wurde.

Fest steht daß es an meiner Station bereits funktioniert und ich kein weiteres Paket installiert habe!

Es geht mir auch nicht drum Recht zu haben oder nicht.

Fakt ist, daß FTP über SSH also SFTP funktioniert an der DS209+ mit FW 028

siehe auch: http://help.globalscape.com/help/secureserver2/About_SSL.htm

Gruß - Ranger

 

[Trolli]

Ich bin überhaupt nicht bös. Aber wenn es unverständlich ist, gilt es den Text im Wiki verständlicher auszudrücken. Dieser Absatz stammt nämlich zum Teil von mir.

Der zweite von Dir zitierte Satz "Ohne Modifikation beherrschen die Synology Stations die Kommunikation über unverschlüsseltes FTP und über FTPES" sollte nämlich im Umkehrschluss bedeuten, dass die Synology Stations die beiden anderen Kommunikationsformen (SFTP und FTPS) nicht unterstützen. Zumindest nicht ohne Modifikation.

Falls daran irgendwas nicht stimmt bitte ich ausdrücklich um Berichtigung. Ich bin nämlich keineswegs unfehlbar...

Trolli

 

[Netranger]

der Unterschied liegt...

Nun es ist wegen der mittlerweile vielfältigen Varianten ein bisschen schwer den genauen Unterschied auszumachen.

Der wesentliche Faktor ist Benutzername und Passwort nicht im Klartext zu übertragen um Paket-SNIFFER im Netz ein Schippchen zu schlagen und Hackern so den Angriff zu erschweren.

Beim SFTP Secure File Transfer Protocol aber bitte nicht verwechseln mit SFTP (Simple File Transfer Protocol) werden sowohl Authentifizierung als auch der Datentransfer zwingend verschlüsselt, im Gegensatz zu FTPS (das S steht in diesem Fall für Secure) was FTP über SSH bedeutet.
Hier wird die Authentisierung zwingend, aber die Daten optional ausgehandelt (Client/Server) verschlüsselt.
Soll heißen, Client und Server handeln es aus wie das gehandhabt wird.

Man müsste mal folgendes testen, um zu sehen was die DS nun wirklich macht oder ermöglicht:

Verbindung FTPS ausverhandeln - Authentisieren - Textfile übertragen.
Das ganze mit einem SNIFFER loggen, auslesen und dann sehen, ob das Textfile im Klartext übertragen wurde oder verschlüsselt.
Sollte ich mal Zeit und Muse haben, mach ich das und lass es Dich wissen.

Der Vorteil an dieser Stelle liegt aber darin, daß falls die zu übertragende Datei ohnehin ein gepacktes mit Passwort gesichertes File ist und nicht nochmals mit Overhead übertragen werden muss/soll.

Gruß - Ranger

 

[Trolli]

Du hast Recht - vielleicht sind die Begrifflichkeiten hier noch nicht ausreichend geklärt. Die Verwendung der Abkürzung SFTP für "Simple File Transfer Protocol" hatte ich bisher bewusst vernachlässigt, da das für die Disk Stations nicht relevant ist und auch nichts mit sicherer Datenübertragung zu tun hat. Der Unterschied zwischen "Secure File Transfer Protocol" und "SSH File Transfer Protocol" war mir allerdings bisher zugegebenermaßen nicht richtig bewusst.

...im Gegensatz zu FTPS (das S steht in diesem Fall für Secure) was FTP über SSH bedeutet.

Das ist meiner Meinung nach nicht ganz korrekt, FTP über SSH wird immer als SFTP bezeichnet. Siehe auch Wikipedia. Dabei unterscheidet man aber wohl zwischen "Secure File Transfer Protocol" und "SSH File Transfer Protocol".
Die Synology Stations beherrschen das ohne Modifikation nicht:

Status:    Verbinde mit XXX.dyndns.org...
Antwort:    fzSftp started
Befehl:    open "user@XXX.dyndns.org" 22
Befehl:    Neuem Serverschlüssel vertrauen: Ja
Befehl:    Pass: **********
Status:    Connected to XXX.dyndns.org
Fehler:    Fatal: unable to initialise SFTP on server: could not connect
Fehler:    Herstellen der Verbindung zum Server fehlgeschlagen

Bei den FTP-Varianten über SSL/TLS unterscheidet man zwischen "FTP über implicit SSL" (FTPS) und "FTP über explicit SSL" (FTPES). Siehe auch Wikipedia. Der Unterschied liegt darin, dass beim "implicit SSL" ein anderer Port benutzt wird. Übertragungen auf diesem fest definierten Port werden grundsätzlich verschlüsselt. Diese Variante wird von den Synology Stations nicht unterstützt.

Beim "FTP über explicit SSL" wird der normale FTP-Portbereich benutzt, wobei die Verschlüsselung durch den Befehl "AUTH SSL" explizit eingeleitet werden muss. Das kann theoretisch entweder vor oder nach dem Einloggen (und Übertragung des Passworts) geschehen. Wird bei den Synology Stations allerdings der Modus "Nur SSL/TLS-Verbindung erlauben" aktiviert, so wird die Verbindung sofort unterbrochen, wenn nicht als erster Befehl das "AUTH SSL" gesendet wird. Eine unsichere Passwortübertragung ist somit nicht möglich:

Status:    Verbinde mit XXX.dyndns.org
Status:    Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort:    220 CubeStation FTP server ready.
Befehl:    USER admin
Antwort:    504 TLS/SSL protection required.
Fehler:    Herstellen der Verbindung zum Server fehlgeschlagen

Ein verschlüsselter Login ist allerdings problemlos möglich:

Status:    Verbinde mit XXX.dyndns.org
Status:    Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort:    220 CubeStation FTP server ready.
Befehl:    AUTH TLS
Antwort:    234 AUTH SSL command successful.
Status:    Initialisiere TLS...
Status:    Überprüfe Zertifikat...
Befehl:    USER admin
Status:    TLS/SSL-Verbindung hergestellt.
Antwort:    331 Password required for admin.
Befehl:    PASS **********
Antwort:    230 User admin logged in.
Befehl:    SYST
Antwort:    215 UNIX Type: L8
Befehl:    FEAT
Antwort:    211- Extensions supported:
Antwort:     AUTH TLS
Antwort:     PBSZ
Antwort:     PROT
Antwort:     SIZE
Antwort:     MDTM
Antwort:     REST STREAM
Antwort:     UTF8
Antwort:    211 End.
Befehl:    OPTS UTF8 ON
Antwort:    200 OK, UTF-8 enabled
Befehl:    PBSZ 0
Antwort:    200 PBSZ command successful (PBSZ=0).
Befehl:    PROT P
Antwort:    200 Protection level set to Private.
Status:    Verbunden
Status:    Empfange Verzeichnisinhalt...
Befehl:    PWD
Antwort:    257 "/" is current directory.
Befehl:    TYPE I
Antwort:    200 Type set to I.
Befehl:    PASV
Antwort:    227 Entering Passive Mode (81,172,242,101,217,90)
Befehl:    LIST
Antwort:    150 Opening BINARY mode SSL data connection for 'file list'.
Antwort:    226 Transfer complete.
Status:    Anzeigen des Verzeichnisinhalts abgeschlossen

Ist das so in etwa richtig dargestellt?

Trolli

 

[Netranger]

Hi Trolli,

Natürlich hast Du Recht was die Ports angeht.
Hier einzusehen und zu finden -> http://www.iana.org/assignments/port-numbers

Um das Thema aber zu vereinfachen sage ich "FTP - SSH/TLS" wenn auch nur verschlüsseltes USER-LOGIN ist sicherer, als herkömmliches FTP-LOGIN mit unverschlüsselter Benutzerdatenübertragung.

Offensichtlich unterstützt die DS die darauf folgende Encryption bei der Datenübertragung nicht.
Anderseits, wer captured schon ein RAR-File oder ähnliches ?

Wie gesagt, ich werde es bei Gelegenheit mal mit nem SNIFFER loggen und berichten.

War bis jetzt sehr mit dem Userlogin mit Rechtevergabe (siehe anderer von mir Beitrag) beschäftigt.

Gruß - Ranger

 

[Trolli]

Offensichtlich unterstützt die DS die darauf folgende Encryption bei der Datenübertragung nicht.
Anderseits, wer captured schon ein RAR-File oder ähnliches ?

Doch - soweit ich das beurteilen kann, wird die Datenübertragung ebenfalls verschlüsselt. Würde mich jetzt doch sehr wundern, wenn das anders ist. Lass uns mal die Ergebnisse wissen, wenn Du einen entsprechenden Test machst...

Trolli

 

[Netranger]

Hallo Trolli,

Dein Log:
Antwort: 200 Protection level set to Private. (sagt nur aus daß es für bestimmten User Rechte hat)
Status: Verbunden
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE I
Antwort: 200 Type set to I.
Befehl: PASV
Antwort: 227 Entering Passive Mode (81,172,242,101,217,90)
Befehl: LIST
Antwort: 150 Opening BINARY mode SSL data connection for 'file list'. (hier wird der Befehl des ls verschlüsselt ausgeführt)

Der Output ist natürlich nur ein Log der Handshakes, openings, listenings und closes.

Und okay, ich verspreche es Dir die Analyse hier mitzuteilen wenn ich Zeit abzwicken kann

stay tuned - Ranger

 

[PAPPL]

Aha, ich dachte immer bei FTP explict SSL wird der Datenkanal nicht verschlüsselt und bei FTP implicit SSL beide Kanäle.
*verwirrung*

 

[Trolli]

Der Output ist natürlich nur ein Log der Handshakes, openings, listenings und closes.

Ja. Das ist mir schon bewusst.

Aha, ich dachte immer bei FTP explict SSL wird der Datenkanal nicht verschlüsselt und bei FTP implicit SSL beide Kanäle.
*verwirrung*

Bei implicit SSL wird beides verschlüsselt. Und zwar ohne dass dazu noch ein bestimmter Befehl gesendet werden muss. Bei explicit SSL ist theoretisch beides möglich. Aus dem englischen Wikipedia:

if the control channel is encrypted, the subsequent data channels may be in clear or encrypted.

Aber soweit ich weiß müsste die Synology Station eigentlich bei aktivierter Option "Nur SSL/TLS-Verbindung erlauben" die unverschlüsselte Datenübertragung ablehnen.

Trolli

 

[Netranger]

here comes the Result

Nun es ist so wie vorhergesehen.

Habe 2 Traces gemacht.

Den ersten mit FTP - SSH mit dem Ergebnis, daß absolut alle Daten verschlüsselt zu sehen sind. Vom beginn des Verbindungsaufbaus bis hin zum Close.

Trace2 mit herkömmlichen FTP: eine Flut an Usernames und Passwords, Dateinamen und Directorylistings sind zu sehen.

Die Fileübertragung selbst als Textfile hat mit überrascht, denn die ist nicht so einfach im Klartext zu sehen, aber dennoch konnte ich sehen welches File angelegt wurde und in welchem Ordner. Hätte mir zu lange gedauert das weiter zu verfolgen, aber die Version die Synology hier Standardmässig zu Verfügung stellt nach meiner Ansicht absolut ausreichend!

Gruß Ranger

 

[Trolli]

Besten Dank für die Testergebnisse.

Trolli

 

[bfpears]

Hallo zusammen,
die letzten Beiträge sind zwar schon etwas her aber,

ich habe das Thema jetzt 3 mal gelesen und bin immer noch nicht ganz glücklich.
(FTP Definitionen wie Wiki unter Netzwerksicherheit)

• FTP ohne alles, da geht sogar die Anmeldung im Klartext rüber -> ist klar
  
• SFTP (also FTP durch einen SSH Tunnel) oder auch SCP, da bei SSH Anmeldung und Daten verschlüsselt sind, sind auch die FTP und Copy (SCP) Befehle verschlüsselt.
  Weitere Probleme sehe ich darin das nicht die Dateirechte der Weboberfläche benutzt werden sondern die vom Linux Dateisystem, das alle Benutzer außer Root und Admin noch zusätzlich in der passwd Loginrechte bekommen müssen.
  Also ein sehr sehr hohes Sicherheitsrisiko, weshalb sich das wohl auch nicht über die Weboberfläche aktivieren läst.
  
• FTPES verschlüsselt die FTP Verbindung mit SSL/TLS (wie auch bei https Verbindungen), das über die Weboberfläche aktiviert werden kann.
  Hier war jetzt die Diskussion ob nur die Anmeldung oder Anmeldung und Daten verschlüsselt werden.

Ok, nachdem ich diesen Beitrag verfasst habe, scheint es mir doch klar zu sein.

Ich gehe jetzt davon aus das das Netranger das FTP per SSL/TLS meinte.

bf

PS.: SSH (Secure Shell) ist ja eigentlich um per Konsole auf entfernten Computern zu arbeiten / administrieren.

 

[Trolli]

Ja, so würde ich das auch verstehen.

 

[heido]

Sichere FTP Verbindung

Hallo zusammen,
mir ist das jetzt alles viel zu kompliziert.
Welche Ports muss ich auf meiner Fritz7170 weiterleiten und Einstellungen auf der 107+ vornehmen um eine möglichst sichere Verbindung mit Filezilla zu erreichen? FTP über Port 21 läuft, wenn ich keine sichere Verbindung auf der DS erzwinge. Ich habe bereits Ports 20, 21, 22, 55536-55663 in unterschiedlichen Kombinationen auf der Fritz, ohne Erfolg, probiert.
Ich nutze zur Zeit die Firmware DSM 2.0-0731.

Gruß Heido

 

[Trolli]

Hallo heido!

Das mit den Ports ist unabhängig davon, ob die FTP-Verbindung nun verschlüsselt wird oder nicht. Wenn unverschlüsseltes FTP funktioniert, sollte mit den gleichen Einstellungen auch verschlüsseltes FTPES möglich sein.

Du brauchst:
Port 21 - FTP-Kontrollkanal
Port 20 - für aktiv FTP
Den passiven FTP-Bereich (wie im Disk Station Manager definiert) - für passiv FTP.

Wenn es nicht funktioniert, stell einfach mal die Logausgabe von FileZilla hier rein...

Viel Erfolg!
Trolli

 

[heido]

Hallo Trolli,
hier die Meldungen von Filezilla:

Status: Auflösen der IP-Adresse für xxxxxxx.dyndns.org
Status: Verbinde mit xxxxx:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 DiskStation FTP server ready.
Befehl: USER heido
Antwort: 504 TLS/SSL protection required.
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
Status: Nächsten Versuch abwarten...
An der DS sind die Ports 21 und 55536-55663, das "FTP-Protokoll aktivieren" und "nur SSL/TLS-Verbindung erlauben" aktiviert.
In der Fritz die Ports 20-22 und 55536-55663 offen. Wenn ich den SSL-Reiter entferne kann ich sofort über FTP zugreifen. Auf die File- und Photostation und DSM komme ich ohne Probleme im sicheren Modus (bis auf das anmerkern der Zertifikate) über die Ports 5001.
Aber ich habe auch zu wenig Ahnung von dem Thema.
gruss heido