Sicherheit bei FTP

Status
Für weitere Antworten geschlossen.

scoubie

Benutzer
Mitglied seit
27. Jan 2009
Beiträge
82
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich hab da mal zur Sicherheit eine Frage:

Ich benutze einen Cisco Router, die Prot-Freigabe kann nur durch meinen Internetanbieter erfolgen, ich selbst habe keinen Zugriff auf diese Einstellungen.
Der Router ist auf NAT eingestellt, ich müßte also für FTP z.B. den Portbereich 55536-55663 freischalten lassen.

Und nun endlich zur Frage: wenn ich diese Ports freischalten lasse, habe ich in diesem Bereich ja keinen Firewallschutz mehr, oder?
Ich würde also die DS-508 direkt an den Router anschließen und dann kann man von außen theoretisch via FTP zugreifen können.

Besitzt die DS-508 eine eigene Firewall? Wenn nein, wie kann ich mich schützen?

Vielen Dank für die Info!


mfG

scoubie
 

HarryPotter

Benutzer
Mitglied seit
24. Aug 2007
Beiträge
2.156
Punkte für Reaktionen
0
Punkte
0
Eine Firewall macht nichts anderes als Ports blocken oder freigeben.
Wenn du also diesen FPT Ports am Router öffnest, was willst du denn dahinter mit einer Firewall? Die Ports wieder schliessen :confused:
 

scoubie

Benutzer
Mitglied seit
27. Jan 2009
Beiträge
82
Punkte für Reaktionen
0
Punkte
0
Servus HarryPotter,

eigentlich ging es darum, ob jemand unberechtigter dann Zugriff hat.


mfG

Scoubie
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Einen Zugriff über FTP bekommt man nur mit entsprechendem Passwort. Es sollte ein sicheres Passwort gewählt werden, außerdem solltest Du darüber nachdenken, nur SSL/TLS-Verbindungen zu Deinem FTP-Server zuzulassen, damit das Passwort auch nicht bei der Eingabe abgefangen werden kann. Mit diesen Vorbeugemaßnahmen kann man FTP als relativ sicher bezeichnen.

Aber grundsätzlich ist es natürlich immer sicherer, keinen Zugriff von außen zuzulassen und die entsprechenden Ports dichtzumachen. Ist halt immer eine Frage des persönlichen Sicherheitsbedürfnisses.
-> http://www.synology-wiki.de/index.php/Grundsätzliches_zum_Thema_Netzwerksicherheit

Trolli
 

smulg

Benutzer
Mitglied seit
30. Jan 2009
Beiträge
218
Punkte für Reaktionen
0
Punkte
0
Ich habe hier mal den Screenshot beigefügt wo man die Einstellungen sieht.
Der anonyme Zugriff sollte NICHT aktiviert sein, und SSL/TLS sollte SCHON aktiviert sein.
 

Anhänge

  • ftp.JPG
    ftp.JPG
    50,4 KB · Aufrufe: 380

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Sinnvoll wäre es noch, auch die 'automatische IP-Blockierung' einzuschalten.
 

smulg

Benutzer
Mitglied seit
30. Jan 2009
Beiträge
218
Punkte für Reaktionen
0
Punkte
0
Was genau versteckt sich hinter dieser Funktion? Stateful-FW? Oder einfach ein Filter welche IP auf keinen Fall zugelassen werden (Blockierungsliste)? Da wäre doch eine White-List besser, oder?
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Wenn sich jemand versucht 5x mit dem falschen Passwort einzuloggen, landet er auf dieser Liste und wird ab sofort geblockt. Die DS guckt dann nicht einmal nach, ob die Zugangsdaten stimmen...

MfG Matthieu
 

ag_bg

Benutzer
Mitglied seit
19. Jan 2008
Beiträge
1.736
Punkte für Reaktionen
0
Punkte
0
Was genau versteckt sich hinter dieser Funktion? Stateful-FW? Oder einfach ein Filter welche IP auf keinen Fall zugelassen werden (Blockierungsliste)? Da wäre doch eine White-List besser, oder?

In die Listen werden IP´s aufgenommen, welche durch 5-maliges falsches Einloggen in 10 Minuten aufgefallen sind
Zitat aus der Hilfe im Management:
Automatische IP-Blockierung aktivieren

Wenn diese Funktion aktiviert ist, erkennt das System automatisch jene Hosts, die sich seit zehn Minuten mehr als fünfmal eingeloggt haben und fügt deren IP zur Blockierungsliste hinzu. Anwender von diesen blockierten Hosts können nicht mehr über das FTP auf das System zugreifen.

best regards
 

smulg

Benutzer
Mitglied seit
30. Jan 2009
Beiträge
218
Punkte für Reaktionen
0
Punkte
0
Ah, alles klar. Danke! Dann werde ich das natürlich auch aktivieren!
 

scoubie

Benutzer
Mitglied seit
27. Jan 2009
Beiträge
82
Punkte für Reaktionen
0
Punkte
0
Hallo Leute,

dank Eurer Hilfe habe ich es jetzt mal so hinbekommen, dass ich lokal via FTP auf die DS-508 zugreifen kann. Mittels Total Commander klappt das ganze sogar via ftps.

Nun stellt sich mir die Frage, wieviele Ports ich vom Router auf die DS weiterleiten lassen muß.

Sind 2 Ports ausreichen? Funktioniert das ganze, wenn ich z.B. die Ports 55536 und 55537 freischalten lasse?

Wie bereits erwähnt, kann ich an meinem Router selbst keine Änderungen vornehmen, ich muß diese von meinem Internetanbieter durchführen lassen.


Ich muß dann meinem Provider eine eMail schicken, in der ich ihm folgendes angebe:

Port-Nummer TCP / UDP interne IP-Adresse:
(Beispiel: 4711 TCP 10.11.12.13)
Bitte hier, pro gewünschtem Port eine Zeile anfügen !


Was benötigt man nun für FTP: TCP oder UDP?


Vielen Dank für Eure Hilfe!


mfG

Scoubie
 
Zuletzt bearbeitet:

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Für FTP benötigt man TCP-Ports. Du solltest die Ports doch etwas grosszügiger bemessen. Ich würde schon so 20-30 Ports dafür einkalkulieren.

Trolli
 

scoubie

Benutzer
Mitglied seit
27. Jan 2009
Beiträge
82
Punkte für Reaktionen
0
Punkte
0
Servus Trolli,

danke für die schnelle Antwort.

D.h. wenn ich die Ports 55536 bis 55538 an die IP meiner DS weiterleiten lasse, dann klappts mit FTP?
Ist das dann eine Sicherheitslücke oder kommt man dann nur zur DS und diese blockiert dann alle unberechtigten Zugriffe?

mfG

Scoubie
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Wenn im Programmcode des FTP-Servers keine Sicherheitslücke ist, ist die Portfreigabe unbedenklich. Aber natürlich ist jede Öffnung zum Internet hin natürlich eine potentielle Sicherheitslücke.

Trolli
 

scoubie

Benutzer
Mitglied seit
27. Jan 2009
Beiträge
82
Punkte für Reaktionen
0
Punkte
0
Wenn im Programmcode des FTP-Servers keine Sicherheitslücke ist, ist die Portfreigabe unbedenklich. Aber natürlich ist jede Öffnung zum Internet hin natürlich eine potentielle Sicherheitslücke.

Trolli

Servus Trolli,

und wie kann man das dann absichern?
Zugang nur per VPN?

Danke für Deine Hilfe!


mfG

Scoubie
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Vollständige Sicherheit gibt es nicht. Das ist das, was ich sagen wollte. Dazu müsstest Du schon das Kabel rausziehen. Und selbst dann könnte Dir noch jemand die Station klauen - dann wären die Daten auch weg. Es ist halt immer eine Frage wie wertvoll die Daten für Dich sind und wie hoch Dein Sicherheitsbedürftnis ist. Eine generelle Regel gibt es dazu nicht.

Vielleicht interessiert Dich auch unsere Wiki-Seite zum Thema: http://www.synology-wiki.de/index.php/Grunds%C3%A4tzliches_zum_Thema_Netzwerksicherheit

Trolli
 

scoubie

Benutzer
Mitglied seit
27. Jan 2009
Beiträge
82
Punkte für Reaktionen
0
Punkte
0
Für FTP benötigt man TCP-Ports. Du solltest die Ports doch etwas grosszügiger bemessen. Ich würde schon so 20-30 Ports dafür einkalkulieren.

Trolli


Servus Trolli,

habe gerade mit einem Techniker meines Internetanbieters gesprochen. Dieser meinte, für FTP würden die Ports 20 & 21 ausreichen. Wofür brauche ich 20-30 Ports?

Außerdem werde ich aus diesem Artikel einfach nicht schlau:

http://board.protecus.de/t4580.htm

Der Unterschied zwischen aktivem und passivem FTP ist mir weiterhin unklar :confused::confused:


mfG

Scoubie
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Stimmt. Für aktives FTP reichen die Ports 20 + 21. Die anderen Ports benötigst Du nur für passiv FTP. Standardmäßig wird heute aber weitgehend passiv FTP eingesetzt, da hier auch mehrere Verbindungen gleichzeitig geöffnet werden können. Genau dazu braucht man auch die mehreren Ports - damit können dann mehrere Dateien gleichzeitig übertragen werden.
Wenn Du Deinen FTP-Zugang auch anderen Benutzern zugänglich machen willst, würde ich auf passiv FTP jedenfalls nicht verzichten...

Trolli
 

smulg

Benutzer
Mitglied seit
30. Jan 2009
Beiträge
218
Punkte für Reaktionen
0
Punkte
0
Es ist immer ein Balanceakt. Entweder man möchte die Dienste aus dem Internet nutzen können (FTP, SSH, ...) oder man schottet die DS ab.
Du kannst du FTP-Ports (aktiv wie auch passiv) ruhig weiterleiten lassen wenn du ein paar Punkte beachtest.
  • KEIN anonymer Zugriff
  • sichere Passwörter verwenden
  • automatische IP-Blockierung aktivieren
  • sicheres FTP (sFTP, FTP/SSH) verwenden (Die Logindaten werden nicht im Klartext übertragen)
  • Von Zeit zu Zeit die Log-Files kontrollieren

Grüße
Smulg
 

scoubie

Benutzer
Mitglied seit
27. Jan 2009
Beiträge
82
Punkte für Reaktionen
0
Punkte
0
Danke für Eure Geduld!

Ich melde mich, sobald ich wieder was neues erreicht habe!

Ein wirklich super Forum mit sehr netten Usern!



mfG

Scoubie
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat