504 TLS/SSL protection required

[TheGardner]

Da gibts für Dich eigentlich nichts (mehr) einzustellen, wenn Du´schon alles so eingestellt hast, wie es in der DS vorgesehen und oben dargestellt ist! Aber hier nochmal eine kleine Zusammenfassung von Otto's und meinen Beiträgen:

Es gibt bei der DS 3 Arten von FTP Protokollen

- normales unverschlüsseltes FTP
- SSL/TLS FTP ein Zwitter aus verschlüsselter Anmeldung und nicht/verschlüsselter Datenübertragung (siehe Otto's Beitrag)
- SFTP/SSH verschlüsselte Übertragung, bei welcher alles Verschlüsselt wird (Anmeldung, wie auch Datenübertragung)

Einstellen musst Du dafür nur das, was wir oben schon in den Masken alles angehakt haben! Du hast bei diesen Einstellungen die Wahl, nur normales FTP AN und den Rest AUS oder alles (FTP / SSL/TLS / SFTP/SSH) zusammen AN. Letzteres ist das Beste, weil Du damit den Leuten draußen alle Möglichkeiten offen lässt! Sie können sich quasi dann selbst überlegen, was oder wie sie sich verbinden sollen!
D.h. danach ist Deine Hausaufgabe (als Serverbetreiber) erledigt!

Und jetzt nochmal zu Deiner Sicherheit! Sicher machst Du das Ganze, indem Du:

- User und Passwörter vergibst
- den Leuten sagst, dann eine verschlüsselte Verbindung (SSL/TLS oder SFTP/SSH) besser ist, als normales FTP


Trenn Dich aber von dem Gedanken, dass Du irgendwas abschalten könntest - also quasi den Leuten auf diktierst, dass die Verschlüsselung zu nehmen haben! Das geht nicht, weil die DS so gestrickt ist, dann WENN FTP, sie dann alle 3 Arten anbietet oder nur unverschlüsseltes FTP. Verschlüsseltes FTP OHNE unverschlüsseltes FTP geht nicht! (es sei denn Otto hat jetzt noch etwas mehr Wissen und kann meine Aussage widerlegen).



Hier jetzt noch meine Variante, wie ich sie bei meiner DS umgesetzt habe:

- ich biete den Leuten alle drei Arten von Protokoll an und muss dafür die Ports 21 und 55536-55567 (für normales (passives) FTP und SSL/TLS Protokoll) und den Port 22 (SFTP/SSH Protokoll) an DS Firewall und Router öffnen
- ich teile den Usern dies in einer Willkommensnachricht bei Anmeldung mit! Dazu habe ich eine Datei ftpmutd unter /etc angelegt, die so aussieht:

 ***********************************************************
 *                                                         *
 *            Welcome             *
 *                                                         *
 * connect via FTP (non secure):                          *
 *      server          - ftp.my-ds.org                    *
 *      port            - 21                               *
 *      connection mode - passive                          *
 * connect via FTP/authSSL (user/pass/secure):     *
 *      server          - ftp.my-ds.org                     *
 *      port            - 21                               *
 *      connection mode - passive                          *
 * connect via SFTP/SSH (secure):                   *
 *      server          - ftp.my-ds.org                  *
 *      port            - 22                               *
 * using a SFTP/SSL/SSH connection is highly recommended!  *
 *            -------------------------                    *
 * recommended free ftp tool:                              *
 * https://filezilla-project.org                           *
 *            -------------------------                    *
 * change your password (by knowing the old) with:         *
 * Menu - Server - Change password (in Filezilla)          *
 *            -------------------------                    *
 * Synology FTP server ready!                              *
 *                                                         *
 ***********************************************************

 

[isamuc]

Besten Dank, echt Top erklärt!! 5* von mir für Dich "Syno Meister"
Ein echt tolles Forum -nur wenige Antworten die aber umso besser!

Die DS benutze eigentlich nur ich und das aber von überall. Evtl. mal noch meine Frau (aber ehr selte, sie ist als User angelegt)
Mir ging es darum, dass wenn ich mich von Timbuktu einlogge, mich keiner "abhören" kann..
Ich weiß, sicher ist nur.....,
Es geht mir also "nur" ums gehackt werden ;-)

 

[TheGardner]

Aus dieser Warte gesehen, würde ich Dir dann doch von FTP abraten und wegen Euch "paar Hanseln" nicht den FTP auf Deiner DS aufmachen bzw. dieses Riesen-FTP-G'schiss dafür zu veranstalten!
Reicht da nicht die Admin Oberfläche aus um paar Dateien hin- und her- zu kopieren? Oder wenn eine Fritzbox vorhanden, dann würde ich mir auf den Endgeräten (von Frau und Dir) ne VPN Verbindung erstellen und diese dann von Timbuktu aus ausführen! Man ist dann gleich im eigenen Netz und muss nur noch paar Netzlaufwerke im Windows-Explorer einrichten, die den Datenstand auf der DS anzeigen und mit denen man "rummachen" kann! Und das wär dann nochmal nen Zacken sicherer, als das sicherste FTP.

 

[isamuc]

klingt auch gut.. für uns paar Hanseln ;-)
es sind meist nur ein paar Daten - können aber auch mal ein paar 100 MB mit Fotos zusammen kommen..
geht das auch noch?

Du meinst einfach in Timbuktu ins Internetcafe, Browser auf, SD Karte rein und xxxxx.synology.me und einloggen.. Daten rüber, fertig!?

Ist das dann "sicherer"??

 

[TheGardner]

Dachte Du (Ihr) hättet eigene Rechner/Laptops/Tablets! Die VPN Verbindung könnte dann vorab auf denen installiert werden!
Mit Internetcafe ist das dann etwas anders! Da ist die FTP Sache dann wohl doch die einfacherer Variante, die man umsetzen kann!

 

[isamuc]

ok, meist eigene Rechner (auch von der Arbeit aus, wo ich Daten aufspiele/runter ziehe) = 90%
10% von irgendwo auf der Welt - und da kann es auch mal ein fremder Rechner sein!!

Was also tun? Was ist das mit der VPN? Kenn ich nicht ;-(

 

[ottosykora]

FTP Dienst und FTP SSL/TLS sind bei mir beide aktiviert!
Ohne gehts nicht - es sei denn Du machst nur FTP Dienst!

Also SSL/TLS zuschalten, aber FTP nicht abschalten!

nicht wirklich nötig wenn man mit einem heutigen Clienten die Verbindung macht. Ich habe nur FTPS on, normales FTP OFF.
Das geht sehr gut und bei FTP wird bei Verwendung von Filezilla auch alles brav verschlüsselt wenn man es als explizit verlangt.

Geht neuerdings auch mit FireFTP für den Firefox sehr gut.

FTPS wird den normalen FTP selber besorgen wenn es der Client verlangt. Der FTP Dienst muss dazu nicht angekreuzt werden.

 

[ottosykora]

Hallo ottosykora,
könntest Du mir das mit Client?? und so alles nochmal für einen totalen Anfänger erklären? ;-)
Was muss ich wo einstellen, damit das "sicher" oder halt verschlüsselt ist?
Wenn das beide können - DS und Filezilla

Danke Dir!!

also Filezilla:

bei FTPS
Host: dein ddns
Port: normal 21, oder was auch immer in der DS eingestellt ist im Router geleitet ist
Passive: einige Passiv Ports müssen angegeben werden, die müssen auch im Router durchgegeben. Sind die vorab klar, dann geht es eben auch ohne Fallback
Achtung: in der DS gibt es eine Tickbox 'die Adresse mitteilen...'
Diese war in einigen früheren Versionen der DS Firmware 'invertiert' und musste abgeschaltet werden. Jetzt ist es richtig und soll eingeschaltet sein.

also Protokol FTP, weil das der eigentlich Protokol der Übrtragung ist und der Fallback falls die Verschlüsselung nicht ginge etc.
Verschlüsselung: require explizit FTP over TLS
Transfer mode default, wird dann auf passive probieren


Sicher: es gab früher noch das implizit , aber das braucht eigenen Port und DS kann es nicht

SSH für FTP ist natürlich wirklich sicher, weil es sich so verhält wie bei FTPS implizit, es geht gar nicht anders als verschlüsselt, gar kein Fallback etc. Und noch besser: es kann mit Schlüsseln gearbeitet werden statt Passwort.
Ich verwende es nur ab und zu, wenn SSH irgendwo auf Empfang ist, dann sind die Chinesen gleich zur Stelle und hacken was das Zeug hält.
Aber mit einem guten Password ist das SSH natürlich vorzuziehen.
Nachteil: geht nur mit FTP Cleint die auch dafür ausgerüstet sind, Browser oder auch nur Windows alleine haben kein SSH an Bord.


Und dann noch: FTP als Diesnt ist bei mir nur auf einen FTP Ordner reduziert. Sonst in der ganzen DS ausgesperrt. User für FTP sind meherere generische User, in einer Gruppe die nur zu dem FTP gehört. Falls sie nicht an Admin PW hacken, können die nur auf den FTP Ordner und allenfalls ihren Home Ordner zugreifen, sonst rein gar nichts.

Damit *kann* der Transport in einem ungünstigen Fall zwar unverschlüsselt erfolgen, aber ansonsten braucht es schon etwas Aufwand um den Rest der DS zu betreten.
VPN verwende ich selber, aber das ist nun nicht besonders gut für andere Leute, da ist man dann mitten im Heimnetz zugeschaltet.
Für Leute die mir nur einige Files in den FTP Ordner deponieren wollen oder etwas abholen sollen wäre es recht komplex im Gebrauch und bei mir müsste ich alles noch komplizierter intern schützen.

 

[ottosykora]

- ich teile den Usern dies in einer Willkommensnachricht bei Anmeldung mit! Dazu habe ich eine Datei ftpmutd unter /etc angelegt, die so aussieht:

schön , gute Idee, mach ich mal auch , hoffe nur die können es auch lesen mit ihren Smartphone Clients ;-)

 

[ottosykora]

Hier sieht man dass die Verschlüsselung klappt, PROT P ist der Request um auch die Übertragung verschlüsselt zu machen. Response 200 Protection level set to Private bestätigt dass die DS es so ausführen wird.

Command:	OPTS UTF8 ON
Response:	200 OK, UTF-8 enabled
Command:	PBSZ 0
Response:	200 PBSZ command successful (PBSZ=0).
Command:	PROT P
Response:	200 Protection level set to Private.
Status:	Connected

 

[isamuc]

ich kann euch leider noch immer nicht ganz folgen ..
wenn ich beschrieben alle Einstellungen so vornehme im FTP, auch in der DS das FTP abklicke, also nur noch FTP/SSL dann geht keine Verbindung per FTP .-(

Auch finde ich in der DSM das hier nicht: Achtung: in der DS gibt es eine Tickbox 'die Adresse mitteilen...'

 

[init123]

Hi - hab eigendlich das gleiche Problem.... FTP funktioniert (Browser+FileZilla)
expl/ impli FTP über TLS (filezilla) funktioniert nicht... FTP und FTPS ist in DSM eingestellt, forward im Router 20+21 ist eingestellt...
Die Meldung von Filezille:

Auflösen der IP-Adresse für xxx.dynvpn.de
Status: Verbinde mit xx.x.xxx.xx:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 Homes FTP server ready.
Befehl: AUTH TLS
Antwort: 234 AUTH SSL command successful.
Status: Initialisiere TLS...
dann kommt "Zeitüberschreitung"

noch eins:
bin ich im gleichen Netz (zu Hause) komme ich auch über FTP über TSL rein..
bin ich "In der Firma" erscheint o.g. Meldung / Firewalls sind aus...##


jemand eine Idee ?

 

[ottosykora]

also die passiv Ports müssen natürlich auch durch den Router durch und durch sonstige Firewalls. Und der eigentliche Port 21 natürlich auch.
Bei mit steht zwar 5021, aber das ist nur weiteregeleitet an 21.
Wird es irgendwo unterwegs geblockt, dann geht eben nichts. Werden die passiven Ports nicht frei, dann kann man wohl noch aktiv Mode versuchen, default ist es dann auf 20 gesetzt.

 

[init123]

Danke für das feeback - genau das ins im NAS eingestellt...

und in der Fritzbox (siehe Anhang)... der Port 20 sollte doch nicht "offen" sein... oder lieg ich falsch ( SFTP ist nur ein TEST...)

 

[ottosykora]

ich dazu nur den 21 und die pass forwarded.

20 ist bei mir normalerweise off, es sei denn ich mache irgendwelche Versuche damit

SFTP, also den dazu nötigen SSH habe ich normalerweise abgestellt, das versuchen die Kollegen aus Fernost sonst zu attackieren dauernd.

Mit dem 'report external ip' gab es eine Zeitlang Probleme, es war irgendwie invertiert und musste inaktiv gesetzt werden. Dann nach einem Update musste ich es gleich wieder aktiv setzen sonst hat es nicht funktioniert.
Im Bild sind meine jetzigen Einstellungen und die gehen mit Filezilla gut und auch mit FireFTP Zusatz zu Firefox.
Check mal in Filezilla Log ob die externe IP auch wirklich gemeldet wird oder ob dann doch nur die interne gesendet wird. Das war manhcmal bei einigen Usern auch etwas komisch, es kam die interne 192.168.... an statt der richtigen.