FTPS über Internet geht nicht

[CptGambit]

Hallo

im Zuge der letzten Hacker Angriffe auf Syno Diskstations hab ich mir zum Ziel gesetzt meine DS etwas sicherer zu machen.
Dabei scheitere ich derzeit aber.

Ich habe ehemals FTP auf Port 21 gehabt und FTP ohne jegliche Sicherheit benutzt.

Jetzt habe ich den FTP Port auf der DS weiterhin auf 21 extern hol ich ihn aber auf (exemplarisch) 10021. Sprich am Router mache ich eine Portumleitung von 10021 auf 21.
Damit das ganze funktionieren kann hab ich auch die interne 20 extern auf der 10020 liegen. Teste ich das von extern (vom Handy aus) funktioniert das.

Jetzt hab ich aber noch FTPS aktiviert. Im LAN funktioniert die Verbindung. Probiere ich die Verbindung von aussen, funktioniert das Ganze nicht

Woran kann das liegen?

 

[TheGardner]

Theoretisch -mein ich- dass Du den Port 20 gar nicht so umleiten musst! Mit anderen Worten, ich habe bei mir die 20er Umleitung gar nicht im Router aktiv! Probier das mal praktisch, ob das bei Dir auch geht/ohne 20 reicht, nach den nun folgenden Tips:

- sind in der DiskStation alle Dienste ebenfalls in der Firewall angelegt (ggf. mal die Firewall zu Testzwecken ausschalten - gehts dann?)
- hast Du Dein FTP aktiv oder passiv eingestellt? Wenn letzteres müsstest Du die passiven Ports ebenfalls im Router noch durch ne Portweiterleitung einstellen
- und Update auf DSM 5.0-4493 Update 3, falls Du das noch nicht hast

 

[CptGambit]

Naja, das merkwürdige ist aber, dass ich in der Konstellation wie oben FTP (ohne S) machen kann.
Mit Portfreigabe von 10020 und 10021.

Die Portfreigaben/weiterleitungen mache ich übrigens nur am vorgelagerten Speedport. Auf der DS hab ich keine Firewall/Router laufen.
Noch eins: wo kann ich ganz explizit Passiv oder Aktiv FTP auswählen? Ich seh nur, dass man den Portbereich für Passive Mode wo anders hinlegen kann oder Standardports nehmen kann. Deaktivieren..wüsst ich nicht wie.

 

[TheGardner]

Was immer bei Dir da mit FTPS nicht läuft - schalte die passiven Ports noch frei, schließe den 20er und es wird überall laufen.

Wenn Du passiv schon so eingestellt hast, würde ich das auch so lassen! Ich denke dann aber, dass Du den Port 20 im Router deaktivieren kannst (Weiterleitung 10020 löschen) und es sollte dann trotzdem weiter funktionieren! ABER Du musst eben auch die passiven Ports im Router als Weiterleitung eintragen! Ich habe bei mir die Standard Passiv Ports zu laufen und nicht extra in der DS andere eingestellt! Hier mal meine Portfreigaben, wie ich sie in der Fritzbox (Router) am Laufen habe. Interessant sind für Dich da nur die passiven und der 21er:

 

[CptGambit]

Ok, ja klar, das würde vermutlich funktionieren. Aber ich gehöre zu der Spezies, die es verstehen will
Ich will mir ausserdem nicht gern aus 2 freigeschalteten Ports 32 machen. Das widerstrebt mir etwas

Und nochmal zum Verständis: du schreibst: "Wenn Du passiv schon so eingestellt hast, würde ich das auch so lassen!"
Ich habs ja nicht eingestellt

 

[DJ Mike]

Was hast du in deinem FTP-Programm eingestellt ?

Protokoll: FTP - File Transfer Protocol

Verschlüsselung:
Unverschlüsseltes FTP verwenden
Explizites FTP über TLS erfordern
Implizites FTP über TLS erfordern




Die Portnummer entsprechend deinem Router Portforwarding Setting einstellen


Gruss Mike

 

[CptGambit]

Status: Auflösen der IP-Adresse für xxx.xxxx.xxxx
Status: Verbinde mit xxxxxxxxxxx:xx021...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 Syno FTP server ready.
Befehl: AUTH TLS
Antwort: 234 AUTH SSL command successful.
Status: Initialisiere TLS...
Status: Überprüfe Zertifikat...
Befehl: USER xxxxxx
Status: TLS/SSL-Verbindung hergestellt.
Antwort: 331 Password required for xxxx.
Befehl: PASS ********
Antwort: 230 User admin logged in.
Befehl: SYST
Antwort: 215 UNIX Type: L8
Befehl: FEAT
Antwort: 211- Extensions supported:
Antwort: AUTH TLS
Antwort: PBSZ
Antwort: PROT
Antwort: SIZE
Antwort: MDTM
Antwort: MFMT
Antwort: REST STREAM
Antwort: UTF8
Antwort: 211 End.
Befehl: OPTS UTF8 ON
Antwort: 200 OK, UTF-8 enabled
Befehl: PBSZ 0
Antwort: 200 PBSZ command successful (PBSZ=0).
Befehl: PROT P
Antwort: 200 Protection level set to Private.
Status: Verbunden
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE I
Antwort: 200 Type set to I.
Befehl: PASV
Antwort: 227 Entering Passive Mode (xxxxxxxxxx,249)
Befehl: LIST
Fehler: Zeitüberschreitung der Verbindung
Fehler: Verzeichnisinhalt konnte nicht empfangen werden



AHA! Es geht also durchaus weiter, aber am Ende scheitere an irgendwas..

 

[TheGardner]

Klar, weil Deine passiven Ports im Router nicht durch geschalten sind! Du musst noch 55536-55551 dort hinterlegen/forwarden! Die sind ja in Deinen Einstellungen aktiv (siehe Systemsteuerung Screenshot bei Dir). Dafür aber den 20er Port im Router raus! Die Data-Sachen (Verzeichnisauflistung nachm Login) laufen alle über die passiven Ports! Und genau bei der Portweiterleitung aufpassen - genau die Ports wie in der DS freischalten, sonst biste bald wieder hier mit nem Thema "FTP verhält sich komisch?" ;-)

Achso, und zum Verständnis was dort gerade abläuft:

- Du versuchst eine Verbindung zum Server herzustellen
- der meldet sich und fragt nach Benutzer und Passwort
- dann übergibst Du dem die
- er meint - alles okay, passieren
- bis hierher ging alles über den Port 21 (inklusive dem ganzen TLS Verschlüsselungs Shais)
- Du bist drin und Dein Programm will in den passiven Modus gehen und fordert eine Liste der Verzeichnisse am Startpunkt an, damit es Dir was anzeigen kann
- der Server meint - klar kannste bekommen und gibt den Mist über passiv 55536 zurück
- kommt aber bei Dir alles nicht mehr an, weil die Sendungen und Antworten von Dir alle am Router abprallen, weil der meint "Port 55536???? Näh! Du kommst hier nich rein! Hau ab!"

 

[CptGambit]

Komplett verstanden.
An der Stelle schonmal danke für deine Geduld.

Nur eine Frage, was muss ich einstellen (siehe Screenshot von mir) damit ich nicht Passive sondern ausschliesslich Active Mode nutze?

 

[TheGardner]

Ich glaube das geht gar nicht! Hab ich gestern bei Deinem Screenshot gemerkt! Habe mir da aber auch keine Gedanken weiter gemacht! Ich vermute dass über 80% aller FTP Server den Passive Modus benutzen! In Deutschland mit seinen "hinter einem Router" Servern ist ein aktive Modus glaub ich gar nicht möglich, weil dann der Server immer seine eigene IP (192.168.....) zurückgeben würde und alle Clients wie blöde nach dieser Adresse antworten würden und sie niemals erreichen könnten.

 

[CptGambit]

Die letzten Jahre hab ich meinen FTP Server immer mit Port 20-21 (und nur diesen) hinter nem Router betrieben. Das ist ja auch der Grund wieso ich mich etwas ziere jetzt wegen FTPS (oder sind's die nicht-Standard-Ports) weitere Ports zu öffnen.

 

[TheGardner]

Das wird nicht anders gehen! Zumindest nicht bei Synology! Ich denke auch dass das heute auch keiner mehr tun sollte und auf aktiv nen FTP betreiben! Und zu den Ports: die vielstelligen Passiven Ports sind schwerer für räuberisches Volk zu bemerken als nen einzelner Port 21. Der ist hierbei die Achillesferse! Da helfen dann nur noch gute und sichere Passwörter für die Benutzeraccounts! Wer bei einem Rechner den 21 als offen findet, den jucken passive Ports recht wenig - egal ob das 10, 50 oder 150 Stück sind!
Man kann die Portrange bei den passiven ja auch anpassen! Bei wenigen gleichzeitigen Usern, reicht auch ne Portrange von 55536-55545. Aber egal, wie Du es machst - die passiven Ports stellen nicht wirklich nen Problem dar! Dann schon 100fach eher nen Port 20 und 21!

 

[ottosykora]

Die letzten Jahre hab ich meinen FTP Server immer mit Port 20-21 (und nur diesen) hinter nem Router betrieben. Das ist ja auch der Grund wieso ich mich etwas ziere jetzt wegen FTPS (oder sind's die nicht-Standard-Ports) weitere Ports zu öffnen.

nicht ganz richtig. Die passiven Ports werden weitergeleitet, aber erst nach Bedarf verwendet. Das ist nicht so dass dort ein Dienst permanent auf etwas wartet. Die dienen dann für den Traffic wenn dieser auch explizit angefordert wird.
Port 20 benötigt man heute selten, weil kaum jemand was anderes mit FTP macht als passiv, die FTP Clients machen passive by default. Die Anzahl der passiven Ports gibt an wie viele Verbindungen du gleichzeitig haben kannst.
Also mit 21 und 20 hast du eventuell mehr offen als 21 und 5 passiven.

 

[ottosykora]

Noch eins: wo kann ich ganz explizit Passiv oder Aktiv FTP auswählen?

das macht der Client, dort kannst du es auswählen

By default machen die meisten heutigen Clients passiv.


dann noch extern IP berichten aktivieren, dieser Teil macht manchmal Probleme

 

[ottosykora]

Aber ich gehöre zu der Spezies, die es verstehen will

ich habe es seinerzeit hier nachgelesen: http://de.wikipedia.org/wiki/File_Transfer_Protocol

 

[CptGambit]

Das wird nicht anders gehen! Zumindest nicht bei Synology! Ich denke auch dass das heute auch keiner mehr tun sollte und auf aktiv nen FTP betreiben! Und zu den Ports: die vielstelligen Passiven Ports sind schwerer für räuberisches Volk zu bemerken als nen einzelner Port 21. Der ist hierbei die Achillesferse! Da helfen dann nur noch gute und sichere Passwörter für die Benutzeraccounts! Wer bei einem Rechner den 21 als offen findet, den jucken passive Ports recht wenig - egal ob das 10, 50 oder 150 Stück sind!
Man kann die Portrange bei den passiven ja auch anpassen! Bei wenigen gleichzeitigen Usern, reicht auch ne Portrange von 55536-55545. Aber egal, wie Du es machst - die passiven Ports stellen nicht wirklich nen Problem dar! Dann schon 100fach eher nen Port 20 und 21!

Um zu meinem Eingangspost zurückzukehren. Ich habe derzeit auf meiner Syno Port 20 und 21 in Benutzung (um genau zu sein, hab ichs aus Sicherheitsgründen seit letzter Woche deaktiviert) und auch nur diese beiden Ports in der Portweiterleitung am Speedport aktiv und das funktioniert astrein. Ohne Passiv 55xxx Ports.

Ich wollte aber zum einen FTPS benutzen und zum anderen die beiden 20,21 Ports irgendwo nach oben verlagern, genau um den Hackern eben nicht mehr die allgemein bekannten FTP Ports zu bieten. Und genau das funktioniert nicht.

nicht ganz richtig. Die passiven Ports werden weitergeleitet, aber erst nach Bedarf verwendet. Das ist nicht so dass dort ein Dienst permanent auf etwas wartet. Die dienen dann für den Traffic wenn dieser auch explizit angefordert wird.
Port 20 benötigt man heute selten, weil kaum jemand was anderes mit FTP macht als passiv, die FTP Clients machen passive by default. Die Anzahl der passiven Ports gibt an wie viele Verbindungen du gleichzeitig haben kannst.
Also mit 21 und 20 hast du eventuell mehr offen als 21 und 5 passiven.

Was mich hieran wundert. Derzeit hab ich am Router keine passiven Highports am Speedport weitergeleitet. Und alles geht.
Wieso geht dann mit FTPS und meinen selbstgewählten 10020 und 10021 nicht?

dann noch extern IP berichten aktivieren, dieser Teil macht manchmal Probleme

Hatte ich bisher auch nicht gemacht :-/
Auch hier. Alles funktionierte.




Quintessenz:
alt 20, 21 FTP (ohne Security)
funktioniert, ist aber unsicher

neu 10020, 10021 (FTPS)
nichts funktioniert, wäre aber sicher

Wieso sollte denn nach meinen Änderungen der Passiv Mode notwendig sein, in der alten Konfig aber nicht?

 

[CptGambit]

Was übrigens nach meinen neusten Erkenntnissen auch funktioniert.

An der Syno Port 21. Speedport port 10020 -> 20 + 10021 -> 21.
Verbindung wird aufgebaut und Download funzt.

Nur sobald FTPS ins Spiel kommt geht das ganze nicht mehr.

Ich werde morgen mal die High Ports in den Speedport hacken und dann nochmal testen.

Bin gespannt.

 

[ottosykora]

versuche es mal so wie wir es dir sagen und wie es alle anderen auch machen, dann wird es funktionieren.
Und dabei kannst du sogar den Port ändern an dem FTP lauscht. Habe ich auch so und geht prima. FTP und FTPS.
Und Sicherheit erhöhst du gleichzeitig auch.
Dann hast du nur noch 1 Port offen statt 2.