FTP - theoretische Einrichtung

[CitroenDsVier]

Hallo zusammen,

ich möchte mir - wenn's soweit ist - auf mein Homeserverchen auch einen FTP Server packen. Aktuell habe ich da XAMPP und den FileZilla Server im Blick (Gibt's da was besseres [kostenloses]?). Soweit, sogut.
Um das Ganze von außen erreichbar zu machen, benötige ich dann erstmal eine Portfreigabe. Beispielsweise Port 3000 (wenn der nicht belegt ist, hab ich grad nicht im Kopf). Port 3000 also an der FritzBox (7272) mit der lokalen IP des Homeserverchens freigeschaltet. Jetzt fehlt noch DynDNS. Das über no-ip.com auch eingerichtet - wie geht's weiter? Brauche ich zwingend eine eigene Domain für den FTP Zugriff? Wenn ja, gibt es da kostenlose Möglichkeiten?

Wie man vermutlich sieht, bin ich in diesem Bereich noch ziemlich neu, ich würde mich über Aufklärungen freuen!

MfG, V40

 

[Snooty]

Eine Domain brauchst du nicht - aber dann musst du den "Besuchern" halt immer deine IP geben.

Aber dafür hast du dich doch auf no-ip.com angemeldet - da bekommst du eine Adresse, die mit deiner IP verknüpft wird. Dafür gibt es dafür im Router auch ein Menü: http://avm.de/nc/service/fritzbox/f.../show/30_Dynamic-DNS-in-FRITZ-Box-einrichten/

 

[CitroenDsVier]

Richtig, das Menü gibt es. Der Besucher ist erstmal nur ich, von verschiedenen Orten aus

wie sieht diese Adresse dann grob aus? Und eher: Was muss ich dann beim FTP Clienten eingeben, um auf meinen FTP Server zu gelangen?

 

[niethitwo]

Das wichtigste: im FileZilla NUR sftp Verbindungen erlauben!

FTP/FTPS ist unsicher.

Falls er das nicht kann: lass es.

 

[CitroenDsVier]

Okay... Und wie gebe ich im Clienten dann den Servernamen an? Ich habe das ganze ja schließlich nicht über eine Domain...?

EDIT: @HominiLupus: Wird gemacht, danke! Laufen Smartphone-Tarife beim Provider auch über einen NAT?

 

[HominiLupus]

FTP ist nicht nur unsicher, es ist auch vielfach unmöglich zu nutzen. Du bist hinter einem NAT, und FTP hat dynamische Portnutzunh. Und wenn beide, Server und Client, hinter einem NAT sind, was heutzutage 99% aller Nutzer sind, dann ist es fast unmöglich eine funktionierende Verbindung zu bekommen. Also einfach gleich SFTP nutzen wie niethitwo empfiehlt.

Via DynDNS (google es). Damit bekommst du eine Domain der Art "meinftpserver.no-ip.com".

 

[CitroenDsVier]

Danke, das war, was ich gesucht habe. DynDNS kenne ich ja, aber ich wusste ich nicht, wie das Ganze dann aussieht. Dankeschön!

 

[Autokiller677]

Da du eine FritzBox hast, kannst du einfach den MyFritz Service von AVM nutzen - da bekommst du auch eine Domain die immer auf deine aktuelle IP gelinkt wird.

 

[CitroenDsVier]

Hehe, das MyFritz hab ich, als ichs das erste mal gelesen hab, grad als "Kinderzeug" abgestempelt... Muss ich mir wohl trotzdem nochmal ansehen..

 

[strex]

FTP ist nicht nur unsicher, es ist auch vielfach unmöglich zu nutzen. Du bist hinter einem NAT, und FTP hat dynamische Portnutzunh. Und wenn beide, Server und Client, hinter einem NAT sind, was heutzutage 99% aller Nutzer sind, dann ist es fast unmöglich eine funktionierende Verbindung zu bekommen. Also einfach gleich SFTP nutzen wie niethitwo empfiehlt.

Via DynDNS (google es). Damit bekommst du eine Domain der Art "meinftpserver.no-ip.com".

Das ist leider komplett falsch. Bei passive FTP muss dazu einfach eine Port Range im Router zum Server definiert werden und die dann am FTP hinterlegt werden.

Alternativ dazu gibt es denn active Mode, da sind keine Ports notwendig und es reicht das Port Forwarding der Standard Ports für FTP am Router.

Das kann sogar jeder Depp in Wiki zu FTP nachlesen.

 

[chrigu]

das wäre wohl die sicherste lösung. usb stick an fritzbox, und dort alles einrichten. so braucht dein pc nicht zu laufen und er kann somit auch nicht gehackt werden...

in der heutigen zeit von dropbox, drive, mega und wie die alle heissen, ist ftp eher richtung steinzeit anzusehen und genauso sicher wie eine höhle ohne tür...

 

[hm74]

Hab den FileZilla Server am laufen und bin zufrieden. TCP Port 21 ist im Router freigeschaltet.
Sowie dynamisches DNS.
Zum testen des eigenen FTP Servers ist diese Seite gut https://ftptest.net/

Es ist möglich das der FileZilla Server bei einer schnellen Internetverbindung zu langsam läuft.
Abhilfe schafft die richtige Einstellung der Internal Transfer buffer size und Socket buffer size.


#Einstellungen für 50/10Mbit

 

[Daaron]

FTP/FTPS ist unsicher.

FTP ist natürlich unsicher, immerhin ist es eine unverschlüsselte Verbindung.
Bei FTPS sieht die Sache aber GAAAAANZ anders aus. Während bei FTPES nur der initiale Auth garantiert verschlüsselt ist, wird bei FTPIS alles (bis auf den initialen Handshake) verschlüsselt. Da die Verschlüsselung über TLS erfolgt, ist hier dasselbe Maß an Sicherheit gegeben wie man es auch von HTTPS kennt.

 

[CitroenDsVier]

Habe das Ganze jetzt vorübergehend mit meinem Raspberry Pi (Modell B) und proftpd ausprobiert, vermutlich ists aber gerade nicht wirklich sicher. Die nötigen Einstellungen nehm ich dann im FileZilla Server vor...

Aber das DynDNS Zeug und Portfreigabe funktioniert schonmal! Auch SSH von überall aus kann sehr nützlich sein

MfG, V40

 

[niethitwo]

Da die Verschlüsselung über TLS erfolgt, ist hier dasselbe Maß an Sicherheit gegeben wie man es auch von HTTPS kennt.

Gefährliches Halbwissen.

Die Sicherheit existiert nur, wenn die Daten auch per TLS verschlüsselt übertragen werden. Das machen aber viele Server gar nicht!

Dann gibt's noch viele pitfalls, z.B. Rückfall auf SSL bei Verneinung von TLS etc. Viel zu konfigurieren...

Und die Sicherheit mit TLS ist auch nur gegeben, wenn man Zertifikate hat, denen man vertrauen kann und deren komplette Zertifikatkette nachvollzogen werden kann. Und hier gibt es mehr als genug Ansätze, die tagtäglich mit https ausgenutzt werden. Ordentliche Zertifikate werden teuer oder man stellt sie selbst aus.
Dieses Zertifikat dann wieder an alle FTP Nutzer zu verteilen und dem Client bekannt zu machen ist ein Aufwand, den dann viele nicht mehr auf sich nehmen...(siehe Browser: unbekanntes Zertifikat heißt auf "Ja, ich kenne das Risiko..." klicken )

Bei vielen Nutzern ist ein sicherer FTPS für den Privatmann also teuer oder aufwändig (mal kurz die Urlaubsbilder teilen ist nicht...).
Wenn ich nur wenige Nutzer habe, ist FTP an sich kein probates Mittel.


Wenn ich einen Server habe, habe ich eh ssh am laufen.
FTP selbst kommt nur noch in sehr wenigen Szenarien zum Einsatz, es ist eher ein relikt der Vergangenheit.

 

[Daaron]

Die Sicherheit existiert nur, wenn die Daten auch per TLS verschlüsselt übertragen werden. Das machen aber viele Server gar nicht!

Lies den Satz davor... Und selbst bei FTPES hat der Client noch ein Mitspracherecht.

Dann gibt's noch viele pitfalls, z.B. Rückfall auf SSL bei Verneinung von TLS etc. Viel zu konfigurieren...

Nicht, dass da Client oder Server nix dagegen machen könnten... und auch bei SFTP hast du solche Probleme.

Und die Sicherheit mit TLS ist auch nur gegeben, wenn man Zertifikate hat, denen man vertrauen kann und deren komplette Zertifikatkette nachvollzogen werden kann.

...weshalb man für den eigenen FTP bzw. allgemein für eigene Geräte eben gar kein reguläres Cert nimmt, sondern self signed.

Dieses Zertifikat dann wieder an alle FTP Nutzer zu verteilen und dem Client bekannt zu machen ist ein Aufwand, den dann viele nicht mehr auf sich nehmen...(siehe Browser: unbekanntes Zertifikat heißt auf "Ja, ich kenne das Risiko..." klicken )

Und SFTP/SSH macht da was besser? Dort wirst du auch gefragt, ob du der Maschine vertraust...

FTP selbst kommt nur noch in sehr wenigen Szenarien zum Einsatz, es ist eher ein relikt der Vergangenheit.

FTP ist spätestens dann sehr praktisch, wenn du mehrere virtuelle User auf einen realen System-User mappen willst. Nix mit Relikt.