Was ist sicherer VPN oder FTP(S)?

[d-Raven-b]

Hallo zusammen,
Ich arbeite in einer kleinen Firma (12 Personen) und habe dort seit kurzem gewisse IT-Aufgaben übernommen, wohl weil ich der Einzige bin, der sich freiwillig damit auseinandersetzt.
Ich helfe den Leuten also wenn der Drucker nicht druckt, oder wenn Probleme mit dem EMail Account bestehen. Wie dem auch sei, ein externer "Informatiker" hat die Einrichtung unseres Firmennetzwerks vorgenommen.
Soweit ich das weiss gibt es einen DSL Router im Bridging-Modus, der an eine Firewall angeschlossen ist. Zu der habe ich leider noch keinen Zugriff (weder physisch noch elektronisch), allerdings nehme ich an, dass unsere PCs via LAN oder via eines Switches mit der FW verbunden sind (Alle Programme laufen jeweils lokal auf den Rechnern). DHCP macht die FW, aber nur für mobile Laptops, die PCs verfügen über eine fix eingestellte IP (weshalb man die nicht über MAC-Tables in der FW reserviert hat, weiss ich auch nicht).
Die Daten werden auf einer NAS (ReadyNAS NV+ von Netgear) abgelegt.
Soweit ich weiss gibt es noch einen "Server", dies ist aber IMO nur ein PC mit freigegebenen Festplatten auf den nur die Geschäftsleitung Zugriff(Benutzeranmeldung) hat (HP Power Manager mit Login?!?), dieser übernahm früher die Aufgabe der NAS, wurde dafür aber aufgrund Sicherheitsbedenken (Datenzugriff und Ausfallsicherheit) ausgetauscht.
Da einige Mitarbeiter auch gerne von Zuhause aus oder auf Reisen Zugriff auf gewisse Daten hätten, kam das Thema VPN auf. Die Prozedur der Einrichtung auf unserer FW scheint aber relativ kompliziert zu sein; unser "Informatiker" hat es in zwei Anläufen, vermutlich durch eine Limitation in der FW nicht geschafft das für mehr als ein Mitarbeiter einzurichten (ein Mitglied der GL soll auch Zugriff auf den alten "Server" haben, ein anderer nur auf die NAS), der "Informatiker" vermutet, dass unsere FW nur eine "Dial-UP VPN"=laut ihm VPN von einer dynamischen IP, unterstützt. Er findet, jetzt wir sollten uns eine teurere FW kaufen.
Ich habe etwas im Manual der NAS nachgeschaut und herausgefunden, dass sie nicht nur Benutzeranmeldung mit unterschiedlichen Zugriffsrechten erlaubt, sondern auch ein FTPS-Zugriff auf die Daten erlauben würde.

Meine Frage ist nun, ob das nicht evtl. Sinnvoller und sicherer als eine VPN-Verbindung ist. Problematisch wäre IMO wenn Benutzer VPN von ihrem Heimrechner/Laptop aus verwenden würden, wo ich keine Kontrolle über den Virenschutz/die Updates habe.
Ausserdem könnte man jedem Benutzer einen Account verteilen und der könnte dann via FTP die Dokumente aufrufen, die ihn zuhause interessieren.
Allerdings weiss ich nicht wie das mit dem FTP Zugriff auf die NAS aussieht, ob das evtl. ein grösseres Risiko darstellt, da man die NAS durch die FW ansprechbar macht?

 

[Erdmännchen]

Ich dachte man geht über einen VPN-Zugang dann mittels FTP an seine Daten?!
Also VPN macht den sicheren "Tunnel" im Internet auf und FTP ist dann das "Tool" um auf die Daten zuzugreifen?

Oder irre ich mich?

 

[d-Raven-b]

Wäre das wirklich nötig?
Mit VPN ist es ja so, als wärst du selbst mit deinem PC ans Netzwerk angebunden. Bei uns ist das aber IMO gar nicht nötig, da wir keine Programme haben die einen direkten Zugang benötigen, nicht wie Firmen PCs die zB via Netzwerk Booten oder Programme ausführen..

 

[Zer0DEV]

Als erstes sollte erwähnt werden, dass es SFTP heisst (Secure File Transfer Protocol) und nicht FTP(S)!!

SFTP bedient sich an SSH und wird mittels Schlüssel authentifiziert (1024, 2048, 4096 bit) und um so stärker der Schlüssel um so sicherer ist es auch. Von daher gibt es nicht wirklich einen großen Unterschied zu VPN, denn VPN kann ebenfalls via SSL mit Schlüsseln arbeiten!

 

[Erdmännchen]

Danke Zer0DEV, mir hat nur die Syntax gefehlt

 

[d-Raven-b]

Als erstes sollte erwähnt werden, dass es SFTP heisst (Secure File Transfer Protocol) und nicht FTP(S)!!

SFTP bedient sich an SSH und wird mittels Schlüssel authentifiziert (1024, 2048, 4096 bit) und um so stärker der Schlüssel um so sicherer ist es auch. Von daher gibt es nicht wirklich einen großen Unterschied zu VPN, denn VPN kann ebenfalls via SSL mit Schlüsseln arbeiten!

Sorry, als Fragesteller sollte ich mich vllt. nicht so weit aus dem Fenster lehnen, aber ich rede von FTP over SSL.

 

[SharenZ]

Ich würde sagen des geht nicht um die Sicherheit des Protokolles selbst. Viel wichtiger ist es, das das NAS im Internet sichtbar sein muss und somit angreifbar ist, wenn du SFTP benutzt. Wenn du VPN benutzt ist dies nicht der Fall.
Beim VPN hast du natürlich den Nachteil das du nicht von Host bis zum NAS eine verchlüsselte Verbindung hast und 80% der Angriffe kommen vom LAN!!
Das heißt beides wäre am besten

Das sind aber nur 2 von vielen Sicherheitsaspekten die du beacthen musst.

 

[Tzunamik]

FTP over SSL is was anderes wie SFTP....

gibt beides... aber du hast oben FTP(S) geschrieben, das gibt es so nicht... es heißt FTPoS

Naja, ich würde dir VPN empfehlen.
Wir haben einen Terminal-Server der die Logins mehr oder weniger kontrolliert und an die richtigen Ecken weiterleitet.
Und unsere Firma ist eine reine EDV-Firma... also jeder könnte der Admin sein

Und bring erst mal in Erfahrung was für ne Firewall da läuft?
Falls eine neuanschaffung in frage kommt, würde ich dir sofort sagen, entweder ein Linux-Server mit Samba etc. oder einen Windows-Server(was für viele wohl einfacher ist) + Active Directory....
Dort kannste nämlich alles einstellen wie es dir beliebt und du siehst dabei was du grade machst.

Auf dem W2k3 + AD kannste einen ISA einrichten und hast All-in-One ( Isa = Internet Security & Acceleration Server).
So hättest alles von MS und DU bist dann der Admin und nich einer von Extern, der womöglich weniger Ahnung hat als er tut.

Weil Dial-Up VPN is kein DynVPN (DynVPN is das VPN pendant zu DynDNS..... und DynDNS wird wohl bekannt sein....).
Dial-Up VPN, was es sooo garnicht gibt.... wäre eine Mischung von FTPoS und VPN über eine ISDN-Einwahlleitung. Daher der Begriff Dial-Up...

Und bevor es jemand anstreitet... ich weiß das es den Begriff Dyn.VPN so nicht gibt

 

[d-Raven-b]

Firewall bringe ich morgen in Erfahrung. Ich beschäftige mich eigentlich eben nur Hobbymässig mit PC's. Wir sind eine Biotech-Firma und das mit dem Support ist eingentlich nur so ein Nebenjob von mir.
Ich fürchte, die Einrichtung eines echten Servers wäre mir zu aufwändig, ausserdem meinte mein Cheff, als ich ihm mal Vorschlug, dass die beste Lösung wohl ein Microsoft Server wäre, auch wenn ich ihm dabei leider nicht besonders hilfreich sein könne, das wäre zu teuer..

Die NAS unterstützt auch noch WebDAV, das irgendwie über HTTPS läuft, aber von dem habe ich noch nie was gehört...

 

[SharenZ]

Falls eine neuanschaffung in frage kommt, würde ich dir sofort sagen, entweder ein Linux-Server mit Samba etc. oder einen Windows-Server(was für viele wohl einfacher ist) + Active Directory....
Dort kannste nämlich alles einstellen wie es dir beliebt und du siehst dabei was du grade machst.

Auf dem W2k3 + AD kannste einen ISA einrichten und hast All-in-One ( Isa = Internet Security & Acceleration Server).
So hättest alles von MS und DU bist dann der Admin und nich einer von Extern, der womöglich weniger Ahnung hat als er tut.

Du meinst er soll hinter den DSL-Router einen Server hängen, der Firewall, AD, DHCP, Fileserver usw. spielt?

Ich lass auch immer meine Haustür offen.

Wenn dein Cheff meint, das ein Windowsserver zu teuer ist, wird er denke ich auch keine neue Firewall spendieren. Dadurch fällt laut eurem Techniker die VPN Variante schon mal weg. Also bleibt eigentlich nur noch FTPS oder eben dieses WebDAV, von dem ich bis jetzt auch nichts gehört habe.

 

[CoolHandLuke]

»ausserdem meinte mein Cheff, als ich ihm mal Vorschlug, dass die beste Lösung wohl ein Microsoft Server wäre, auch wenn ich ihm dabei leider nicht besonders hilfreich sein könne, das wäre zu teuer..«

hehe, das kenne ich von meinem Job her. Kein Geld da, aber alles soll möglichst einfach und reibungslos funktionieren. Da bleibt dann wohl nichts anders übrig, als ein günstiges Linux zu installieren und Überstunden zu schieben ;-) MS-Server sind halt teurer als kostenlose Linuxdistributionen

Empfehlenswert wäre ein eigenständiger (alter) PC mit 2 Netzwerkkarten als Router und Firewall. Dort könnte man z.B. "IPCOP" verwenden. OpenVPN sollte auch unterstützt werden, was von der Installation sich auch in einem überschaubaren Rahmen halten sollte. Alternativ (das benutze ich @work) könnte man Endian benutzen.

 

[systemkiller]

kommt auch noch darauf an was der server leisten soll und wieviele clients es dann gibt. also bis 50 clients (MS sagt ja bis 75) kann es dann eins SBS-Server sein (evtl. SBS Premium incl. ISA etc.)

Übersicht : http://www.microsoft.com/germany/server/essential/sbs/editionen.mspx

Aber wie ich es von uns kenne, eine gute und sichere IT - darf aber nichts kosten.

 

[Tzunamik]

Du meinst er soll hinter den DSL-Router einen Server hängen, der Firewall, AD, DHCP, Fileserver usw. spielt?

Ich lass auch immer meine Haustür offen.

Was hat das den mit einer offenen Haustüre gemein`?
Wir nutzen das so in der Firma.

Also W2k3-Server, Exchange, AD, ISA, SQL-Datenbank.... auf einem Quad Core Xeon (2,83Ghz)+ 8 GB ram.... mehrfach redundant gesichert das ganze.
Ich behaupte mal, das da kein Hacker soooo einfach dran kommt.
Alles aus dem LAN läuft zwangsweise über den Server, da er das Gateway darstellt und mit 2 NIC´s auch der einzige "PC" mit Inet Anbindung ist.

Ich würde dich bitten, deine Aussage mal mit Argumenten zu verstärken.

 

[Zer0DEV]

Was hat das den mit einer offenen Haustüre gemein`?
Wir nutzen das so in der Firma.

Also W2k3-Server, Exchange, AD, ISA, SQL-Datenbank.... auf einem Quad Core Xeon (2,83Ghz)+ 8 GB ram.... mehrfach redundant gesichert das ganze.
Ich behaupte mal, das da kein Hacker soooo einfach dran kommt.
Alles aus dem LAN läuft zwangsweise über den Server, da er das Gateway darstellt und mit 2 NIC´s auch der einzige "PC" mit Inet Anbindung ist.

Ich würde dich bitten, deine Aussage mal mit Argumenten zu verstärken.

Das ist jetzt nicht dein ernst?! Ihr habt euren Server der eindeutig für interne Angelegenheiten ins Internet gestellt und du behauptest das sei sicher?

Hallo??????????????


Da hilft dir auch nicht der ISA oder das was du als "Gateway" bezeichnest!

Im Netzwerk wird das Gateway mittels 2 ISAs gemanaged, d.h. ...

Internes Netz (mit Servern, Clients, etc.) <--> ISA1 <--> Server (mit was auch immer, bspw. für ein weiteres Netz) <--> ISA2 (die Verbindung zur Außenwelt) und so wird ein Schuh drauß der "sicher" ist und nicht der Quatsch den Ihr da gemacht habt.


Und das Wort "redundant" schütz Euch nicht vor Hackern, sondern zeigt lediglich auf, dass Eure Daten über ein RAID1, RAID5 oder RAID1+5 (oder ein anderes) laufen!

 

[Tzunamik]

Internes Netz (mit Servern, Clients, etc.) <--> ISA1 <--> Server (mit was auch immer, bspw. für ein weiteres Netz) <--> ISA2 (die Verbindung zur Außenwelt) und so wird ein Schuh drauß der "sicher" ist und nicht der Quatsch den Ihr da gemacht habt.

Und genau das alles passiert auf EINEM Server....
2Nics...

NicA = Extern---> Router ---> WWW
NicB = Intern---> 48 Port Switch --> NAS, Clients, etc. etc.
Was ist daran unsicher?

Nur weil wir nicht für JEDEN Dienst, einen Server abstellen?