Zwei FTP Server im selben Newerk betreiben.

[fstaske]

Ich habe in meinem Netzwerk zwei FTP Server und möchte auf diese von Außen zugreifen.
Nun kann ich ja nicht beide Geräte auf den gleichen Port laufen lassen.
Gibt es eine spezielle Lösung, auf beide Geräte mit einem FTP Client zuzugreifen, ohne einen anderen Port zu benutzen?
Denn bei den meisten Clients sind die Standard Ports schon eingetragen, und man muss diese nicht noch mal per Hand eingeben.
Kann mann es irgendwie machen, dass man mit einem FTP Client auf das Netzwerk zugreift, und man eine Auswahl bekommt, welchen der beiden Servern man verwenden möchte?

 

[Raijin]

Erstens würde ich niemals einen FTP-Server nackt ins Internet stellen. Bei FTP wird der Login in Klartext übertragen. Wenn schon, dann S-FTP.

Zweitens kommst du - wenn du es denn trotzdem machen willst - um einen zweiten Port nicht drumherum. Wer sollte sonst entscheiden welcher FTP antworten soll? Weder der Client noch der Router wissen welcher FTP gemeint ist, wenn der Port identisch ist. Es ist aber nu auch nicht wirklich sooooooooo kompliziert, im FTP-Client den Port zu ändern.. Schließlich kann man die Verbindung auch speichern und wählt dann einfach nur noch aus der Liste "FTP1" (automatisch via Port xx) oder eben "FTP2" (automatisch via Port yy) aus.

Drittens ist es sinnvoller, nach außen hin nur ein VPN zu präsentieren. Mit dem VPN verbindet man sich dann von draußen und kann bei entsprechender Konfiguration sogar direkt die LAN-IPs der FTPs erreichen - verschlüsselt und für niemanden einsehbar im VPN gekapselt. Wenn man beispielsweise eine Fritzbox hat, kann man dort das VPN-Feature nutzen. Ansonsten installiert man zB auf einem der FTPs beispielsweise OpenVPN. Nur der Port für OpenVPN wird im Router weitergeleitet, der Rest läuft dann quasi virtuell im LAN statt (via VPN).

 

[Visceroid]

Wie löst du das Portforwarding oder bekommen beide Server eine fixe öffentliche IP zugewiesen?
Am einfachsten wäre hier "öffentliche IP:21" --> "1. interne IP:21" und "öffentliche IP:22" --> "2. interne IP:21"
Dann können intern beide Server mit Port 21 laufen aber sind gleichzeitig von aussen erreichbar.

 

[fstaske]

Bei FTP wird der Login in Klartext übertragen. Wenn schon, dann S-FTP.

Wie meinst du das, davon habe ich noch nichts gehört.

 

[marzk]

https://de.wikipedia.org/wiki/SSH_File_Transfer_Protocol

 

[Sannyboy111985]

Wie meinst du das, davon habe ich noch nichts gehört.

Dein Passwort steht quasi auf einer Postkarte

Die VPN Lösung ist sicherer und löst dein "Auswahl" Problem.

 

[Raijin]

Wie meinst du das, davon habe ich noch nichts gehört.

Ich meine das so, dass du zB im Cafe hockst und dich in deinen FTP einloggen willst, der Typ am Tisch nebenan aber deinen Login mitlesen kann - ganz ohne großes Hacken, einfach nur "Finger anlecken und in den Wind halten" (=> WLAN mitlesen).

Jetzt kann man natürlich vortrefflich darüber diskutieren wie wahrscheinlich das ist (weil man zB nur vom Kumpel aus einloggt), aber das ändert nichts an der Sache. FTP als solches ist unsicher, wenn man keine Gegenmaßnahmen ergreift (zB S-FTP). Je nach verwendeter FTP-Server-Software ist das sogar nur ein Klick.


Im deutschen Wiki steht es nicht so deutlich drin, daher hier der englische Text:

FTP was not designed to be a secure protocol, and has many security weaknesses.
[..]
FTP does not encrypt its traffic; all transmissions are in clear text, and usernames, passwords, commands and data can be read by anyone able to perform packet capture (sniffing) on the network

Quelle: Wikipedia

Netzwerksniffer sind keineswegs nur Hackertools, sondern weit verbreitet und einfach zu beziehen. Mit etwas google kann man innerhalb weniger Minuten einen Laptop so einrichten, dass er munter das WLAN vom Hotspot mitliest.. WireShark ist das bekannteste Tool. Wie viele andere hier im Forum auch, nutze ich es beispielsweise um Fehler in der Netzwerkkommunikation aufzuspüren, also völlig legal und unkritisch.

 

[fstaske]

Der eine FTP Server ein eine MyCloud von WD.

Ich kann SSH und FTP einzeln aktivieren und deaktivieren.
Wenn ich FTP deaktiviere, kann ich dann noch mit einem FTP Client zugreifen, oder muss ich das dann mit einem SSH Client wie Putty machen?
Oder muss es für SFTP eine eigene Einstellung geben, um diese zu nutzen?

 

[Yuuri]

SSH aktivierst du, FTP deaktivierst du. Alle gängigen FTP Clients sollten SFTP unterstützen. Das ist einfach nur ein emuliertes FTP nur über SSH. Putty benötigst du nur, wenn du Konsolenzugriff brauchst.

 

[strex]

Na wenn dann schon FTPs, reales FTP über TLS/SSL. Spart denn SSH Server, wenn nur FTP auf der Kiste läuft. Was dann auch mögliches Rechtemanagement außerhalb von OS User/Gruppen und Dateirechte behandelt.

 

[chrigu]

beide sftp server eine eigenen port zuweisen z.b. sftp server 1 hat port 2222, sftp server hat port 22223 und entsprechend im router konfigurieren

 

[Raijin]

Ich würde so oder so nur über VPN gehen. Das erschlägt zum einen den Sicherheitsaspekt und zum anderen die Problematik der verschiedenen FTPs (wenn man es denn nicht schafft im FTP-Client den Port umzustellen...). Darüberhinaus hat man damit nur noch einen Eingang ins heimische LAN und nicht zwei. Früher oder später möchte man ja vielleicht auch per SMB Netzlaufwerke hinzufügen oder sonstige Dinge im LAN von außen erreichen. Bei einem VPN muss man prinzipiell nix mehr ändern, bei Portforwarding macht man mit jedem neuen Port stets neue Fenster und damit potentielle Sicherheitslücken auf...

 

[Pitam]

SFTP ist schon mal der richtige Weg, Unterschiedliche Ports sind pflicht sofern du kein VPN aufbaust....

Aber bei den Ports ist keiner so doof und nutzt die Standardports.... würfel dir ne 5 stellige Zahl und in deinem Router wird dieser Port dann auf Server 1 und Server 2 gemapt. Klar findet man diese Ports durch Scanns von außen, aber sofern man von normal verwendeten Ports abweicht finden manche Scanner welche eben nur die normalen Ports abtasten deine Server nicht.

 

[iDont_Know]

einfach Ports ändern bringt es nicht viel, einfach mit telnet auf diesen Port gehen und schon kriegt man paar Infos:

 

[Raijin]

Den Standardport zu ändern ist zwar streng genommen kein Sicherheitsfeature, es ist eher eine Vernebelungstaktik.

Security by obscurity

Einen Angreifer, der es gezielt darauf abgesehen hat genau diesen Server anzugreifen, kann man damit nicht abhalten. Ein simpler Portscan und die Sache hat sich erledigt. Das Gros der Angriffe sind aber simple Bots, die eine IP-Range abgrasen und nur die Standardports abfragen. Server, die auf individualisierten Ports laufen, werden mit hoher Wahrscheinlichkeit auch einigermaßen gesichert sein. Es wäre nicht sonderlich effizient, wenn der Bot bei jeder IP alle 65535 Ports durchscannt, um dann festzustellen, dass der Server doch gesichert ist.

Geänderte Ports sind also bestenfalls einbruchhemmend. So als wenn der Einbrecher daheim erstmal das Schloss suchen muss, das er knacken will.. Bevor er es gefunden hat, hat der Nachbar schon die Polizei gerufen

 

[MusicJunkie666]

Ich würde sagen, der Vergleich hinkt.

So als wenn der Einbrecher daheim erstmal das Schloss suchen muss, das er knacken will.. Bevor er es gefunden hat, denkt er sich 'ne, zu viel Arbeit, kein Bock'

würde es mMn besser treffen.

Eine Sicherheitsmaßnahme ist das aber trotzdem nicht.

 

[strex]

Eine Sicherheitsmaßnahme ist das aber trotzdem nicht.

Macht NMAP in einer Minute. Das hält lediglich Portscanner mit fixer Range auf, mehr auch nicht.

 

[Raijin]

@MusicJunkie: Du hast Recht, das triffts eher.


Die Sache ist die: Auf dem Standardport (zB SSH) steht man unter Dauerfeuer. Wenn man sich das Logging eines Servers mit Port 22 anschaut, läuft einem unweigerlich ein kalter Schauer über den Rücken. Sobald man den Port ändert, wird es schlagartig still und es tauchen nur noch sporadische Loginversuche auf.

Es ist alles eine Frage der Wahrscheinlichkeit. Wenn man 1000 Angriffen ausgesetzt ist, ist die Gefahr, dass jemand Erfolg hat, deutlich größer als wenn es nur 5 Angriffe sind. Es ist und bleibt kein Sicherheitsfeature, aber es macht schon einen Unterschied ob man sich auf dem Präsentierteller förmlich anbietet oder eben versteckt. Einen kompletten Portscan wird nur jemand machen, der ganz gezielt in diesen einen Server rein will. Gefühlte 99,99% der Angriffe (auf private Server) sind reines Abklappern und Warten auf Zufallstreffer.

Geänderte Ports können also Teil eines Sicherheitskonzepts sein, müssen es aber nicht. Kombiniert man das mit einem starken Passwort und zB fail2ban oder ähnlichen Block-Scripts, hat man schon ein ziemlich hohes Maß an Sicherheit. Nur einige Angreifer finden überhaupt den Port, die müssen dann ein starkes Passwort knacken und haben dazu nur 3 Versuche pro Tag :-)

Für sich alleine (also mit schwachem Passwort und ohne fail2ban ) ist das selbstverständlich reine Augenwischerei. So wie die Kernkraftwerke, die als "Verteidigung" Nebelmaschinen einsetzen. Kein Scherz, gibt es wirklich. Schade nur, dass sich der Atomreaktor im Gegensatz zu Ninjas im Rauch nicht in Luft auflösen kann ^^

Wie dem auch sei, die Problematik erübrigt sich, wenn man ein VPN verwendet. Innerhalb des LANs laufen die Dienste auf Standardports und von außen ist einzig und allein das VPN zu sehen. SSH ist bei mir die einzige Ausnahme (mit sehr starken Passwort), die neben dem VPN von außen erreichtbar ist, um potentielle VPN-Probleme beheben zu können.

Allmählich wird es aber zu OffTopic.

 

[Checkup]

Entweder zwei TCP-Ports über den NAT-Gate nach außen. Oder die Hosts + Ports über ihre IPv6-Adresse über den Router nach außen "anbieten".

Ich würde erst mal klären, ob überhaupt noch echtes IPv4 anliegt. Wenn nein, dann muss man auch kein Portmapping machen.