[tavoc]

Hallo,

unter anderem betreibe ich für mich einen FTP Server um darüber die Backups der Clients auf den Server abzulegen.
Diese Backups sind verschlüsselte RAR Dateien und weiterhin ist nur FTPs (1024bit) erlaubt.

Ist es sinnvoll einen höherwertigen Schlüssel zu benutzen (2048, 4096) und lassen sich noch weitere Schutzmaßnahmen treffen?


Gruß

tavoc

[blaha]

Eine gute Schutzmaßnahmen ist auch noch einen nicht Standard Port zu verwenden! Also nicht Port 21 für FTP sonder irgendwas hohes, etwa 4583 o.ä.

MfG

[tavoc]

Die clients führen das Backup automatisiert aus und verschieben es dann per FTP auf der Server.

Ich hab mich erstmal für 1024 bit entschieden, weil der schwächste Client (1,5 ghz pentium m), bei 3 mb/s übertragungsbandbreite schon bei 100%cpu last ist. Serverseitig ist die Auslastung zwar auch etwas höher, aber dort stehen noch genug Ressourcen zur Verfügung.

Ich werde mal einen Test mit 4096bit probieren.


Ich glaube nicht das die Fritzbox oder Firebox PortKnocking unterstützt. und den Windows Server würde ich ungern komplett nach aussen öffnen, damit das irgendeine komische Softwarefirewall kann.

Momentan steht der Server hinter einer Fritzbox, die nur den FTP Port, HTTPS und einen High range bereich für passives ftp durchlässt. Dahinter dann eine watchguard firebox, die das ganze nochmals prüft.

Wäre SFTp (port 22) zu FTPs eine gute alternative? Da fällt mir jedoch kein guter Windows SFTP Server ein, der das auch kann. Jetzt läuft zFTP Server...

[blaha]

Zitat (funky_monkey: 24.01.2009, 13:22)

Ja genau, weil nmap ja auch keine Ranges kann und nicht in der Lage ist, rauszufinden, was für ein Dienst läuft

Ich denke aber nicht das sich viele Leute die Zeit nehmen und bis zum Port 4583 zu scannen. Es werden doch meist die Standard Ports gescannt: Web, Mail, SSH, FTP

MfG

[blaha]

Das mag natürlich sein. Aber die 08/15 Scanner kann man sich so schon mal vom Hals halten!

[bb83]

Zitat

Eine gute Schutzmaßnahmen ist auch noch einen nicht Standard Port zu verwenden! Also nicht Port 21 für FTP sonder irgendwas hohes, etwa 4583 o.ä.

security by obscurity ?

Warum überhaupt ftp?

Dieser Beitrag wurde von bb83 bearbeitet: 25. Januar 2009 - 19:05

[tavoc]

wie soll ich denn sonst die daten von entfernten Clients über das Internet versenden?
Und sftp/ftps sind ja recht gut verschlüsselt.

Weiterhin sperrt der FTP Server nach 5 Versuchen die IP für 1 Stunde.

WebDav Freigaben finde ich z.b. nicht gut.

[schrämp]

das mit dem Port bringt schon was, damit ist man schonmal 99% der Internetidioten los und wer nach FTP (oder besser gesagt Pubs) scannt der nimmt nur den einen Port und nicht mehr, aber derart Leute scannen auch ein paar IPs mehr

ansonsten würd mir noch PortKnocking einfallen, da wär dann sogar egal auf welchem Port

[tavoc]

so ich hab den ftp jetzt auf einen highport und zusätzlich eine VM als Honeypot auf port 21, dort befinden sich aber nen paar testdaten.

Die VM ist ja eh isoliert, und hat kein zugriff auf das restliche netz.

[bb83]

Zitat

wie soll ich denn sonst die daten von entfernten Clients über das Internet versenden?

vpn -> nfs
sshfs
rsync(d)
usw...

[tavoc]

Zitat (bb83: 26.01.2009, 20:00)

vpn -> nfs
sshfs
rsync(d)
usw...

zu sshfs --> SSHFS steht für Secure SHell FileSystem und ist ein Dateisystem für FUSE und kann damit auf Linux ...

Ich habe 90 % Windows Clients und nen Windows2008 Server.

VPN ist nicht möglich, das es einige CLientumgebungen nicht erlauben, und es macht sich auch schwer die Clients dynamisch ins VPN einwählen zu lassen. Weiterhin will ich nicht das sich die Clients hier ins lokale Netz einwählen können und somit auf die Freigaben sichtbar sind.

NFS --> wohl eher SMB, aber ne überlegung wert.

rysnyc kannte ich nocht nicht, schau ich mir an

Wobei diese Lösungen auch wieder Ports benötigen und theoretisch angreifbar sind. Und wie sieht es mit der Verschlüsselung der Daten bei der Übertragung aus?

Und rysnc ist prinzipiell das gleiche wie SFTP, Protokoll über SSH Port (soweit ich verstanden habe). Die Vorteile die ein rsync-diff bietet kann auch von der Backuplösung geliefert werden. Wichtig ist mir, das diese Daten in einer benutzbaren Form auf dem Server liegen. Also keine propritären Programme benötigen um ein Restore auszuführen.

Gruß

tavoc

[bb83]

Zitat

Ich habe 90 % Windows Clients und nen Windows2008 Server.

Ok, das grenzt das ganze wieder deutlich ein

Zitat

VPN ist nicht möglich, das es einige CLientumgebungen nicht erlauben, und es macht sich auch schwer die Clients dynamisch ins VPN einwählen zu lassen. Weiterhin will ich nicht das sich die Clients hier ins lokale Netz einwählen können und somit auf die Freigaben sichtbar sind.

Ok, bei dem dynaminschen Einwählen gebe ich dir Recht, sowas geht unter Linux wesentlich einfacher.
Bzgl der Freigaben, gibt es ja div. Möglichkeiten

Zitat

NFS --> wohl eher SMB, aber ne überlegung wert.

Jop, bei windows dann über smb. Das ganze dann über vpn(bspw. openvpn -> sehr robust) macht die Sache sicher.

[sкavєи]

Zitat (tavoc: 25.01.2009, 20:06)

Weiterhin sperrt der FTP Server nach 5 Versuchen die IP für 1 Stunde.

Hat das 'nen bestimmten Hintergrund warum da 5 Versuche eingestellt sind? Ich finde das ganz schön viel. Ich habe bei meinen Servern überall 2 Versuche eingestellt und das auch nur FALLS ich mich irgendwann mal bei der Eingabe des SSH-Key-Passwortes vertun sollte. Das ist mir aber bisher noch nie passiert. Da würde theoretisch auch 1 Versuch reichen. Ich gehe ja davon aus, dass deine Backups automatisiert sind, d.h. die Schlüssel müssen sowieso in deinen Scripten stehen und können daher gar nicht falsch sein.