proftp TLS und die Firewall

[maly]

Hallo zusammen!!!

Das Problem mit dem ich mich seit zwei Tagen beschäftige, ist der Aufbau einer sicheren Verbindung mit meinen in der DMZ stehenden FTP Server.

Als Firewall benutze ich den IPCop. Eine unsichere Verbindung ist sowohl aus dem LAN als auch von extern durchführbar. Bis jetzt ist es mir gelungen eine sichere Verbindung nur vom LAN aufzubauen, d.h. vom 192.168.1.50 auf 192.168.5.50. Diese funktioniert problemlos.
Sobald ich mich aber von extern anmelden möchte, führt der Server zwar die Authentifizierung durch, jedoch bleibt er beim LIST hängen und zeigt den Inhalt des FTP-Verzeichnisses nicht an.

Meine Vermutung ist, dass es an den Firewallregeln liegt. Bis jetzt habe ich bereits unzählige Dosc etc. gelesen, ohne irgendetwas Brauchbares gefunden zu haben.

Ich hoffe Ihr habt einige Tipps für mich?!

VIELEN DANK im Voraus!

Gruß
maly

[VolGas]

Hallo,

ich mußt Dir leider sagen, daß Du Dich an ein sehr schwieriges Thema herangewagt hast.

Bei Dir greifen mehrere Probleme (und Fehler) zusammen:

• die Firewall muß eine ausreichende Lücke für sog. HighPorts offen lassen.
• dem ProFPTD muß mitgeteilt werden, welche er benutzen kann: "PassivePorts x y"
• die FTP-Clients können nur noch im "passive mode" arbeiten. (sollte Standard sein)
• dynamische IP's sind ein ganz prinzipielles (und spezielles!) Problem.
  Es gibt zwar die Direktive ->MasqueradeAddress, aber die kann nicht alle damit
  zusammenhängenden Probleme lösen. (siehe auch die Postings der letzten Tage)
  Hier empfiehlt sich, den Server über z.B. dnydns.org einen festen Namen zuweisen zu
  lassen (jeder einigermaßen aktuelle Router kann automatisch aktualisieren) unter den
  ProFTPD unter dem xinetd laufen zu lassen
• mit sicherer Verbindung kann Du eigentlich nur FTPS (FTP + TLS) meinen.
  Im lokalen Netz wird dies wohl nicht benötigt, aber Du wirst immer ein Problem mit
  Deinem Zertifikat und der dynamischen IP-Adresse haben, da beide nie zusammen
  passen können.

Sorry, aber ein Serverdienst ist eine Sache, die man mit einem heimischen DSL-Anschluß
nur äußerst schwer und unzuverlässig aufbauen und anbieten kann. Ein Server "verlangt"
nunmal ein statisches Umfeld, sprich: eine feste IP. Alles andere...

Noch ein Tipp: bevor Du etwas mit TLS versuchst, stelle zuvor immer zuerst einmal sicher,
daß es auch ohne geht!

mfg.
  VolGas

[maly]

Danke VolGas

In der Tat ist das keine leichte Aufgabe  , jedenfalls habe ich bis jetzt geschafft den FTP Server ohne TLS ans Laufen zu bringen (ich weiss, ist auch keine Kunst).

Ich arbeite mit einer dyn IP und damit auch mit dyndns.org. Was ich allerdings nicht verstehe, warum passen die Zertifikate nicht zueinander.

Nichts anders macht man doch bei der Erstellung einer VPN Verbindung (mit Zertifikaten) oder? Das funktioniert bei mir...

Bei PassivePorts habe ich 60000 und 63000 genommen und diese auf 20 und 21 auf den DMZ Rechner FTP-Server weitergeleitet. Ist das richtig eigentlich?
Die obigen Ports habe ich auch im externen Zugang freigeschaltet...

Vielleicht hat noch jemand einen Rat?!

MFG
maly

[VolGas]

Die Ports nicht auf die Ports 20 und 21 "umbiegen", die müssen 1:1 durchgereicht werden!
Bevor Mißverständnisse auftauchen: eine DMZ ist prinzipiell nach außen komplett offen;
alle Ports werden 1:1 ohne Überprüfung durchgeleitet. Ein Forwarding jedoch leitet nur
einzelne Ports (bzw. ganze Bereiche) weiter.

Die Zertifikate sind wie bei einem HTTP-Server mit ihrem Namen an eine IP gebunden,
sonst könnte sich jemand dazwischen einklinken und falsche Tatsachen vortäuschen.
(man-in-the-middle Problem)

Indem man in dem Zertifikat die IP und den DNS-Namen fest hinterlegt, wird dieses damit
erst vertrauenswürdig, da bei einer Abfrage überprüft wird, ob der aufgelöste DNS-Name
die selbe IP hat wie die Maschine, die antwortet. Stimmt die reale IP und der DNS-Name
der antwortenden Maschine nicht mit dem Zertifikat überein, dann ist etwas gewaltig faul.
"Man" (die Sotware) muß davon ausgehen, daß die Verbindung bzw. das Zertifikat
kompromittiert wurde und damit nicht mehr vertrauenswürdig ist - ganz im Gegenteil!

Ich hoffe, ich konnte das verständlich machen.

mfg.
  VolGas

[maly]

Danke VolGas für die ausführliche Beschreibung ... wie es aussieht werden ich vorerst auf TLS verzichten müssen...

VG
maly