SERV-U Corporate (FTP SERVER - SECURITY)

[xoOr]

Hi, so ich habe als selbständigen Auftrag einen Serv-U (Corporate) Server aufzusetzen. Dieser sollte in der DMZ stationiert sein.

Ich habe den Server (W2K3 - SE) mit der FTP-Server SW in unserem TestLab installiert. Dieser läuft bereits für persönliche Tests. Die Verbindung aus gleichem Netzsegment funktioniert auch einwandfrei.

Da der Server "mal" richtig eingesetzt werden sollte, brauche ich wichtige Security Infos. Wie oben bereits erwähnt liegt dieser dann in der DMZ.

Ich habe ein bisschen Firewall, Router Erfahrungen aber für diese Aufgabe benötige ich mehr als das.
Natürlich habe ich mir schon gedanken gemacht, dass der Server via Browser "nur" via HTTPS ansprechbar ist
- und, dass die gesamte Connection mit SFTP (FTPS) dienen sollte.

Die User sind grösstenteils in userer Domäne. Obwohl es doch ausnahmen gibt, welche mit z.B. meinem "OK" den Server auch erreichen müssten.
Mein Ziel ist natürlich, dass dieser nicht für alle ansprechbar ist und, dass die Verbindung - von A-Z sprich vom Loginfenster - Abmeldefenster so sicher wie Möglich verläuft.

Wie gesagt mir mangelt es ein bisschen an Know-How bei der FTP Sache, ich bitte Euch um Hilfe was ich umbedingt alles konfigurieren/einstellen/beachten muss. Eine kleine Anleitung von Euch wäre äusserst hilfreich- "Zuerst das, dann das, dann das erledigen"

Besten Dank bereits schon im voraus,
lg

xoOR

[thbrueck]

Hallo xo0R,

zunächst einmal wollte ich wissen, ob du den Windows 2003 FTP- Serverdienst verwendest oder ein Third Party Produkt ?

Dann gib mir mal Input, was Serv-U (Corporate) bedeutet ?

Warum muss der Server in einer DMZ stehen ? Dadurch wird ja ein erhebliches Sicherheitsloch aufgerissen, dass du dann durch zusätzliche Sicherheitsmaßnahmen stopfen willst !

Gruß,
Thomas

[xoOr]

Hi erstma,

Nein, ich verwende ein 3rd Party Product Namens - Serv-U Ver:Corporate

Ich dachte in der DMZ wäre dieser viel sicherer, abgeschottet und die vielen Routings würden diesen von "gefährlichen Leuten" fern halten.

Es wird auch evtl. meine Abchlussarbeit (ist aber noch nicht sicher), daswegen dachte ich auch an die DMZ, etwas mehr = etwas mehr eben - aber natürlich ist die DMZ 90% aus Sicherheitgründen gewählt.

Besten Dank
Robert

[thbrueck]

Darin liegt zunächst dein Denkfehler. DMZ = Demilitarisierte Zone Diese Netzwerkzone befindet sich zwischen LAN und WAN und wird absolut separat konfiguriert, muss aber andererseits gewährleisten, dass wiederum LAN- und WAN User darauf zugreifen können. Sind alle nutzungsberechtigten User auch Teilnehmer des LAN, ist eine solche Konfiguration überflüssig. Alternativ wird daher gerne ein Serverpark im LAN etabliert, der über VPN den berechtigten LAN- Usern alle Resourcen zur Verfügung stellt und WAN- Usern nur entsprechend freigeschaltete Dienste wie FTP oder HTTP. Das Forwarding übernimmt ein und der selbe Router. In der DMZ brauchst du im Prinzip schon zwei Router unterschiedlicher Konfiguration. Natürlich erreichst du durch reine "Secure" Zugriffe wie https ein höheres Maß an Sicherheit, sperrst aber dadurch auch evt. User unbeabsichtigt aus, deren Sicherheitskonzept nicht auf das deine abgestimmt ist.
Technisch gesehen, erstellst du ein eigenes Subnet, welches du über einen Router mit dem LAN verbindest. Zusätzlich verbindest du über einen zweiten Router dieses Netz, das im Prinzip nur aus deinem Server besteht, mit dem Internet. Dieser Router wiederum sollte nicht der Standardrouter des Firmeninternetzuganges sein, sondern am besten ein zusätzlicher separater Internetzugang.

Gruß,
Thomas

[xoOr]

Hi besten Dank für die DMZ Info, jep das war mir klar, dass die DMZ als Trennung für LAN-WAN ist. Wie ich bereits erwähnt habe, sind die meisten Kunden "externe" natürlich haben wir auch "interne" Leute die da irgend etwas up/downloaden werden - ich werde die DMZ Idee doch nochmals überdenken und mit meinem vorgesetzten besprechen, besten Dank für die Tipps.

Nun was die Ports/Security angeht, kannst du mir da auch evtl. etwas kleines dazu sagen ? Ist es Sinnvoll nun mit Implizit SSL zu fahren ? Ich wäre für die Einsetzung von SFTP und HTTPS, FTP und HTTP wäre sehr wahrscheinlich zu unsicher was denkst du ? Hast du da irgendwelche Tipps was bei der Integration des Servers was Security angeht, umbedingt ausgeschlossen werden müsste ? bzw. was umbedingt laufen muss ?

Besten Dank
Thomas

lg Robert

[thbrueck]

Meines Wissens benötigt man für SFTP bzw. FTP over SSL spezielle Clientsoftware. Es ist vielleicht auch möglich, dass verschiedene Browser dies unterstützen. Daher habe ich darauf verwiesen, dass die User entsprechend konfigurierte PC- Systeme verwenden müssen. Ansonsten werden häufige Supportanfragen nicht ausbleiben.

Hinter einem eigenen Router, der lediglich die Ports für die genutzten Dienste forwarded, ist dem Schutz eigentlich genüge getan. Aktueller Patchlevel, evt. Antivirensoftware usw. vorausgesetzt, sollte der Server auch nicht als Produktivsystem betrieben werden. Die Ports sind wahlfrei und lediglich von den genutzten Diensten und Programmen abhängig:

HTTP = 80
FTP = 20,21 (passive Mode = 3128)
HTTPS = 443

Das wären die Default- Ports. Für SFTP bzw. FTP over SSH werden keine Default- Ports verwendet und ist wohl weitgehend von der serverseitigen Konfiguration der verwendeten Software und/oder des Webservers abhängig.
Weitere Infos hier: http://de.wikipedia.org/wiki/Secure_Fil ... r_Protocol

Zusätzlich sollte man die Domain- Authentifizierung des Domaincontrollers verwenden, um Usern einen Zugang zu ermöglichen. Man könnte für Nicht- Domainuser ein gemeinsames, restriktives Konto erstellen oder eben allen berechtigten Usern im FTP- Server eigene Konten erstellen.

In der DMZ muss natürlich wieder eine Kommunikation zwischen Domaincontroller und FTP- Server über Router konfiguriert werden, sodass die Authenfizierung funktioniert.

Macht man es anstatt DMZ über eine VPN- Verbindung ist das übrigens zusätzlich ein Sicherheitsfeature. Man könnte sogar noch die DMZ mit dem VPN- Server koppeln, der Phantasie sind keine Grenzen gesetzt...

Gruß,
Thomas

[ayin]

SFTP verwendet meistens den Port 22, da es ja eben SSH ist.
Eine DMZ macht für mich nur Sinn als Honeypot oder Tarpit.

[xoOr]

Hallo besten Dank für die Infos,
hab eine Datei upgeloadet mit einfacher DMZ Abbildung, mehr kann ich leider nicht veröffentlichen.

Hmm, werde zu 80% von Extern, nur die HTTPS/SFTP Verbindung erlauben, Intern solle HTTP/FTP reichen oder nicht ?

Könnt Ihr mir sagen was mit diesem DMZ Schema die schlauste Variante wäre, was Security und Zugriffe angeht ??

Besten Dank und viele Grüsse
Robert

[ayin]

Dieses Visio-Bild hättest du auch als JPG hier herladen können, das wäre einfacher gewesen

Aber zum Aufbau selbst. Interessant und halbwegs sicher wäre sowas:

[thbrueck]

Hmm, werde zu 80% von Extern, nur die HTTPS/SFTP Verbindung erlauben, Intern solle HTTP/FTP reichen oder nicht ?

Das mit den 80% verstehe ich nicht ? Intern sollte HTTP/FTP ausreichen, doch wenn du sowieso verschlüsselte Kanäle verwendest, warum dann nicht flächendeckend. Somit könntest du die Standardports 20,21,80 auch noch sperren, was zusätzlich Sicherheit bieten würde (nicht erheblich).

Könnt Ihr mir sagen was mit diesem DMZ Schema die schlauste Variante wäre, was Security und Zugriffe angeht ??

Das ist schwer zu sagen, ohne selbst im Projekt zu stecken. Du machst das schon...

Gruß,
Thomas