FTP verbindung sicher?

[funman313]

Hi,

ist eigentlich eine anonyme FTP Verbindung übers I-Net zur FritzBox sicher oder genau so unsicher wie eine Telnet Verbindung übers I-Net zur Box?

 

[bodega]

Nunja. Schwer zu sagen. Solange du nur bestimmte Bereiche freigibst (z.B. USB), sollte das kein großes Sicherheitsrisiko darstellen.
Ob der FTP Server irgendwelche Hintertürchen hat, kann man leider nie ausschließen. Das ist aber bei jedem Programm so.

Sicherer wäre es mit Passwort.

 

[knox]

Bei einer normalen FTP Verbindung werden Benutzername und Passwort - aber auch Nutzdaten wie Verzeichnisinhalte und übertragene Dateien - unverschlüsselt durch das Internet gesendet.

 

[funman313]

Danke für die Info.
Wie kann ich denn eine nicht normale Verbindung, also die Daten Verschlüsselt per FTP übertragen?

 

[jojo-schmitz]

mit ssh/scp (Dropbear auf der Box). Da geht sowohl Username und Passwort als auch die Daten verschlüsselt über's Netz. Duch eine solche SSH Session kann man auch weitere Protolle tunneln, z.B. http zum Webinterface der Box, oder eben auch ftp.

Tschö, Jojo

 

[chked]

...nicht normale Verbindung, also die Daten Verschlüsselt per FTP übertragen?

Indem du einen SFTP-Server einsetzt siehe z.B. http://de.wikipedia.org/wiki/Secure_File_Transfer_Protocol oder die Daten selbst mit einem externen Programm ver- und entschlüsselst. Die Anmeldedaten sind im Fall 2 allerdings immer noch "öffentlich".

 

[funman313]

Brauche die Verbindung zu meiner fritzbox, dropbear habe ich auch schon drauf,mit putty die getunnelte Verbindung zum Webinterface also Port 80 bekomme ich auch hin, doch wenn ich den Port 21 fürs FTP tunneln will klappts nicht. Habe mit Smart FTP. Leech FTP und dem Total Commander anschließend probiert eine Verbindung zum localhost aufzubauen, but no way...
Gibt da noch was zu beachten???

 

[Friedhelm]

Hallo,

Hast du bedacht, dass FTP immer 2 Ports benötigt (21 für Control und 20 für Data)? Die fiesen Kleinigkeiten bzgl. Active und Passive FTP beachtet? Im Normalfall ist es so, dass für den eigentlichen Datentransfer der Server eine Verbindung zum Client aufbaut. Also genau vertauschte Rollen.

Ich habs noch nie vernünftig hingekriegt, eine FTP Verbindung über SSH zu tunneln. Nutze einfach SCP. Klappt stabil und schnell.

 

[funman313]

Habe ich nicht, aber auch wenn ich den Port20 mit tunnel klappts nicht.
Hier mein log vom Smart FTP

[22:08:32] SmartFTP v2.5.1008.27
[22:08:32] Ermittle IP zu Hostnamen localhost
[22:08:32] Verbindung mit 127.0.0.1 Port: 21
[22:08:32] Verbunden mit localhost.
[22:08:32] 220 FRITZ!Box Fon WLAN 7170 (UI) FTP server ready.
[22:08:32] USER anonym
[22:08:32] 331 Password required for anonym.
[22:08:32] PASS (unsichtbar)
[22:08:32] 230 User anonym logged in.
[22:08:32] SYST
[22:08:32] 215 UNIX Type: L8 Version: Linux 2.6.13.1-ohio
[22:08:32] Erkannter Servertyp: UNIX
[22:08:32] FEAT
[22:08:32] 500 'FEAT': command not understood.
[22:08:32] TYPE I
[22:08:32] 200 Type set to I.
[22:08:32] REST 0
[22:08:32] 350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.
[22:08:32] PWD
[22:08:33] 257 "/" is current directory.
[22:08:33] TYPE A
[22:08:33] 200 Type set to A.
[22:08:33] PASV
[22:08:33] 227 Entering Passive Mode (192,168,178,253,8,147)
[22:08:33] Öffne Datenverbindung zu 192.168.178.253 Port: 2195
[22:08:33] LIST -aL
[22:08:54] Ein Verbindungsversuch ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht richtig reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene Host nicht reagiert hat.

Vielleicht fällt einem ja was im log auf...

 

[Friedhelm]

Hier ist das Problem mehr als offensichtlich.

[22:08:32] Verbindung mit 127.0.0.1 Port: 21

Der Control Port wird - planmäßig - über den SSH Tunnel aufgebaut. Das funktioniert.

[22:08:33] 227 Entering Passive Mode (192,168,178,253,8,147)
[22:08:33] Öffne Datenverbindung zu 192.168.178.253 Port: 2195
[22:08:33] LIST -aL
[22:08:54] Ein Verbindungsversuch ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht richtig reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene Host nicht reagiert hat.

Und hier knallt es dann, denn der Daten Tunnel soll direkt zu IP 192.168.178.253 aufgebaut werden, noch dazu über Port 2195. Nix localhost, nix SSH Tunnel => Keine Verbindung. Das wird nie funktionieren, denn der FTP Server wird immer seine IP für den Aufbau des passiven Data Channels mitteilen, der "Ausgang" des SSH Tunnels ist aber auf einer völlig anderen IP.

Fazit: FTP über SSH Tunnel geht nicht.

 

[funman313]

Es muß doch aber eine Möglichkeit geben, Daten sicher übers I-Net zu senden...
Möchte von einem PC, Daten übers I-Net , sicher an eine Festplatte senden, die an einer FritzBox 7170 angeschossen ist.
Kennt da jemand noch eine Möglichkeit?

 

[Friedhelm]

Lies einfach die Antworten, die man dir gibt.

Nutze einfach SCP. Klappt stabil und schnell.

 

[funman313]

Hab mir WinSCP auf dem Rechner installiert, kann mich auch mit dem FritzBox Server verbinden (dropbear ist dort installiert). Sobald ich aber eine Datei rüber schieben will bekomme ich folgende Fehlermeldung:

SCP konnte für den Start der Übertragung nicht ausgeführt werden. Bitte stellen Sie sicher, dass SCP auf dem Server installiert ist und die $PFAD- Variable den Pfad zu SCP enthält. Anstatt SCP können Sie auch SFTP probieren.
Befehl gescheitert mit Beendigungscode 127.

Damit gehe ich mal stark davon aus, das ich SCP und nicht dropbear auf der FritzBox brauche, oder irre ich mich???
Wenn ja, hat einer das Tool für die FritzBox?

 

[Friedhelm]

Hallo,

beim ds-mod kann man sich aussuchen, ob scp Unterstützung dabei sein soll. Das hab ich aber bislang immer nur auf den Client bezogen ...

 

[jojo-schmitz]

Damit gehe ich mal stark davon aus, das ich SCP und nicht dropbear auf der FritzBox brauche, oder irre ich mich???

Dropbear beinhaltet scp
Außerdem muss man noch dafür sorgen, das scp auch im PATH gefunden wird

ln -s /var/tmp/dropbear /var/tmp/scp
cp /etc/profile /var/tmp/profile
echo '$PATH=$PATH:/var/tmp' >> /var/tmp/profile
chmod 644 /var/tmp/profile
mount -o bind /var/tmp/profile /etc/profile

Tschö, Jojo

 

[funman313]

@jojo-schmitz
hab deine Zeilen in meine debug.cfg gepackt, doch leider klappts immer noch nicht.
Habs an folgende Stelle eingefügt

# Aendern des Root Passwortes
cp -p /var/tmp/shadow /var/tmp/shadow.old
sed -e "/root:/s#^root:[^:]*:#root:$PASSWD:#" /var/tmp/shadow.old > /var/tmp/shadow

# In das Lokale Verzeichnis wechseln
cd /var/tmp

# Kopieren von Dateien
cp $usbdir/ssh_wol/dropbear /var/tmp/dropbear
cp $usbdir/ssh_wol/busybox /var/tmp/busybox

# Anpassen der Dateirechte
chmod +x /var/tmp/dropbear
chmod +x /var/tmp/busybox
chmod +x /var/tmp/startpc

# Symlink fuer dropbearkey erstellen
ln -s /var/tmp/dropbear dropbearkey
ln -s /var/tmp/busybox etherwake
ln -s /var/tmp/busybox uudecode
ln -s /var/tmp/busybox uuencode
ln -s /var/tmp/dropbear /var/tmp/scp
cp /etc/profile /var/tmp/profile
echo '$PATH=$PATH:/var/tmp' >> /var/tmp/profile
chmod 644 /var/tmp/profile
mount -o bind /var/tmp/profile /etc/profile

# Dropbear HostKeys


Im tmp Ordner finde ich auch die scp und profile Datei
Den geschriebenen Eintrag $PATH=$PATH:/var/tmp in /etc/profile finde ich auch
Doch wenn ich mich mit WinSCP auf den Server einlogge, dann bekomme ich zwei Fehlermeldungen

1. Befehl 'groups'
fehlgeschlagen mit Beendigungscode 127 und Fehlernachricht

2. Befehl 'pwd'
fehlgeschlagen mit Beendigungscode 0 und Fehlernachricht
-sh: groups: not found.

Bekomme aber nach dem bestätigen der Fehlermeldungen die Oberfläche der FritzBox in WinSCP angezeigt, kann nur keine Daten hin und her schieben...

Habe ich noch was falsch gemacht???

 

[jojo-schmitz]

die 'groups' Fehlermeldungen kann man in WinSCP verhindern, Umgebung/SCP/Shell/Gruppennamen anzeigen bzw. Gruppen lesen.
Ansonsten kann ich nix Falsches erkennen, bei mir geht's so.

Tschö, Jojo

 

[funman313]

Habe "Gruppen lesen" deaktiviert
Bekomme aber immer noch die Fehlermeldung

SCP konnte für den Start der Übertragung nicht ausgeführt werden. Bitte stellen Sie sicher, dass SCP auf dem Server installiert ist und die $PFAD- Variable den Pfad zu SCP enthält. Anstatt SCP können Sie auch SFTP probieren.
Befehl gescheitert mit Beendigungscode 127.

Weiß jemand einen rat?

 

[jojo-schmitz]

Kannst Du am telnet/ssh prompt ein "scp" aufrufen?
Was sagt "echo $PATH"

 

[funman313]

Sorry, weiß aber nicht was du mit "Kannst Du am telnet/ssh prompt ein "scp" aufrufen?" meinst, kannst du was genauer werden???

# echo $PATH ergibt
/usr/local/bin:/usr/bin:/sbin:/bin

Danke für die Hilfe...