ist unverschlüsseltes FTP ein Problem?

AliManali

cpt sunday flyer
Thread Starter
Mitglied seit
07.03.2012
Beiträge
4.560
Ort
Ostschweiz
Hi

Hoste nun ein altes Game (Flugsimulator). Da gibt es einen Downloadserver dazu, den habe ich reaktiviert. Konkret ist es ein Tool, wo man die Downloads einpflegt, damit die im Client entsprechend strukturiert angezeigt werden. Parallel dazu muss man die Files in einem FTP Server einpflegen, die Downloads werden dann von dort aus gezogen.

Es gibt keine Doku dazu. Ich habe jetzt zwei Nutzer angelegt. Einer für mich zum uploaden (geschieht lokal, ist mir klar, dass da das Passwort im Klartext übermittelt wird), und ein Nutzer Guest ohne PW, der nur die Rechte zum Download hat.

Der Client ist compiliert, und die Config Files seit v5.5 im Binärformat, man kann da also nicht einfach die Configfiles abändern. Würde auch keinen Sinn machen, weil da X Leute den Sim schon installiert haben, und die ISO aus verschiedenen Quellen verfügbar ist, wo ich keinen Einfluss darauf habe. Viele nutzen auch noch die DVD zum installieren.

Sprich ich kann da leider nicht einfach von FTP auf SFTP umsteigen. Die Daten sind da völlig unwichtig, die sind auch sonst bei diversen Quellen verfügbar. Da geht es um Flugzeuge, Flugplätze, Patches, Manuals und sowas. Muss ich mir da Sorgen machen? Oder kann ich das bedenkenlos so laufen lassen?

Gruss und danke
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Muss ich mir da Sorgen machen? Oder kann ich das bedenkenlos so laufen lassen?

...offener Standard-Port ist halt ne EInladung.
Selbst wenn die Daten nicht wichtig sind, gib es genug Idioten, die dann einfach mal die Daten klauen oder verschlüsseln, so dass die eigentlichen User keinen Spaß und Du die Arbeit hast.

Es wäre evtl. einfacher, wenn der Server nicht ersetzt werden kann, die externen User in ein VPN oder SDN zu "zwingen"....SDN, zB zerotier. Dann kann man nur innerhalb des SDN auf den FTP-Server und User muss sich am SDN sicher anmelden.
 
Wuerde da gar nicht soviel Aufwand betreiben. Ihr seid denke ne kleine Community.
Ich wuerde das Teil in der DMZ isolieren, ne WAF (//edit WAF ist natuerlich Bullshit, aber irgend ein Netzwerkgeraet kann sicher dabei helfen deinen FTP Port sauber zu halten) davorhaengen, Bandbreite limitieren dass keiner n Scheiß damit treiben kann und fertig.

Alter Downloadserver heißt auch meist dass alte Software auf dem Ding laeuft. Sicher unter root, mit genug anderen Problemen :d
Darum ne kleine VM in die DMZ, das Ding einmal sauber aufsetzen und fertig.
 
Ja, danke.

Naja, über VPN, das hatten wir früher mal. Das war die Bastellösung, bin froh, davon weg zu sein. Ja ist alte Software, wurde von 2006 bis 2016 rum entwickelt. Derjenige, welcher den Server vorher hatte, hat halt den Download Server gar nicht erst laufen lassen. Der wusste wahrscheinlich schon warum. Dann mussten sich die User alle Mods im Internet zusammen suchen. Ist halt schon cool jetzt, dass man das Spiel jetzt wieder direkt im Client pimpen kann.

Es kommen zwar nicht viele Leute online, aber der Sim wird schon noch rege benutzt und die Community bastelt fleissig weiter Inhalte dazu. Mein Client ist mittlerweile auf 32 GB angewachsen. Innert der ersten 24h hatte ich 16000 Connections und die Leute haben sich 7000 Patches herunter geladen. Sind halt auch viele Chinesen die den Sim nutzen, vor allem am Morgen MEZ. Die nutzen ihn zum Teil in der Schule für Englischunterricht (ja echt), oder die älteren Chinesen im Internetcafe. Die sind ganz heiss darauf. Hatte erst auch überlegt, den GeoIP Filter zu nutzen, aber ich lasse meine chinesischen Freunde mitspielen.

Das Teil läuft natürlich in der DMZ hinter einer Firewall. Im Moment noch eine Zywall 110, aber eine Selbstbaulösung mit 6x 10 Gbit steht schon in den Startlöchern. Ist nicht die einzige Software die Standardports bekommt von aussen, aber die anderen Sachen sind halt aktuelle Software. So z.B. ein Hostingpanel. Bislang lief das erstaunlich schmerzfrei.

Naja, werde das mal so laufen lassen. Wenn ich alles eingerichtet habe, mache ich einen ZFS Snap, und stelle danach die vm auf non persistent. Dann kann ich die VM herunter fahren, und bin wieder auf meinem Stand falls mich mal einer hackt. Das hätte ich eh so gemacht. Ging mir mehr darum, ob mich da einer anderweitig missbrauchen könnte per ftp, oder so. Hatte z.B. vor Jahren mal das Problem, dass jemand meine Firewall per reverse DNS oder wie das hiess missbraucht hatte. Da hat mir mein Provider den Saft abgedreht. Hatte da mal einen echten Pentester von denen am Apparat, der hat mir dann geholfen, das zu fixen.

Herunter laden dürfen die soviel sie wollen, habe es eh auf 500 Mbit/s begrenzt, und 10000 pro Chunk.
 
Ich wuerde den FTP Server bzw. das Mount-Verzeichnis einfach Read-Only auf der Buechse einhaengen und fertig.
Dann kann - egal was mit dem FTP Server passiert - schon Fileberechtigungsmaeßig kein Missbrauch geschehen. Somit solltest du auch relativ alten Kram einigermaßen Sicher im Internet hosten koennen
ohne dass dir das SEK direkt die Tueren eintritt.
 
Ich wuerde den FTP Server bzw. das Mount-Verzeichnis einfach Read-Only auf der Buechse einhaengen und fertig.
Ich denke das wäre zwar eine Maßnahme, aber es geht wohl eher darum, dass man überein präpariertes Datenpaket Code auf dem Server ausführen kann.

Das FTP an sich ist für reine Downloads völlig unproblematisch. Problematisch ist nur die verwendete FTP-Server-Software - wenn die Sicherheitslücken aufweist und der Server als Systembenutzer läuft (was Dienste ja oft tun), dann kann man so nen Server relativ schnell übernehmen. Ich wüsste jetzt auchkeinen klassischen FTP-Server (vsftpd), der noch aktuelle patches bekommt.

Eine Implementierung, die ich heute nehmen würde, wenn ich es müsste, wäre vermutlich unFTP (https://github.com/bolcom/unFTP). Die ist in RUST geschrieben und wird noch entwickelt. Den würde ich dann irgendwie versuchen zu sandboxen bzw. zumindest mit eingeschränkten Rechten laufen lassen.

Dann sollte das nicht all zu riskant werden.
 
Wenn der Downloadserver öffentlich erreichbar ist, so ist das Hauptrisiko weniger ein Datenabfluss unwichtiger Daten sondern:

- Bei einem Netzscan wird eine Anfälligkeit entdeckt und ausgenutzt
- Der Server wird für Schadsoftware mißbraucht (DoS, böse Scripts, Steuerserver für botnets etc )
 
Der Server wird für Schadsoftware mißbraucht (DoS, böse Scripts, Steuerserver für botnets etc )

Ja, genau das meinte ich damit. Weil da ist alles voll unsupportet, und ich hoste den Crap noch. Will einfach nicht, dass es Ärger gibt deswegen. Der Sim selbst managed alles per UDP, mir egal.

Denke, ziehe den Download Server mal noch in eine separate NAS VM um. Viel mehr liegt halt nicht drin, um zusammen flügerlen.
 
- Der Server wird für Schadsoftware mißbraucht (DoS, böse Scripts, Steuerserver für botnets etc )
Genau das kann man doch mit nem passendem Netzwerkgeraet davor verhindern.
Gibt mehr als genug Inspect-Moeglichkeiten auf Netzwerkebene um so n Quatsch zu unterbinden.
Hier gehts ja auch nur um plain ftp. Also haste nichtmal aerger wenn du mitm spielst.

Quasi jede next-gen-fw kann dafuer sorgen dass der Server sich bei 'Fehlverhalten' offline wiederfindet. :d

Im Grunde ist die Aufgabe hier doch mit moeglichst wenig Aufwand eine einigermaßen sichere und vertretbare Loesung zu finden.
 
Du sagst, das die User sich früher alles selbst runtergeladen und zusammen gesucht haben, d.h. die Software kann auch "manuell" bespielt werden.

An der Stelle wäre die Frage, ob es zwingend dieser spezielle uralte FTP Server sein muss, oder ob man einen eigenen verwendet, wo dann zwar alles zentral bereit steht, und nur wenig nacharbeiten für die User erlediogt werden müssen um deie Ptaches ins Spiel zu bringen.
 
Ja, der Content ist aus zig Quellen verfügbar, siehe z.B. meine Website in der Signatur. Problem ist halt, dass es den meisten User zu kompliziert ist da in verschiedene Verzeichnisse zu kopieren, oder sie schlicht die Möglichkeit nicht kennen, und dann auf einem uralt Patchstand sind. Gerade für die Chinesen ist das eher schwierig zu lösen. Die sagen im Sim auch meist, dass sie gar nicht auf meine Website kommen, weil die Site aktiv von China geblockt wird.

Ich hatte eine zeitlang auch den Plan, einen Installer dazu zu bauen, der die Files dann von meinem Server zieht. Aber das ist ja jetzt nicht mehr notwendig, weil ich das über den alten Client lösen kann.

Der uralt Filezilla wird natürlich noch ersetzt.
 
Das Problem wird sein dass der Client absolut statisch gebaut ist und alle URLs etc warscheinlich hardcoded sind. Wenn dann muesste Ali iwas auf seiner Seite bauen um das moeglich zu machen.
 
Ja, richtig. Man müsste im Client angeben, dass der einen anderen Port, bzw. SFTP nutzt. Und das geht aus genannten Gründen nicht.
 
Okay, Jungs, danke. Habe es hingekriegt, ganz ohne ftp. Wie bleibt geheim, sry. Port 21 wurde wieder vernagelt.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh