[IIS7] Secure FTP implementatie, welke methode?*

Hallo allemaal,

Momenteel bieden wij een FTP dienst aan bij sommige van onze klanten. De bedoeling van deze dienst is dat zij bestanden erop zetten voor ons en visa versa. Dit gebeurt allemaal in gewone ftp sessies. Zoals jullie dat weten, is dat niet bepaald veilig. Daarom heeft de directeur mij gevraagd om FTPS te implementeren.
Dit heb ik eerder niet gedaan in IIS 7, maar inmiddels heb ik wat virtuele labs doorgelopen en vele dingen spreken nu voor zich.

Mijn eerste vraag: is het beter om te kiezen voor de optie: create self certificate of een 3rd party certificaat aan te schaffen ? Ik vind het een beetje lastig te kiezen, want deze server is in productie. Verder vraag ik me af of een eigen certificaat voldoende veiligheid biedt t.o.v. een 3rd party.

Het liefste wil ik natuurlijk gaan voor een 3rd party certificaat, maar een certificaat aanschaffen heb ik nog nooit eerder gedaan. Ik vraag mij af bij welke organisatie kun je een FTPS certificaat aanschaffen? En wat moet het ongeveer kosten?


Ik hoop dat mijn verhaal duidelijk is en ik hoor graag jullie reacties.

btw; huidige FTP configuratie draait op Windows Server 2008 Enterprise x86

Hoi,

Bedankt voor je snelle reactie.

Zoals afgebeeld, heb ik in die virtuele lab geleerd dat je in IIS 7 een eigen certificaat kan aanmaken:



Uploaded with ImageShack.us

Dit is iig wat ik bedoel met een certificaat maken van FTP over SSL. Verder maken wij gebruiken van IIS 7 i.c.m. Windows server 2008. Ik weet dus niet of een SSH FTP mogelijk is.

Ik heb het gevoel dat wij een beetje langs elkaar communiceren. Het kan ook aan mij liggen, omdat het niet helemaal duidelijk is voor mij.

Bedankt allemaal voor jullie reacties tot nu toe. Ik kan iig weer verder.

Ik vraag mij af of onderstaande mogelijk is nadat je een eigen certificaat heb aangemaakt binnen IIS 7. Zelf ben ik niet tegengekomen..

Eigen is dus net zo veilig als van een CA. Geef gewoon de sha1 en md5 sha256? mee van de key zodat je klanten deze kunnen controleren. Eigen is denk ik zelfs veiliger, omdat het klanten bewust maakt om de sha1' te controleren.

Hoi alt-92,

Aanvankelijk ging bij mij over hoe je FTP over SSL kunt implementeren binnen IIS 7. Inmiddels heb ik voldoende feedback over gekregen. Ook heb ik een SSL certificaat gekocht en deze geïmplementeerd binnen IIS 7. Echter, FTP over SSL testen lukt helaas niet.

Intern heb ik het getest en ik krijg netjes de melding dat SSL ingeschakeld is. Echter, extern wil het maar niet lukken. Ik heb geprobeerd ftp://onze_IP-adres of een toegewezen internetadres, helaas lukken opties niet. Ik vraag mij af of ik een speciale poort (1023) dient te openen voor FTP over SSL?


Ook dit heb ik gezocht in onze Cisco ASA, maar kwam de service FTPS niet tegen!!

[ Voor 6% gewijzigd door lawkexarib op 23-08-2010 13:38 ]

Met Filezilla lukt het ook niet om een ftp sessie te maken naar de server. Waarschijnlijk zul je denk ik gelijk hebben dat onze firewall geen encrypted verkeer toestaat op poort 21. Heb net op de firewall gekeken, maar ik zag het niet snel. Ik moet het dus even verder zoeken.

Btw; moet ik ftps://onze_IP-adres gebruiken of nog steeds ftp:://onze_IP-adres? Ik dacht zelf nog steeds: ftp://onze_IP-adres omdat ftp de data beveiligt en niet inloggegevens..

[ Voor 11% gewijzigd door lawkexarib op 23-08-2010 13:49 ]

Hoi,

Bedankt voor die link. Ik wist niet dat je ook de credentials kon beveiligen.

Voor SSL heb ik de volgende instellingen geactiveerd:

Controle channel: require only for credentials
Data channel: require.

In FileZilla heb ik gekozen voor FTPS FTP over impliciet TLS/SSL. Bij inlogtype heb ik gekozen voor normal, helaas lukt het hiermee niet om verbinding te maken met de FTP server. Wel moet ik erbij melden dat er een regel is die enkel gaat over FTP in de Cisco firewall ASA.

Ik neem aan dat deze regel dient aangepast te worden naar FTPS of zie ik het verkeerd?

Hoi alt-92,

Bedankt voor die link, helaas lukt het nog steeds niet om te kunnen inloggen via FTPS.
Er zijn een paar punten in het artikel over firewall instellingen die niet helemaal duidelijk zijn voor mij.

Bij het aanpassen van de data channel port range: (49152-65535, 0-0) en het invoeren van een IP-adres bij Firewall support krijg ik de melding "please configure your firewall to allow FTP access for both the control channel and the data channel port range"

2. Enter the IPv4 address of the external-facing address of your firewall server for the External IP Address of Firewall setting.

Dit punt begrijp ik niet zo goed wat ermee bedoeld wordt, aangezien onze Cisco Firewall geen externe IP-adres heeft. Iig ik heb het interne IP-adres en onze eigen IP-adres geprobeerd, helaas veranderde er niets aan de situatie. Verder heb ik de Windows Firewall uitgezet, no-go

In FileZilla heb ik voor SSL de volgende instellingen geactiveerd:

Controle channel: require only for credentials
Data channel: allow.

Volgens mij moet er ook iets in de Cisco Firewall aangepast dient te worden, maar weet niet precies wat en waar..We gebruiken hier een Cisco Firewall ASA 5505 serie

Sorry, dat het niet erbij staat. Het stukje over Stateful packet Inspection heb ik idd gelezen en die regel toegepast in de Windows Firewall.
Verder heb ik op de Cisco Firewall een extra poort FTP data 20 geopend.

Ik probeer nu een ftps verbinding te maken met FileZilla en het valt mij op dat hij een verbinding probeert te maken over de poort: 990. Verder heb ik bij overdracht modus: standaard, actief en passief geprobeerd, helaas lukte het bij alle drie niet...

Btw: voor stateful heb ik enkel de regel : netsh advfirewall firewall add rule name="FTP for IIS7" service=ftpsvc action=allow protocol=TCP dir=in toegepast en bij portrange voor data channel heb ik momenteel staan: 0-0

Verder heb ik gekeken of FileZilla de optie: FTP client that supports the use of a "clear comannd channel ondersteunt, maar dat heb ik niet gezien!

Update 1:

Momenteel lukt het om een verbinding te maken, maar het gaat dan fout bij TLS initialiseren??
zoals eerder aangegeven, gebruik ik hier een FileZilla om te testen. Iemand een idee hoe nu verder of waar ik moet ernaar kijken?>

Update 2:

in FileZilla heb ik de servertype veranderd van FTPS FTP impliciet TLS/SSL naar FTPES over expliciet TLS/SSL. Tot nu verbazing kan ik nu inloggen en het certificaat wordt ook herkend en hij gaat verder het inlogproces. Echter, aan het einde krijg ik een error over "ontvangen van mappenlijst is mislukt"

Ik vond het vreemd dat het certificaat nu netjes herkend wordt, omdat ik nu kies voor FTPES. Naar mijn weten hoort dit niet en ik moet FTPS hebben...

Btw, dit is een goede omschrijving van hoe je FTPS kunt configureren binnen IIS 7:
http://blogs.iis.net/jaro...-service-for-iis-7-0.aspx

[ Voor 64% gewijzigd door lawkexarib op 25-08-2010 16:21 ]