sFTP vragen mbt veiligheid

dinsdag 30 november 2010 00:16

Acties:

0 Henk 'm!

Topicstarter

Beste mensen van NOS,

Ik ben bezig om online backups te maken van kantoor naar thuis. Elke avond wil ik de W2K8r2 server laten verbinden naar mijn server die hier thuis staat. De server die hier thuis gaat draaien werkt op CentOS 5.5.

Als backup tool op de Windows server gebruik ik Cobian backup. Ik wil de remote backups gaan maken via FTP. Nu weet ik dat standaard FTP niet veilig is omdat alles in clear text wordt verzonden. Op zich niet het grootste probleem want ik verstuur mijn data over de FTP toch encrypted. Maar ik wil dit toch redelijk beveiligd hebben.

Dit kan dus met sFTP (ssl of tls) zoals ik heb begrepen. Nu is mijn vraag hoe veilig het is om TLS te gebruiken? of is SSL veiliger?

dinsdag 30 november 2010 00:23

Acties:

0 Henk 'm!

LinuX-TUX

Is een lastige. Je maakt je druk om het feit over HOE je data getransporteerd word zonder je druk te maken over HOE je je beveiligt.

Dat daar gelaten en op je vraag te antwoorden:
Beide zijn encryptie technieken die redelijk betrouwbaar zijn. De ene beter dan de ander kwa sterkte en de ander dus weer sneller in en/decrypten dan de sterkere variant.

Daarom vroeg ik me af, waarom zet je niet gewoon een VPN op?
Dan heb je de encryptie slag eruit (bij server/client..server) EN heb je GRATIS bescherming tegen mensen die wat rond zitten te proben over het internet

Zomaar een id hoor.

Daargelaten dat dan zelfs je encryptie rekenkracht uit handen van servers word genomen en op de router/modem terecht komen, maar dat is met hedendaagse servers eigenlijk geen probleem meer.

offtopic:
VPN is natuurlijk net zo vatbaar voor mensen die wat willen hacken / decrypten. Maar het mooie van zo'n tunnel is dat je heel je server client op alleen dat ene netwerk kan africhten. Aanvragen van buitenaf doen hem dus in feite niets. En laat dat nou net 1 van de dingen zijn die je vaak in serverlogs voorbij ziet schieten, schijnaanvallen om servers af te tasten. 1000x inlog probe's op SSH/FTP om binnen te geraken etc etc

@hieronder & @timskiej
http://www.codeguru.com/c...ternet/article.php/c14329 mooie overview voor als je beide technieken wil vergelijken

[ Voor 27% gewijzigd door LinuX-TUX op 30-11-2010 00:29 ]

dinsdag 30 november 2010 00:27

Acties:

0 Henk 'm!

Nielson

timskiej schreef op dinsdag 30 november 2010 @ 00:16:
Dit kan dus met sFTP (ssl of tls) zoals ik heb begrepen.

Niet echt een antwoord op je vraag, maar misschien wel handig als je naar info zoekt over dit onderwerp om SFTP en FTPS niet door elkaar te halen.

dinsdag 30 november 2010 08:34

Acties:

0 Henk 'm!

deadinspace

The what goes where now?

timskiej schreef op dinsdag 30 november 2010 @ 00:16:
Nu is mijn vraag hoe veilig het is om TLS te gebruiken? of is SSL veiliger?

TLS is de opvolger van SSL, het lijkt me sterk dat die minder veilig is

Nielson schreef op dinsdag 30 november 2010 @ 00:27:
Niet echt een antwoord op je vraag, maar misschien wel handig als je naar info zoekt over dit onderwerp om SFTP en FTPS niet door elkaar te halen.

Maar misschien is SFTP (dat inderdaad niet hetzelfde is als het FTPS waar de TS op doelt) wel een optie? Het voordeel is dat je daarmee ook meteen gebruik maakt van de key management van ssh.

dinsdag 30 november 2010 10:48

Acties:

0 Henk 'm!

timskiej

Topicstarter

LinuX-TUX schreef op dinsdag 30 november 2010 @ 00:23:
Is een lastige. Je maakt je druk om het feit over HOE je data getransporteerd word zonder je druk te maken over HOE je je beveiligt.

Dat daar gelaten en op je vraag te antwoorden:
Beide zijn encryptie technieken die redelijk betrouwbaar zijn. De ene beter dan de ander kwa sterkte en de ander dus weer sneller in en/decrypten dan de sterkere variant.

Daarom vroeg ik me af, waarom zet je niet gewoon een VPN op?
Dan heb je de encryptie slag eruit (bij server/client..server) EN heb je GRATIS bescherming tegen mensen die wat rond zitten te proben over het internet

Zomaar een id hoor.

Daargelaten dat dan zelfs je encryptie rekenkracht uit handen van servers word genomen en op de router/modem terecht komen, maar dat is met hedendaagse servers eigenlijk geen probleem meer.

offtopic:
VPN is natuurlijk net zo vatbaar voor mensen die wat willen hacken / decrypten. Maar het mooie van zo'n tunnel is dat je heel je server client op alleen dat ene netwerk kan africhten. Aanvragen van buitenaf doen hem dus in feite niets. En laat dat nou net 1 van de dingen zijn die je vaak in serverlogs voorbij ziet schieten, schijnaanvallen om servers af te tasten. 1000x inlog probe's op SSH/FTP om binnen te geraken etc etc

@hieronder & @timskiej
http://www.codeguru.com/c...ternet/article.php/c14329 mooie overview voor als je beide technieken wil vergelijken

Bedankt voor de vele nuttige info

Op kantoor staat een Cisco 876 die IPSEC tunnels uitdeelt voor remote toegang. Gebruikers connecten via een Cisco VPN client. Nu vraag ik me dus af of het qua beveiliging een goed idee is om de backup-server 24/7 te laten connecten met dat tooltje.

Bedankt voor de link, zal hem direct even doorlezen.

Nielson schreef op dinsdag 30 november 2010 @ 00:27:
[...]
Niet echt een antwoord op je vraag, maar misschien wel handig als je naar info zoekt over dit onderwerp om SFTP en FTPS niet door elkaar te halen.

deadinspace schreef op dinsdag 30 november 2010 @ 08:34:
[...]

TLS is de opvolger van SSL, het lijkt me sterk dat die minder veilig is

[...]

Maar misschien is SFTP (dat inderdaad niet hetzelfde is als het FTPS waar de TS op doelt) wel een optie? Het voordeel is dat je daarmee ook meteen gebruik maakt van de key management van ssh.

Bedankt voor de uitleg. Wist niet dat er verschil tussen SFTP en FTPS was

dinsdag 30 november 2010 12:08

Acties:

0 Henk 'm!

Kompaan

timskiej schreef op dinsdag 30 november 2010 @ 10:48:
[...]
Op kantoor staat een Cisco 876 die IPSEC tunnels uitdeelt voor remote toegang. Gebruikers connecten via een Cisco VPN client. Nu vraag ik me dus af of het qua beveiliging een goed idee is om de backup-server 24/7 te laten connecten met dat tooltje.
[...]

Je kan je fileserver een VPN laten opzetten naar de Cisco, maar misschien is het handiger om een site-to-site VPN te hebben? Van je Cisco op het werk naar je router thuis (als dat ondersteund wordt natuurlijk).

dinsdag 30 november 2010 14:16

Acties:

0 Henk 'm!

timskiej

Topicstarter

Mijn router thuis ondersteund geen VPN, dus een site to site VPN gaat niet werken.

Maar hoe groot is het risico dat iemand inbreekt als ik een FTP server met TLS gebruik om mijn encrypte data (beveiligt met wachtwoord en encrypt met Cobian Backup) over te versturen? Als ik namelijk in mijn IP-tables aangeef dat alleen het IP van kantoor mag connecten.

[ Voor 8% gewijzigd door timskiej op 30-11-2010 14:20 ]

dinsdag 30 november 2010 14:23

Acties:

0 Henk 'm!

swbr

Wat ik mis in je verhaal is de beveiliging van die server thuis. Achter wat voor firewall staat dat ding? Staat die in een afgesloten ruimte? Wie beheert het die server?

Zowel TSL als SSL bieden een behoorlijke veiligheid voor het transport van je data, maar als die data vervolgens op een gemakkelijk te hacken/stelen stuk hardware komt te staan...

If you try and take a cat apart to see how it works, the first thing you have on your hands is a non-working cat. -DNA

dinsdag 30 november 2010 14:34

Acties:

0 Henk 'm!

kKaltUu

Profesionele Forumtroll

Antaresje schreef op dinsdag 30 november 2010 @ 14:23:
Wat ik mis in je verhaal is de beveiliging van die server thuis. Achter wat voor firewall staat dat ding? Staat die in een afgesloten ruimte? Wie beheert het die server?

Zowel TSL als SSL bieden een behoorlijke veiligheid voor het transport van je data, maar als die data vervolgens op een gemakkelijk te hacken/stelen stuk hardware komt te staan...

Plus, waarom wil je je werkdata meenemen naar huis? kan je beter bij je manager aankloppen en een colo/tapes + brandkast voor backupdoeleinden gebruiken.
_{ik ken je situatie niet, maar ik zou zeggen: werk op het werk laten. hoef je ook geen zorgen te maken over je beveiliging en het werken buiten werktijd. en zoals je zegt: je router kan VPNen, als het ECHT nodig blijkt te zijn, kan je altijd nog via VPN inloggen op de zaak}

Bovenstaande is mijn post. Lees deze aandachtig, dank u wel voor uw medewerking.

dinsdag 30 november 2010 14:40

Acties:

0 Henk 'm!

DiedX

kKaltUu schreef op dinsdag 30 november 2010 @ 14:34:
[...]

Plus, waarom wil je je werkdata meenemen naar huis? kan je beter bij je manager aankloppen en een colo/tapes + brandkast voor backupdoeleinden gebruiken.

Hij wil zijn W2K3 server backuppen, en jij wil 'm naar zijn manager sturen? Klinkt eerder als een MKB'er nietwaar?

Ik zou zelf kijken naar OpenVPN && copy. Alleen: als je server gehackt wordt hebben ze meteen je fallback. Wellicht toch VPN && FTP

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

dinsdag 30 november 2010 16:33

Acties:

0 Henk 'm!

timskiej

Topicstarter

Antaresje schreef op dinsdag 30 november 2010 @ 14:23:
Wat ik mis in je verhaal is de beveiliging van die server thuis. Achter wat voor firewall staat dat ding? Staat die in een afgesloten ruimte? Wie beheert het die server?

Zowel TSL als SSL bieden een behoorlijke veiligheid voor het transport van je data, maar als die data vervolgens op een gemakkelijk te hacken/stelen stuk hardware komt te staan...

Server komt achter een Pfsense firewall te staan. Ik beheer de server zelf.

DiedX schreef op dinsdag 30 november 2010 @ 14:40:
[...]

Hij wil zijn W2K3 server backuppen, en jij wil 'm naar zijn manager sturen? Klinkt eerder als een MKB'er nietwaar?

Ik zou zelf kijken naar OpenVPN && copy. Alleen: als je server gehackt wordt hebben ze meteen je fallback. Wellicht toch VPN && FTP

Klopt, het is het bedrijf van mijn ouders.
OpenVPN server opzetten onder CentOS is het probleem niet. Kan dan vanaf de server op kantoor connecten via de OpenVPN client naar mijn Backup server thuis. Is het het veilig om een OpenVPN (server->client) opstelling te maken en de server 24/7 te laten verbinden naar de OpenVPN server hier thuis?

dinsdag 30 november 2010 16:42

Acties:

0 Henk 'm!

DiedX

Veilig is het wel, maar die openheid *KAN* problemen geven.

Stel je voor dat jij je bestanden via SMB backupt (dus: copy c:\backup.blaat \\remote\backupblaat). Gaat prima.

Dan wordt opeens je Windows 2003 gehackt. Men ziet een share, is verbonden met VPN, en knalt eerst je backup eruit, en vervolgens je Windows 2003 server. Dag backup.

Ik zou kijken of je kan FTPen, maar dan *ALLEEN* een write-account (dus geen read/delete) openzetten op je backup-lokatie, en op de remote lokatie de bestanden laten roteren. Kost wat meer tijd, maar ik zou me er zelf wat lekkerder bij voelen.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

dinsdag 30 november 2010 16:46

Acties:

0 Henk 'm!

timskiej

Topicstarter

DiedX schreef op dinsdag 30 november 2010 @ 16:42:
Veilig is het wel, maar die openheid *KAN* problemen geven.

Stel je voor dat jij je bestanden via SMB backupt (dus: copy c:\backup.blaat \\remote\backupblaat). Gaat prima.

Dan wordt opeens je Windows 2003 gehackt. Men ziet een share, is verbonden met VPN, en knalt eerst je backup eruit, en vervolgens je Windows 2003 server. Dag backup.

Ik zou kijken of je kan FTPen, maar dan *ALLEEN* een write-account (dus geen read/delete) openzetten op je backup-lokatie, en op de remote lokatie de bestanden laten roteren. Kost wat meer tijd, maar ik zou me er zelf wat lekkerder bij voelen.

Dat is een goede tip om alleen een write rechten te geven op de FTP.
Wat bedoel je precies met het roteren van de bestanden?

dinsdag 30 november 2010 17:15

Acties:

0 Henk 'm!

DiedX

Om te voorkomen dat je HDD remote volloopt zal je toch eens wat weg moeten gooien. Vandaar: roteren.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

dinsdag 30 november 2010 17:20

Acties:

0 Henk 'm!

timskiej

Topicstarter

Bedankt voor jullie tips en opmerkingen.
Ik ga het een en ander testen en uitproberen

vrijdag 3 december 2010 22:46

Acties:

0 Henk 'm!

timskiej

Topicstarter

Misschien handig voor de mensen die dit ook willen gaan doen (het is niet meer echt een topic voor in NOS want ik heb Windows met IIS gebruikt. Ik ga dit ook nog testen onder CentOS

In IIS7 heb ik een FTPS (TLS) server opgezet waar de backup user alleen write rechten heeft. Vanuit Cobian backup kan ik automatisch backup-tasks laten uitvoeren.

Over een VPN zou ook een ideale oplossing zijn maar ik heb de hardware niet om een fatsoenlijke site-to-site VPN op te zetten.

vrijdag 3 december 2010 23:36

Acties:

0 Henk 'm!

Verwijderd

Is een VPN gewoon de marketingterm voor een versleutelde verbinding tussen gebruiker A, een andere computer B onder de controle van A naar een mogelijk onversleutelde computer C?

Er is bijv. een programma genaamd openvpn, maar ik zie niet wat voor voordelen dat zou opleveren ten opzichte van gewoon ssh gebruiken.

vrijdag 3 december 2010 23:46

Acties:

0 Henk 'm!

Verwijderd

Ik weet niet hoeveel je wil backuppen en hoe dik je internetlijn is maar hou er rekening mee dat FTP niet geweldig is voor grote hoeveelheden MBs, vooral niet als je deze elke dag weer overnieuw moet uploaden.

Je kant dan beter kijken naar een oplossing icm Rsync.

[edit]Ik weet niet hoe Cobian backups maakt.

[ Voor 11% gewijzigd door Verwijderd op 03-12-2010 23:48 ]

vrijdag 3 december 2010 23:46

Acties:

0 Henk 'm!

DiedX

timskiej schreef op vrijdag 03 december 2010 @ 22:46:
Over een VPN zou ook een ideale oplossing zijn maar ik heb de hardware niet om een fatsoenlijke site-to-site VPN op te zetten.

Check vooral OpenVPN. Dit, icm met een goed wachtwoord (256 karakters gegenereerd?) is voorlopig genoeg

Verwijderd schreef op vrijdag 03 december 2010 @ 23:36:
Is een VPN gewoon de marketingterm voor een versleutelde verbinding tussen gebruiker A, een andere computer B onder de controle van A naar een mogelijk onversleutelde computer C?

Er is bijv. een programma genaamd openvpn, maar ik zie niet wat voor voordelen dat zou opleveren ten opzichte van gewoon ssh gebruiken.

Hmmmmmz. VPN is een Virtual Private Network. Dus een afgesloten netwerk, vaak met encryptie.

Je hebt gelijk dat er niet veel verschil is (in dit geval) met SSH. OpenVPN doet alles over 1194 UDP, SSH over 22 TCP.

Je kan je voorstellen dat het een voordeel opleverd als je meer protocollen tunnelt: het geeft onduidelijk aan wat je precies doet (want alles gaat over 1194). Is dat hier nodig? Nee.

Alleen: stel je voor dat je gebruik gaat maken van Windows Networking (Smb, Samba or whatever), dan ontkom je niet aan een VPN. SSH is specifiek bedoeld om veilig verbinding te kunnen leggen tussen servers en clients, waarbij SMB gebruikt wordt voor bestandsdeling in Windows Netwerken, en niet vanaf het begin gebouwd is met veiligheid in gedachten.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

vrijdag 3 december 2010 23:47

Acties:

0 Henk 'm!

DiedX

Verwijderd schreef op vrijdag 03 december 2010 @ 23:46:
Ik weet niet hoeveel je wil backuppen en hoe dik je internetlijn is maar hou er rekening mee dat FTP niet geweldig is voor grote bestanden vooral niet als je deze elke dag weer overnieuw moet uploaden.

Je kant dan beter kijken naar een oplossing icm Rsync.

Absoluut waar. Check ook de tijd nodig om te restoren...

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

vrijdag 3 december 2010 23:50

Acties:

0 Henk 'm!

timskiej

Topicstarter

Verwijderd schreef op vrijdag 03 december 2010 @ 23:46:
Ik weet niet hoeveel je wil backuppen en hoe dik je internetlijn is maar hou er rekening mee dat FTP niet geweldig is voor grote hoeveelheden MBs, vooral niet als je deze elke dag weer overnieuw moet uploaden.

Je kant dan beter kijken naar een oplossing icm Rsync.

[edit]Ik weet niet hoe Cobian backups maakt.

Het gaat om een paar MB per dag (Word, Excell, etc). De data neemt niet snel toe. Een full-backup is ongeveer 3GB.

vrijdag 3 december 2010 23:52

Acties:

0 Henk 'm!

timskiej

Topicstarter

DiedX schreef op vrijdag 03 december 2010 @ 23:46:
[...]

Check vooral OpenVPN. Dit, icm met een goed wachtwoord (256 karakters gegenereerd?) is voorlopig genoeg

[...]

Hmmmmmz. VPN is een Virtual Private Network. Dus een afgesloten netwerk, vaak met encryptie.

Je hebt gelijk dat er niet veel verschil is (in dit geval) met SSH. OpenVPN doet alles over 1194 UDP, SSH over 22 TCP.

Je kan je voorstellen dat het een voordeel opleverd als je meer protocollen tunnelt: het geeft onduidelijk aan wat je precies doet (want alles gaat over 1194). Is dat hier nodig? Nee.

Alleen: stel je voor dat je gebruik gaat maken van Windows Networking (Smb, Samba or whatever), dan ontkom je niet aan een VPN. SSH is specifiek bedoeld om veilig verbinding te kunnen leggen tussen servers en clients, waarbij SMB gebruikt wordt voor bestandsdeling in Windows Netwerken, en niet vanaf het begin gebouwd is met veiligheid in gedachten.

Heb al eens vaker met OpenVPN (Ubuntu) gewerkt maar is het een goed idee om dit te gebruiken voor een 24/7 verbinding? Ik vraag me af hoe dit met de beveiliging zit omdat het geen site to site is maar client-server.

vrijdag 3 december 2010 23:53

Acties:

0 Henk 'm!

DiedX

Hou er rekening mee dat 3GB uploaden niet bijzonder snel gaat

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

vrijdag 3 december 2010 23:53

Acties:

0 Henk 'm!

timskiej

Topicstarter

DiedX schreef op vrijdag 03 december 2010 @ 23:47:
[...]

Absoluut waar. Check ook de tijd nodig om te restoren...

Restoren is iets van seconden tot een paar minuutjes.
Heb hier gelukkig een betere upload

vrijdag 3 december 2010 23:55

Acties:

0 Henk 'm!

timskiej

Topicstarter

DiedX schreef op vrijdag 03 december 2010 @ 23:53:
Hou er rekening mee dat 3GB uploaden niet bijzonder snel gaat

Backups worden 's avonds gemaakt dus dat maakt niets uit.
Toch eerst even goed testen hoe het verloopt.

vrijdag 3 december 2010 23:56

Acties:

0 Henk 'm!

DiedX

Nee, ik bedoel bij restoren

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

zaterdag 4 december 2010 00:00

Acties:

0 Henk 'm!

timskiej

Topicstarter

DiedX schreef op vrijdag 03 december 2010 @ 23:56:
Nee, ik bedoel bij restoren

Ah zo

De online-backup is sowieso niet bedoelt waar het eerste restored van wordt (meer voor veiligheid tegen brand, diefstal etc). Er worden ook backups gemaakt naar een lokale harde schijf die afgekoppeld wordt.

Pagina: 1

Reageer

Onderwerpen