Toon posts:

[2008R2 FTP] Hoe riskant is het om svchost door te laten?

Pagina: 1
Acties:

Onderwerpen


Acties:
  • 0Henk 'm!

  • ElCondor
  • Registratie: Juni 2001
  • Laatst online: 14:38

ElCondor

Geluk is Onmisbaar

Topicstarter
Ik ben bezig om Windows FTP server in IIS op te zetten, (ivm licenties etc. heb ik niet de mogelijkheid om een ander product te gebruiken) en ik liep vast op het gebruik van passive FTP.
Nu lees ik hier en daar op het internet dat het blokkeren van passive FTP door de Windows firewall te voorkomen is door svchost op any poort door te laten inbound door de firewall.

Zie bijvoorbeeld deze pagina:
http://www.bunkerhollow.c...p-and-firewall-setup.aspx

En zowaar, regel aangemaakt en het werkt, mapjes kan ik netjes doorbladeren, uploaden etc.

Echter, svchost, draait veel meer dan alleen FTP. Wat zijn de kansen dat iemand een andere service kan aanspreken via de firewall regel die ik aangemaakt heb?

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)


Acties:
  • 0Henk 'm!

  • Craven
  • Registratie: Februari 2007
  • Laatst online: 23:50
Voor de licenties hoef je het niet te laten, filezilla server is gewoon gratis en naar mijn ervaring een stuk stabieler en beter te configureren.

Kan je in IIS niet gewoon de passive ftp poorten zelf definieren? kun je ze zelf in de firewall invoeren.

edit: vage shit,
* Craven doet testen gaan.

[Voor 10% gewijzigd door Craven op 01-07-2011 10:29]


Acties:
  • 0Henk 'm!

  • ElCondor
  • Registratie: Juni 2001
  • Laatst online: 14:38

ElCondor

Geluk is Onmisbaar

Topicstarter
Hmmja, dat kan, maar dan nog werkt het niet. Deze poorten heb ik inderdaad met een eigen firewall regel aangemaakt, maar zodra ik de regel met svchost en any port verwijder of aanpas naar een specifieke range van ports valt de verbinding stil.

Ik zal nog eens kijken wat ik verder kan configureren, maar ik hoor wel graag nog verdere meningen hierover.
Ik zoek ook niet direct een oplossing voor een probleem, maar meer jullie gedachtes over de geboden oplossing, waar klaarblijkelijk iederen (of velen iig) lyrisch over zijn, maar waarvan ik denk, is dat niet riskant?

[Voor 4% gewijzigd door ElCondor op 01-07-2011 10:33]

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)


Acties:
  • 0Henk 'm!

  • Craven
  • Registratie: Februari 2007
  • Laatst online: 23:50
Krijg het niet voor elkaar. Hij blijft hangen op de dir listing, de passive poorten dus. En ik weiger svchost open te gooien in m'n firewall.

Mijn advies voor het probleem. Gebruik een andere ftp server if possible. Ik weet niet of je integratie met AD e.d. wilt? Als het gaat om wat simpele users dan zou ik het niet doen. En lekker filezilla gebruiken o.i.d. Dan kun je de service netjes onder een service account draaien en daar ook ntfs rechten op toekennen. En voor die service + .exe kun je ook exclusions in je firewall gaan maken.

Wat betreft mijn mening. Ik ben nooit een fan geweest van de ingebouwde MS ftp server. Heeft altijd een hoop gezeur opgeleverd. Terwijl filezilla binnen een paar minuten helemaal netjes (en veilig) is opgezet. svchost.exe zou ik uberhaupt nooit openzetten naar internet. Zegt MS hier zelf helemaal niks over?

Acties:
  • 0Henk 'm!

  • ElCondor
  • Registratie: Juni 2001
  • Laatst online: 14:38

ElCondor

Geluk is Onmisbaar

Topicstarter
Nee, dat is het vreemde aan het hele verhaal. Er wordt met geen woord over gerept door MS zelf. Wel op verschillende blogs wordt er geklaagd over het feit dat out-of-the-box FTP van MS het niet goed doet op passive en dat het aan de firewall zou liggen.
Dat lijkt te kloppen, want als ik de FW aan de internet verbinding helemaal uit zet, dan doet hij het wel.
Als ik de regel met svchost niet toesta maar FTP en SFTP en de regel die ervoor zou moeten zorgen dat passive FTP moet werken activeer, dan doet hij het niet.
Laat ik dan toch SVCHost door, dan werkt het dus wel.

Let wel, verkeer van SVCHost hoeft alleen maar naar buiten te kunnen, niet weer terug naar binnen, vreemd genoeg...
Je zou toch denken dat MS een beetje een goede FTP server in elkaar moet kunnen zetten. :S

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)


Acties:
  • 0Henk 'm!

  • Turdie
  • Registratie: Maart 2006
  • Laatst online: 30-05 06:08
Dit al gezien:
How to Configure Windows Firewall for a Passive Mode FTP Server

En:
Configure the Data Channel Port Range

When you use a firewall in your network you can limit the range of dynamic ports (also known as ephemeral ports) that can be used for passive connections in FTP. When a client issues a PASV command, the FTP server responds with a dynamic port to be used as the server-side port of the data connection. The default port range is configured in Windows TCP/IP settings.

The dynamic port range in earlier versions of Windows was 1025-5000. This was changed in Windows Vista® and Windows Server® 2008 to comply with Internet Assigned Numbers Authority (IANA) recommendations about using ports. If you deploy Windows Vista or Windows Server 2008 in your network, and you use firewalls to restrict traffic on your internal network, you must update those firewalls with the new port range. For more information, see "The default dynamic port range for TCP/IP has changed in Windows Vista and in Windows Server 2008" on the Microsoft Help and Support site.

Configure the FTP Server to Recognize the External Firewall IP Address

[Voor 79% gewijzigd door Turdie op 05-07-2011 19:00]

Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee