Hostingbedrijf wil ip adres filter op SFTP, nodig?

Zet zelf een VPN connectie op met de router van de internetverbinding die het meest gebruikt wordt voor toegang? Een beetje fatsoenlijke router kan dat volgens mij wel.

[ Voor 8% gewijzigd door Raven op 21-03-2014 11:21 ]

Ik heb alleen ervaring met FTP, niet SFTP dus ik kan er niet veel over zeggen.

Vraag mij alleen wel af of het toelaten van een beperkte set IP-adressen veel nut heeft, niet iedereen heeft een vast IP-adres...

SFTP op zich is niet onveilig, maar zoals bij elke service waarbij ingelogd moet worden is het gevoelig voor bruteforce logins. In plaats voor alleen bepaalde IP adressen toestaan kan je ook:
- foutieve logins blokkeren in firewall na x pogingen
- alleen key login toestaan

Mooiste is de 2e optie, maar ik denk niet dat elke klant zit te wachten op het gebruiken van SSH keys...

Omdat een key veel langer is dan een wachtwoord en daarnaast nog beveiligd kan worden met een sterk wachtwoord.

Ligt er ook aan wat een "beperkte set IP-adressen" precies inhoudt.

Betekent dat alleen het IP van de vaste lijn van het bedrijf. Of houden ze alleen IP's uit bijvoorbeeld China, Rusland en Nigeria buiten de deur.

Rekcor schreef op vrijdag 21 maart 2014 @ 11:13:
Wat raden jullie aan?

Als je er iets over te zeggen hebt, aangeven dat je dat niet wilt.

Als je er niets over te zeggen hebt, aangeven dat je als gevolg van deze wijziging met inachtneming van de opzeggingstermijn graag je account opzegt en ergens anders heen gaat. En dat vervolgens ook doen natuurlijk.

Overigens, op de vraag of zo'n maatregel werkelijk nodig is, zeg ik resoluut nee.

[ Voor 17% gewijzigd door CyBeR op 23-03-2014 01:45 ]

Ik snap niet hoe je precies hier advies van ons bij nodig hebt?
Als je hostingbedrijf alleen op een beperkt aantal IP adressen SFTP wilt aanbieden, maar jij wilt vanaf elk IP adres kunnen inloggen, dan voldoen zij niet aan jou eisen en zal je een andere partner moeten zoeken.

Als je ons vraagt wat veiliger is, dan kies ik voor de kant van de hosting partij.
Er mag misschien geen bijzondere informatie op je FTP staan, er zijn genoeg manieren te bedenken om een FTP server te misbruiken...

Dus eigenlijk heb je 2 opties:

1. Akkoord gaan met de beperkte IP adressen en eventueel zelf een oplossing zoeken om toch vanaf overal te kunnen inloggen(VPN naar een IP adres wat mag inloggen of een terminal server o.i.d.)
2. Niet akkoord gaan, hostingbedrijf vragen of alle IP adressen mogelijk zijn, zo niet, andere partij zoeken. Natuurlijk neem je met optie 2 iets meer risico dan met optie 1. Aan jou de keus of dit risico te verwaarlozen is of niet.

Voor de duidelijkheid: SFTP is niet FTP! SFTP is SSH-gebaseerd en heel erg veilig.
Verder ben ik het met hierboven eens: Als je het niet eens bent met je leverancier, dan ga je naar een ander. Zo werkt dat.

En dat is ook waar 't om gaat, denk ik. Als je zelf een ssh daemon draait op de standaard port (wat sftp dus gebruikt), dan wordt je doodgegooit met inlogpogingen. Dat /jij/ een sterk wachtwoord hebt is dan misschien niet genoeg. Een standaardoplossing is dan ipadressen blokkeren.

Twee dingen, zoals al eerder gevraagd, wat is definitie van 'een beperkte set IP-adressen'? Als dat gaat om China dan lijkt mij dat geen probleem.

Tweede punt (alleen als het niet om China e.d. gaat): het whitelisten (ik neem aan dat wij het daar over hebben) helpt inderdaad met de beveiliging, het lost echter enkel een symptoom op. Het probleem is dat mensen zwakke wachtwoorden gebruiken en/of niet goed met hun inloggegevens omgaan. Ze zouden er beter aan doen enkel key-based logins toe te staan en IPs tijdelijk te blokkeren in geval van herhaaldelijk foutieve inlogpogingen. Een whitelist instellen is een draconische maatregel die niet nodig zou moeten zijn, SFTP is veilig zolang er maar goed met inloggegevens om gegaan wordt (een systeem is immers zo zwak als de zwakste schakel.)

Persoonlijk zou ik hem zo snel mogelijk smeren bij deze provider, volgens mij kan deze maatregel twee dingen betekenen, of ze snappen niet waar ze het over hebben, of ze zijn te lui om een echte maatregel in te stellen. Beide lijken mij geen goede kwaliteiten voor een provider.

Ik ken meerdere bedrijven die zo werken en ik snap hun punt wel, accounts kunnen een zwak wachtwoord hebben wat de provider niet kan controleren want ze staan encrypted opgeslagen. Een voor de gebruiker sterk verzonnen wachtwoord kan voor geautomatiseerde systemen zo zwak zijn als maar wat. Nu kunnen ze allerlei truukjes inbouwen zodat een gebruiker een sterk wachtwoord moet invoeren maar veel gebruikers haken dan juist af als 5 geprobeerde wachtwoorden niet worden geaccepteerd.

Voor veel systemen is vereist: minimaal 3 van de volgende tekens: hoofdletter, kleine letter, cijfer of speciaal teken. Dat zou dus betekenen dat Test123 al een geaccepteerd wachtwoord is. Wedden dat die binnen 1 minuut met bruteforce is gekraakt.

Juist om dit te voorkomen worden er ip restricties opgelegd en ik kan dat alleen maar toejuichen. Jij bent niet de enige met een gebruikersaccount op die server dus jou username en password mag dan wel veilig zijn, dat betekend niet dat ze allemaal zo veilig zijn.

De andere oplossingen zijn minder gebruiksvriendelijk of werken ook niet goed. Een IP blokkeren werkt niet als een botnet je netwerk aan het kraken is via bruteforce. Tevens kunnen er ook sneller klanten worden geblokkeerd op het moment dat deze wat fouten maakt in een wachtwoord. Ik heb zelf 6 verschillende wachtwoorden die ik afwissel, soms moet ik dus 6 wachtwoorden proberen voordat ik hem goed heb. Bij de meeste ip blokkades word ik dan ook geblokkeerd omdat ik vaker dan 5 keer inlog in 5 minuten.

Een key file is ook niet gebruiksvriendelijk want niet alle software kan dat even makkelijk gebruiken.

Bij het ip's opgeven kun je vaak ook een reeks van de provider opgeven, dus je bent zelfs met een dynamisch ip afgedekt.

is er geen fail2ban voor sftp? Dat zou denk ik alles op moeten lossen. Dan heb je inloggen van over de hele wereld en bij y foutieve pogingen een ban van x minuten. y en x kun je zelf instellen.