FTP met password en ip-whitelist veilig? - Netwerken

donderdag 24 augustus 2017 01:14

Acties:

Professioneel Azijnzeiker

Topicstarter

Voor vrienden, familie en collega's wil ik een FTP servertje opzetten waar naar hartenlust (in verschillende groepen) data op gedeeld mag worden. Vrij gemakkelijk met Filezilla een FTP opgezet en deze door middel van usernames/wachtwoorden, IP-whitelist aangemaakt en een niet te voor de hand liggende port alles zo "veilig" mogelijk gemaakt. Echter vroeg ik me af hoe "veilig" dit nu is, aangezien FTP alles in plain-sight behandeld.

Inloggen op de FTP door "gevonden" usernames en passwords verwacht ik niet snel door de IP-whitelist, maar misschien vergis ik me hier in. En zijn er dan nog andere risico's?

(NB: SFTP of FTPS zijn om verschillende redenen lastig. VPN zou een optie kunnen zijn, maar wordt ook voor veel ooms en tante's te lastig).

[ Voor 12% gewijzigd door DominoNL op 24-08-2017 01:17 ]

donderdag 24 augustus 2017 01:18

Acties:

CyBeR

💩

Dat ligt er voornamelijk aan hoe belangrijk die data is. Als dat helemaal niet belangrijk is, lekker doen (en de wachtwoorden niet ergens anders ook gebruiken.) Je voornaamste risico is namelijk inderdaad dat iemand ofwel de data ofwel de logingegevens onderschept.

Hieronder komen waarschijnlijk een heleboel mensen zeiken over dat FTP per definitie niet meer gebruikt mag worden want insecure blah blah, maar dat is onzin als je rekening houdt met wát je nou eigenlijk aan het ftp'en bent.

[ Voor 11% gewijzigd door CyBeR op 24-08-2017 01:19 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 24 augustus 2017 01:21

Acties:

Verwijderd

Aangenomen dat de whitelisting goed werkt, zie ik niet in wat er onveilig aan kan zijn. In mijn beleving is whitelisting/opt-in één van de beste vormen van beveiliging. Het heeft ook veel nadelen, dus als jullie er mee uit de voeten kunnen dan zou ik het vooral doen. Uiteraard zullen er wel methoden zijn om whitelisting te kraken, maar als dat zover komt dan kun je je beter zorgen maken om andere dingen.

donderdag 24 augustus 2017 01:30

Acties:

DominoNL

Professioneel Azijnzeiker

Topicstarter

Thanks voor de snelle antwoorden op dit late uur!

Wat moet ik dan zien als "belangrijk" aan de data? Moet ik me meer zorgen maken over bestanden met bijvoorbeeld bankgegevens die in verkeerde handen kunnen vallen of eerder over boze brieven van BREIN als m'n neefje onbedoeld het nieuwste album van K3 "deelt"?

Hoe actief moet iemand z'n best doen om uberhaupt te zien dat/welke data er wordt verzonden en ontvangen? Gewoon op random IP's naar port 21 zoeken wordt vrij actief gedaan volgens mij, maar op een alternatieve port met de genoemde beveiligingen actief? Moet iemand dan heel moedwillig en doelbewust op zoek zijn, of is het dan alsnog van grote afstand te zien dat er ge-ftp't wordt?

donderdag 24 augustus 2017 01:54

Acties:

begintmeta

Moderator General Chat

DominoNL schreef op donderdag 24 augustus 2017 @ 01:14:
... Echter vroeg ik me af hoe "veilig" dit nu is, aangezien FTP alles in plain-sight behandeld.

Wat bedoel je met 'hoe "veilig" dit nu is'?

...
(NB: SFTP of FTPS zijn om verschillende redenen lastig. ...).

Om welke redenen eigenlijk (ook bijvoorbeeld webdav, http(s)...)

DominoNL schreef op donderdag 24 augustus 2017 @ 01:30:
...
Wat moet ik dan zien als "belangrijk" aan de data? Moet ik me meer zorgen maken over bestanden met bijvoorbeeld bankgegevens die in verkeerde handen kunnen vallen of eerder over boze brieven van BREIN als m'n neefje onbedoeld het nieuwste album van K3 "deelt"?

Dat lijkt me allemaal afhankelijk van hoe groot de groep is en hoe de leden acteren. Ik zou ervanuitgaan dat alles wat op de server terechtkomt bij iedereen, ook buiten de server terecht kan komen.

Hoe actief moet iemand z'n best doen om uberhaupt te zien dat/welke data er wordt verzonden en ontvangen?

Mensen die toegang tot de server hebben zullen daar vrijwel geen moeite voor moeten doen, mensen die toegang hebben tot het pad dat de gegevens nemen (ISPs, mensen in hetzelfde netwerk als de verzender&ontvanger...), zou het ook weinig moeite hoeven kosten, maar de vraag is natuurlijk waarom iemand op dat pad dat zou doen (en ook daadwerkelijk doet).

Gewoon op random IP's naar port 21 zoeken wordt vrij actief gedaan volgens mij, maar op een alternatieve port met de genoemde beveiligingen actief? Moet iemand dan heel moedwillig en doelbewust op zoek zijn, of is het dan alsnog van grote afstand te zien dat er ge-ftp't wordt?

Iemand moet wel kijken natuurlijk anders zal iemand niet weten wat gebeurt, dus er zal wel wat intentie nodig zijn.

donderdag 24 augustus 2017 01:58

Acties:

CyBeR

💩

DominoNL schreef op donderdag 24 augustus 2017 @ 01:30:
Thanks voor de snelle antwoorden op dit late uur!

Wat moet ik dan zien als "belangrijk" aan de data?

Dat 't wel of niet in verkeerde handen mag vallen. Zo'n K3 album lijkt me onproblematisch, de vakantiefoto's al meer en je belastingaangifte al helemaal.

All my posts are provided as-is. They come with NO WARRANTY at all.