© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Peter Ross <peter.ross(at)alumni.tu-berlin.de> wrote:
> Das Resultat hat mich überrascht und wohl zu etwas wildem spekulativem
> Zweifeln an der Sicherheit des Systems geführt.
Zu recht, finde ich. Da ein Firewall, der FTP durchlassen
soll, breite Portbereiche offen haben muß, ist der Nutzen
des Firewalls in dem Fall fragwürdig. Insbesondere, wenn
die Clients (und deren IPs), die darauf zugreifen, nicht im
voraus bekannt sind, wie es z.B. bei anonymous-FTP-Servern
der Fall ist.
> Nun ja.. Ich denke inzwischen, daß der FTP-Server den Port halt öffnet,
> nachdem der in der FTP-Kontrollverbindung ausgehandelt wurde, und dann
> allerdings erst einmal offen "für jeden" ist, nicht nur für den
> FTP-Client. Die Abweisung "falscher" Clients findet dann also erst
> innerhalb des Servers statt.
RFC959 erlaubt es auch, daß ein Client eine Verbindung zwi-
schen zwei anderen Rechnern aufbaut. Das bedeutet, daß der
Rechner, der zu dem Datenport connected, den Dein Server
geöffnet hat, _nicht_ unbedingt mit dem Rechner überein-
stimmen muß, der die Steuerverbindung (Port 21) geöffnet
hat. Ein sehr praktisches Feature von FTP, von dem ich
auch schon gelegentlich Gebrauch gemacht habe.
Mit anderen Worten: Wenn da gerade ein Client eine Daten-
übertragung anleiert, der Server eben den Port geöffnet
hat, und nmap schneller ist als der Client -- Pech gehabt.
Zur Frage, ob das Port-Forwarding zum internen FTP-Server
verläßlich ist: In der Theorie ist es das. Aber ein allzu
gutes Gefühl hätte ich auch nicht dabei, wenn im gleichen
Netz noch ungeschützte Windows-Kisten etc. sind. Typi-
scherweise stellt man einen FTP-Server besser in die DMZ.
(Das beste wäre natürlich, ganz auf FTP zu verzichten, da
das FTP-Protokoll ziemlich Firewall-feindlich ist, genau
wie beispielsweise IRC-DCC.)
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "All that we see or seem is just a dream within a dream" (E. A. Poe) To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Sat 18 May 2002 - 10:40:15 CEST