© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hi,
On Sat, 18 May 2002, Oliver Fromme wrote:
> Peter Ross <peter.ross(at)alumni.tu-berlin.de> wrote:
> > Das Resultat hat mich überrascht und wohl zu etwas wildem spekulativem
> > Zweifeln an der Sicherheit des Systems geführt.
>
> Zu recht, finde ich. Da ein Firewall, der FTP durchlassen
> soll, breite Portbereiche offen haben muß, ist der Nutzen
> des Firewalls in dem Fall fragwürdig. Insbesondere, wenn
> die Clients (und deren IPs), die darauf zugreifen, nicht im
> voraus bekannt sind, wie es z.B. bei anonymous-FTP-Servern
> der Fall ist.
Was will man machen, wenn der Kunde König ist..
>
> > Nun ja.. Ich denke inzwischen, daß der FTP-Server den Port halt öffnet,
> > nachdem der in der FTP-Kontrollverbindung ausgehandelt wurde, und dann
> > allerdings erst einmal offen "für jeden" ist, nicht nur für den
> > FTP-Client. Die Abweisung "falscher" Clients findet dann also erst
> > innerhalb des Servers statt.
>
> RFC959 erlaubt es auch, daß ein Client eine Verbindung zwi-
> schen zwei anderen Rechnern aufbaut. Das bedeutet, daß der
> Rechner, der zu dem Datenport connected, den Dein Server
> geöffnet hat, _nicht_ unbedingt mit dem Rechner überein-
> stimmen muß, der die Steuerverbindung (Port 21) geöffnet
> hat. Ein sehr praktisches Feature von FTP, von dem ich
> auch schon gelegentlich Gebrauch gemacht habe.
Kannst Du mir einen sinnvollen Einsatzfall dieses Features schildern? Mir
fällt da gerade nix Sinnreiches ein.
> Aber ein allzu gutes Gefühl hätte ich auch nicht dabei, wenn im
> gleichen Netz noch ungeschützte Windows-Kisten etc. sind. Typi-
> scherweise stellt man einen FTP-Server besser in die DMZ.
Ja, da hast Du recht. Hier hat das Chaos seine Hand im Spiel und führte zu
einem windosierten Provisorium.
"ungeschützte Windows-Kisten" .. "geschützte Windows-Kisten" gibt's doch
gar nicht. Ich habe MS' Firewallösung in der iX "bestaunt" und mit den von
mir gebastelten FreeBSD-Kisten verglichen. Small is beautiful - und
außerdem mit Sicherheit sicherer.
Danke für die Antworten -
ein schönes Pfinsten wünscht
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 18 May 2002 - 22:52:40 CEST