Security Professionals
- ipfw add deny all from eindgebruikers to any
FTP over VPN?
13-01-2017, 11:04 door [Account Verwijderd], 12 reacties
Ik beheer een aantal websites waarop ik regelmatig moet inloggen via FTP. Een aantal websites (op duurdere hosting pakketten) kan ik instellen op SFTP. De overige sites zijn ingesteld op FTPS (ingesteld in FileZilla de optie "vereist expliciet FTP over TLS"). Deze websites op duurdere hosting pakketten met SFTP gaan draaien is geen optie voorlopig.
Nu vraag ik mij af of ik de beveiling kan verbeteren door als eerste stap een VPN verbinding op te zetten (ik gebruik AirVPN) en daarna in FileZilla in te loggen op de FTP server.
Aangezien de VPN verbinding mijn computer verbinding met het internet versleuteld, zou dit een nuttige extra beveiligingslaag toevoegen of niet?
.
Nu vraag ik mij af of ik de beveiling kan verbeteren door als eerste stap een VPN verbinding op te zetten (ik gebruik AirVPN) en daarna in FileZilla in te loggen op de FTP server.
Aangezien de VPN verbinding mijn computer verbinding met het internet versleuteld, zou dit een nuttige extra beveiligingslaag toevoegen of niet?
.
Reacties (12)
In het geval mensen op jouw netwerk zitten te sniffen (via lan of wifi) is het veiliger.
Op internet maakt het niet uit, het blijft een onversleuteld protocol
Op internet maakt het niet uit, het blijft een onversleuteld protocol
Je hebt dan deze situatie:
Home ----------------> AirVPN ------------------> FTP Server
---------- Versleuteld ------------ Onversleuteld
Niet veel veiliger dus zoals Anoniem hierboven al aan geeft.
Home ----------------> AirVPN ------------------> FTP Server
---------- Versleuteld ------------ Onversleuteld
Niet veel veiliger dus zoals Anoniem hierboven al aan geeft.
Oke, dus alleen de verbinding van mijn computer naar de servers van AirVPN is versleuteld? Niet de verbinding van mijn computer naar de ftp server, begrijp ik dat goed?
De verbinding vanaf de AirVPN servers naar de ftp servers, of naar het internet is dus NIET versleuteld?
De verbinding vanaf de AirVPN servers naar de ftp servers, of naar het internet is dus NIET versleuteld?
Door opti: Oke, dus alleen de verbinding van mijn computer naar de servers van AirVPN is versleuteld? Niet de verbinding van mijn computer naar de ftp server, begrijp ik dat goed?
De verbinding vanaf de AirVPN servers naar de ftp servers, of naar het internet is dus NIET versleuteld?
De verbinding vanaf de AirVPN servers naar de ftp servers.De verbinding vanaf de AirVPN servers naar de ftp servers, of naar het internet is dus NIET versleuteld?
Precies, alles van jouw PC naar de VPN server is versleuteld. Handig voor als je op een public WiFi bent. Maar, van de VPN Server naar FTP is het net zo versleuteld als dat het zonder VPN vanaf jouw pc naar FTP zou zijn. Niet dus :)
VPN in de oorspronkelijke betekenis zou een oplossing zijn, dwz een VPN verbinding tussen jou en je hoster.
Sterker nog, dat zou ik als een vereiste willen zien voor alle beheer van gehoste diensten. Uitsluitend toegang
tot FTP, CMS, databasebeheer enz enz via een specifieke VPN voor die klant.
Tegenwoordig verstaan mensen onder VPN meestal zo'n onduidelijke omleidservice om onder een ander IP te
werken, en dat helpt uiteraard niks.
Sterker nog, dat zou ik als een vereiste willen zien voor alle beheer van gehoste diensten. Uitsluitend toegang
tot FTP, CMS, databasebeheer enz enz via een specifieke VPN voor die klant.
Tegenwoordig verstaan mensen onder VPN meestal zo'n onduidelijke omleidservice om onder een ander IP te
werken, en dat helpt uiteraard niks.
14-01-2017, 14:22 door
karma4
Door Anoniem: VPN in de oorspronkelijke betekenis zou een oplossing zijn, dwz een VPN verbinding tussen jou en je hoster.
Sterker nog, dat zou ik als een vereiste willen zien voor alle beheer van gehoste diensten. Uitsluitend toegang
tot FTP, CMS, databasebeheer enz enz via een specifieke VPN voor die klant.
Tegenwoordig verstaan mensen onder VPN meestal zo'n onduidelijke omleidservice om onder een ander IP te
werken, en dat helpt uiteraard niks.
Die is helder en duidelijk. PrimaSterker nog, dat zou ik als een vereiste willen zien voor alle beheer van gehoste diensten. Uitsluitend toegang
tot FTP, CMS, databasebeheer enz enz via een specifieke VPN voor die klant.
Tegenwoordig verstaan mensen onder VPN meestal zo'n onduidelijke omleidservice om onder een ander IP te
werken, en dat helpt uiteraard niks.
Bij AirVPN is het trouwens ook mogelijk een zgn. port forwarding in te stellen. Zou ik daarmee de verbinding tussen de vpn server en de ftp server wel kunnen versleutelen?
Door opti: Bij AirVPN is het trouwens ook mogelijk een zgn. port forwarding in te stellen. Zou ik daarmee de verbinding tussen de vpn server en de ftp server wel kunnen versleutelen?
port forwarding an-sich niet, dat doet niks mbt eventuele encapsulering. Even vanuit een andere insteek; zou het niet wenselijker zijn om anders meerdere momenteel ftp sites zelf te gaan beheren onder een enkele sftp server met meerdere VirtualHosts? Je wil gewoon van platte ftp af! Of minstens een vpn vanaf je client tot en met de server, anders is het platte ftp alsnog te vinden.
Door opti: Bij AirVPN is het trouwens ook mogelijk een zgn. port forwarding in te stellen. Zou ik daarmee de verbinding tussen de vpn server en de ftp server wel kunnen versleutelen?
Neen. De verbinding tussen jouw VPN server en de FTP server is nog altijd onversleuteld, alleen op een ander poortje.Als je geen SSH kunt gebruiken of een directe VPN naar jouw hosting provider, kun je het wel vergeten.
Of je moet een frontend over HTTPS maken/installeren waarmee je bestanden kunt overzetten.
Waarom zou het beslist via een VPN-provider moeten lopen?
Die zelfstandige VPN-routers met VPN-engine en VPN-versleuteling aan boord verkopen ze niet voor niets.
In dat geval is wél de hele reis op internet versleuteld.
Vergt wel de aanschaf van de benodige VPN-apparatuur.
Eén VPN-router gaat al snel richting €150, en je kon er wel eens 2 stuks nodig hebben?
Of kan het ook gemakkelijk met één VPN-router?
Op dat gebied heb ik nog niet zoveel ervaring eerlijk gezegd.
Ik weet alleen dat het kan.
Iemand anders?
Die zelfstandige VPN-routers met VPN-engine en VPN-versleuteling aan boord verkopen ze niet voor niets.
In dat geval is wél de hele reis op internet versleuteld.
Vergt wel de aanschaf van de benodige VPN-apparatuur.
Eén VPN-router gaat al snel richting €150, en je kon er wel eens 2 stuks nodig hebben?
Of kan het ook gemakkelijk met één VPN-router?
Op dat gebied heb ik nog niet zoveel ervaring eerlijk gezegd.
Ik weet alleen dat het kan.
Iemand anders?
Ho wacht,
Ik mag hier geen reclame maken , maar voor ca. 85 euro koop je al een VPN-router met:
* Dynamisch/statisch IP, PPPoE/Russisch PPPoE, L2TP/Russisch L2TP, PPTP/Russisch PPTP en BigPond bekabelde WAN verbindingstypen
* Max. 20 IPsec VPN tunnels, 16 PPTP VPN tunnels
* DES, 3DES, AES128, AES192, AES256 versleuteling
* MD5, SHA1 verificatie
* Handmatige, IKE sleutelbeheer modus
* LAN-to-LAN IPsec VPN
* Statische routing
* MAC Clone, IP&MAC Binding, Bandwidth Control
* DHCP Client/Server, DHCP Address Reservation
* Virtual Server, Port Triggering, DMZ, UPnP
* SPI Firewall, PPTP/L2TP/IPsec Passthrough, FTP/TFTP/H.323/RTSP ALG
* DoS Attack Defence, Ping of Death
* ACL
* Dynamisch DNS
* Beheer op afstand
Dit soort routers wordt ook veel ingezet voor een veilige verbinding met thuiswerkers.
Ik mag hier geen reclame maken , maar voor ca. 85 euro koop je al een VPN-router met:
* Dynamisch/statisch IP, PPPoE/Russisch PPPoE, L2TP/Russisch L2TP, PPTP/Russisch PPTP en BigPond bekabelde WAN verbindingstypen
* Max. 20 IPsec VPN tunnels, 16 PPTP VPN tunnels
* DES, 3DES, AES128, AES192, AES256 versleuteling
* MD5, SHA1 verificatie
* Handmatige, IKE sleutelbeheer modus
* LAN-to-LAN IPsec VPN
* Statische routing
* MAC Clone, IP&MAC Binding, Bandwidth Control
* DHCP Client/Server, DHCP Address Reservation
* Virtual Server, Port Triggering, DMZ, UPnP
* SPI Firewall, PPTP/L2TP/IPsec Passthrough, FTP/TFTP/H.323/RTSP ALG
* DoS Attack Defence, Ping of Death
* ACL
* Dynamisch DNS
* Beheer op afstand
Dit soort routers wordt ook veel ingezet voor een veilige verbinding met thuiswerkers.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
