Computerbeveiliging - Hoe je bad guys buiten de deur houdt

FTP via VPN?

27-06-2018, 10:32 door acb, 17 reacties
Vraagje over veilig gebruik van FTP: momenteel beheer ik een aantal websites die alleen via plain FTP te bereiken zijn (dus geen beveiligde/versleutelde FTP verbinding mogelijk).

Is het een idee om eerst een VPN verbinding op te zetten en dan pas via FileZilla in te loggen op de FTP server?

Verhoogt dat de veiligheid? Mijn verkeer gaat dan immers door de versleutelde VPN tunnel... toch?

p.s. ja, ik ga op zoek naar een andere webhost, maar dat is voor later :)
Reacties (17)
27-06-2018, 10:55 door Anoniem
Nee, Je verkeer gaat van jou naar de VPN-provider door een versleutelde verbinding, maar tussen de VPN-provider en de hostingprovider waar je website staat is de verbinding precies zo onversleuteld als wanneer je de verbinding rechtstreeks legt, en dat is nog steeds kwetsbaar. Waar het wel verschil voor kan uitmaken is als je via onbeveiligde WiFi-verbindingen verbinding maakt, dan kan je met een VPN wel bereiken dat dat deel van de verbinding versleuteld is.

Wat je wilt is een versleutelde verbinding naar je hostingprovider. Kijk in de site manager van Filezilla naar de opties bij "encryption". Kijk of je daarmee voor elkaar kan krijgen dat je een versleutelde FTP-verbinding (met TLS) kan afdwingen.
27-06-2018, 11:09 door Anoniem
Door acb: Vraagje over veilig gebruik van FTP: momenteel beheer ik een aantal websites die alleen via plain FTP te bereiken zijn (dus geen beveiligde/versleutelde FTP verbinding mogelijk).

Is het een idee om eerst een VPN verbinding op te zetten en dan pas via FileZilla in te loggen op de FTP server?

Verhoogt dat de veiligheid? Mijn verkeer gaat dan immers door de versleutelde VPN tunnel... toch?

p.s. ja, ik ga op zoek naar een andere webhost, maar dat is voor later :)

Het verkeer is versleuteld van jouw vpn begin tot aan het vpn endpoint.

Als jij bijvoorbeeld een VPN service gebruikt met een endpoint in de VS (vanwege je netflix ofzo) , dan gaat het verkeer daarna weer onversleuteld van de VS naar je server .
Maar als je VPN endpoint ongeveer naast je ftp server zit is het pad dat onversleuteld is heel kort .

Als de plek waar een eventuele sniffer zit alleen maar heel dicht bij jou kan zitten (bijvoorbeeld huisgenoten op je huis-wifi) scheelt het al wanneer je het leesbare verkeer via het VPN naar "ver buiten" brengt .
Bij voorkeur natuurlijk tot op of naast de FTP server, maar zelfs een reguliere VPN service is dan al een verbetering tegen de buurt-sniffers .

Kortom - een VPN beschermt je tegen afluisteraars die 'onderweg' in het pad zitten waar het VPN loopt.
Zit de afluisteraar voor het begin van het VPN (bijvoorbeeld direct op je [gehackte] PC ), of op/na het eindpoint van het VPN dan helpt het niet .

(niet voor het een of ander maar - is dit concept nou echt te moeilijk om uit alle VPN FAQs te halen ? )
27-06-2018, 11:10 door PietdeVries
Bij gebruik van FTP gaat je wachtwoord onversleuteld over de verbinding. Realistisch gezien kan dat een probleem zijn als je gebruik maakt van een open Wifi netwerk of een netwerk dat beheerd wordt door een schimmige sysadmin. Dan aan de server kant - jouw hoster. Die kan als 'ie dat zou willen ook redelijk makkelijk meeluisteren.

Het eerste probleem, aan jouw kant, ondervang je inderdaad met een VPN. Het tweede probleem, aan de serverkant, fix je alleen als de VPN ook echt uitkomt op je website en niet ergens bij een VPN provider. Dan is immers de verbinding van VPN provider naar website alsnog plain-FTP.

In de meeste andere gevallen valt volgens mij het probleem wel mee: het aantal snuiters dat de backbone af kan luisteren zal vast niet heel veel interesse hebben in jouw FTP wachtwoord.
27-06-2018, 11:12 door Anoniem
Hoi,

Dit ligt eraan waar de VPN tunnel begint en eindigt.
Als je bijvoorbeeld je VPN tunnel opzet naar priovider A en je FTP staat bij provider B dan
is de verbinding tussen jou en privider A wel versleuteld maar tussen provider A en B niet daar gaat dan nog steeds alles plaintextt over het internet.

Mocht het zo zijn dat je bijvoorbeeld rechtstreeks naar de server of naar het (veilige) netwerk waar de FTP server inhangt zou kunnen VPNnen dan zou het wel een goeie oplossing zijn. (maar ik gok dat dat niet het geval is?)

Wat je wel zou kunnen doen mocht je site over HTTPS kunnen een http based FTP client op je server zetten. Die maakt dan lokaal op de server een FTP verbinding en het verkeer tussen jou en de server zou dan over HTTPS kunnen.

Maar als je webhost enkel FTP aanbied kun je je afvragen hoe het met de rest van de security staat.
Misschien dat je op aanvraag alsnog sftp, ftps of scp toegang kan krijgen?

Succes ermee.
27-06-2018, 11:25 door Anoniem
Kijk eens naar SCP. Ik gebruik helemaal geen ftp meer. SCP gaat over SSH.

Ik gebruik ook al heel lang geen telnet meer. Enkel de client nog om te kijken of er iets naar een port luistert. FTP is net zo iets.
27-06-2018, 11:36 door acb
Bedankt allen voor de hulp en info. Ik heb ondertussen ondekt dat ik heel gemakkelijk een SSH verbinding kan opzetten via mijn webhost instellingen. Ik heb dit nu voor 1 website gedaan en ik kan inderdaad in FileZilla nu via de optie SFTP-SSH inloggen.

Ik gebruik nu een nieuwe Host (ssh.domein.nl) en nieuwe gebruikersnaam in combinatie met mijn oude ftp wachtwoord.

Ik neem aan dat dit wel een veilige methode is toch?
27-06-2018, 11:50 door Anoniem
Oude SSH versies zijn lek. Zorg dat je de nieuwste versie gebruikt. Met het liefst sleuteltjes van 2048 tekens.
27-06-2018, 12:19 door Anoniem
Door Anoniem: Kijk eens naar SCP. Ik gebruik helemaal geen ftp meer. SCP gaat over SSH.
Ik heb twee keer meegemaakt dat een hostingprovider die ik geselecteerd had wegens SSH-ondersteuning voor precies dit doel die ondersteuning op een gegeven moment liet vervallen na overname door een grotere partij die dat kennelijk overbodig vond. Beide keren kreeg ik daar niet eens bericht over, het stopte gewoon te werken.

Hoe selecteer jij hostingproviders die dat ondersteunen en ook blijven ondersteunen?
27-06-2018, 13:10 door Anoniem
Ja met SSH heb je ook nog de mogelijkheid om een public key te genereren op je eigen PC en die te installeren op
de server waardoor die server weet dat hij met een vertrouwde client praat.
Als je dat gebruikt IN PLAATS VAN een wachtwoord dan wordt het er niet persé veiliger op (hangt er van af wat je
nu met dat wachtwoord doet, als je dat zo-lekker-handig in FileZilla op je PC opslaat dan is dat toch al niet veilig),
maar het is als additionele maatregel wel een goed idee. Zelfs al weet men je wachtwoord dan nog kan men niet
inloggen.
27-06-2018, 17:08 door Anoniem
Wachtwoorden? Leven we nog in het jaar 2000? Keys bro, keys!
27-06-2018, 20:38 door Anoniem
Ftp via Utp is veiliger dan via Wifi
27-06-2018, 21:05 door Anoniem
Door acb: Bedankt allen voor de hulp en info. Ik heb ondertussen ondekt dat ik heel gemakkelijk een SSH verbinding kan opzetten via mijn webhost instellingen. Ik heb dit nu voor 1 website gedaan en ik kan inderdaad in FileZilla nu via de optie SFTP-SSH inloggen.

Ik gebruik nu een nieuwe Host (ssh.domein.nl) en nieuwe gebruikersnaam in combinatie met mijn oude ftp wachtwoord.

Ik neem aan dat dit wel een veilige methode is toch?
Ja maar gebruik een andere cliënt dat Filezilla. Upload hem voor de grap eens bij virustotal
27-06-2018, 21:22 door Anoniem
Door acb: Bedankt allen voor de hulp en info. Ik heb ondertussen ondekt dat ik heel gemakkelijk een SSH verbinding kan opzetten via mijn webhost instellingen. Ik heb dit nu voor 1 website gedaan en ik kan inderdaad in FileZilla nu via de optie SFTP-SSH inloggen.

Ik gebruik nu een nieuwe Host (ssh.domein.nl) en nieuwe gebruikersnaam in combinatie met mijn oude ftp wachtwoord.

Ik neem aan dat dit wel een veilige methode is toch?

Je bedoelt dat wachtwoord dat tientallen keren plaintext over het internet is gegaan en als gecompromitteerd moet worden beschouwd? Waarom verander je je wachtwoord niet?
28-06-2018, 01:58 door Anoniem
Installeer vpn module op de ftp server...
28-06-2018, 08:53 door Anoniem
Door Anoniem: Installeer vpn module op de ftp server...

Als je dat kunt doen, kun je natuurlijk ook wel een upload protocol met encryptie installeren ....

In de post van de TS leek het erop dat er geen controle was over de ftp server (maar dat die beheerd werd door de hoster).
Verder - zoals je kunt lezen in 27-6 11:38 heeft hij inmiddels SSH kunnen aanzetten.
28-06-2018, 13:17 door Anoniem
Door Anoniem:
Ja maar gebruik een andere cliënt dat Filezilla. Upload hem voor de grap eens bij virustotal
Je moet de variant via SourceForge downloaden. De filename mag geen "bundle" bevatten.
Er is niets mis met FileZilla, maar met de eikel die het gebundeld uitdeelt zodra men direct op "download" klikt zonder op te letten.

Zie deze pagina: https://filezilla-project.org/download.php?show_all=1
Daar kan je de juiste variant downloaden (zonder "bundle" in de bestandsnaam).
28-06-2018, 13:36 door Anoniem
Door Anoniem:
Door Anoniem: Kijk eens naar SCP. Ik gebruik helemaal geen ftp meer. SCP gaat over SSH.
Ik heb twee keer meegemaakt dat een hostingprovider die ik geselecteerd had wegens SSH-ondersteuning voor precies dit doel die ondersteuning op een gegeven moment liet vervallen na overname door een grotere partij die dat kennelijk overbodig vond. Beide keren kreeg ik daar niet eens bericht over, het stopte gewoon te werken.

Hoe selecteer jij hostingproviders die dat ondersteunen en ook blijven ondersteunen?

Je zou kunnen vragen of ze telnet ondersteunen. Dat is al oud en inmiddels een heel onveilig protocol. Zeggen ze dan ja natuurlijk en verder niks, dan zou ik het niet doen! Want een hostingprovider die daar nonchalant mee omgaat kun je echt niet serieus nemen. Waarschijnlijk is dan zo een server ook al twee jaar niet meer geactualiseerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.