OPNsense Forum

International Forums => German - Deutsch => Topic started by: lenny on August 04, 2020, 10:01:21 am

Title: FTP Proxy - explizietes SSL/TLS
Post by: lenny on August 04, 2020, 10:01:21 am

Hi,
ich habe einen FTP Proxy auf der Sense, unverschlüsselt funktioniert es auch wunderbar.
Wenn jedoch über Port 21 explizietes SSL/TLS verwendet wird, baut er keine Verbindung auf.

Muss dafür etwas speziell eingerichtet werden?
Danke!

Title: Re: FTP Proxy - explizietes SSL/TLS
Post by: micneu on August 04, 2020, 10:40:27 am

bin mir nicht sicher, aber mit dem ha proxy kannst du es versuchen.

Title: Re: FTP Proxy - explizietes SSL/TLS
Post by: fabian on August 04, 2020, 12:14:17 pm

Der FTP proxy kann kein TLS. Er sieht daher bei verschlüsselten Verbindungen nicht, auf welchen Port die Datenverbindung geht und kann daher die Firewall nicht entsprechend konfigurieren.

Title: Re: FTP Proxy - explizietes SSL/TLS
Post by: lenny on August 05, 2020, 09:28:09 am

Also keine Chance, verschlüsseltes FTP zu nutzen, wenn man opnSense nutzt?

(horende Portranges freischalten möchte man ja nicht...)

Title: Re: FTP Proxy - explizietes SSL/TLS
Post by: fabian on August 05, 2020, 12:33:59 pm

ne, außer eine IP addresse per 1:1 NAT durchzuleiten oder einen port range auf die maschine weiterzuleiten gibts da kaum eine möglichkeit. Theoretisch könnte man das FreeBSD FTP-Proxy utility so erweitern, dass der auch TLS-MITM kann, dann würde das auch so funktionieren, aber allgemein gibt es da keine Lösung. FTP, SIP (Telefonie) und co gelten nicht umsonst als problematisch mit Firewalls und NAT. Wenn du dich da ein wenig umsiehst, wirst du feststellen, dass das kein OPNsense spezifisches Problem ist.

Generell geht die Entwicklung dazu, FTP wegen der Probleme komplett zu verbannen und gegen SFTP (SSH) und Protokolle auf HTTP-Basis auszutauschen (z. B. WebDAV, REST-APIs). Die alternative: IPv6 und direkt mit dem Server sprechen, dann kannst du dafür defacto eine pass any Regel für den Host machen.

Title: Re: FTP Proxy - explizietes SSL/TLS
Post by: Patrick M. Hausen on August 05, 2020, 12:57:40 pm

FTPS ist sowieso funktional kaputt. Benutz SFTP, wenn Du verschlüsselte Übertragung willst.

Hintergrund: FTPS verschlüsselt die Verbindung, hat aber den Müll mit der separaten Daten- und Steuer-Verbindung von FTP beibehalten. Da da jetzt aber kein Proxy und kein NAT mehr reingucken kann, um die PORT Kommandos auszuwerten ...

Title: Re: FTP Proxy - explizietes SSL/TLS
Post by: fabian on August 05, 2020, 08:25:20 pm

Noch viel lustiger finde ich, ist, dass man nicht mal weis, ob die Datenverbindung dann auch TLS-geschützt ist, das ist nämlich nicht sicher. Da gibt es nämlich 3 Varianten bei FTP mit TLS:

* Nur Credentials sind geschützt (das geht nur mit einer STARTTLS variante)
* Nur der Steuerkanal ist geschützt
* Beides ist geschützt