FTP Proxy - explizietes SSL/TLS

Started by lenny, August 04, 2020, 10:01:21 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 04, 2020, 10:01:21 AM
Hi,
ich habe einen FTP Proxy auf der Sense, unverschlüsselt funktioniert es auch wunderbar.
Wenn jedoch über Port 21 explizietes SSL/TLS verwendet wird, baut er keine Verbindung auf.

Muss dafür etwas speziell eingerichtet werden?
Danke!
August 04, 2020, 10:40:27 AM #1
bin mir nicht sicher, aber mit dem ha proxy kannst du es versuchen.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 04, 2020, 12:14:17 PM #2
Der FTP proxy kann kein TLS. Er sieht daher bei verschlüsselten Verbindungen nicht, auf welchen Port die Datenverbindung geht und kann daher die Firewall nicht entsprechend konfigurieren.
August 05, 2020, 09:28:09 AM #3
Also keine Chance, verschlüsseltes FTP zu nutzen, wenn man opnSense nutzt?

(horende Portranges freischalten möchte man ja nicht...)
August 05, 2020, 12:33:59 PM #4
ne, außer eine IP addresse per 1:1 NAT durchzuleiten oder einen port range auf die maschine weiterzuleiten gibts da kaum eine möglichkeit. Theoretisch könnte man das FreeBSD FTP-Proxy utility so erweitern, dass der auch TLS-MITM kann, dann würde das auch so funktionieren, aber allgemein gibt es da keine Lösung. FTP, SIP (Telefonie) und co gelten nicht umsonst als problematisch mit Firewalls und NAT. Wenn du dich da ein wenig umsiehst, wirst du feststellen, dass das kein OPNsense spezifisches Problem ist.

Generell geht die Entwicklung dazu, FTP wegen der Probleme komplett zu verbannen und gegen SFTP (SSH) und Protokolle auf HTTP-Basis auszutauschen (z. B. WebDAV, REST-APIs). Die alternative: IPv6 und direkt mit dem Server sprechen, dann kannst du dafür defacto eine pass any Regel für den Host machen.
August 05, 2020, 12:57:40 PM #5
FTPS ist sowieso funktional kaputt. Benutz SFTP, wenn Du verschlüsselte Übertragung willst.

Hintergrund: FTPS verschlüsselt die Verbindung, hat aber den Müll mit der separaten Daten- und Steuer-Verbindung von FTP beibehalten. Da da jetzt aber kein Proxy und kein NAT mehr reingucken kann, um die PORT Kommandos auszuwerten ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
August 05, 2020, 08:25:20 PM #6
Noch viel lustiger finde ich, ist, dass man nicht mal weis, ob die Datenverbindung dann auch TLS-geschützt ist, das ist nämlich nicht sicher. Da gibt es nämlich 3 Varianten bei FTP mit TLS:

* Nur Credentials sind geschützt (das geht nur mit einer STARTTLS variante)
* Nur der Steuerkanal ist geschützt
* Beides ist geschützt
Print
Go Up Pages1
User actions