SFTP vs FTP bezpečnost

creatura

SFTP vs FTP bezpečnost
« kdy: 18. 04. 2019, 20:30:07 »
Ahoj, všude čtu, že FTP by se nemělo používat protože hrozí přečtení hesla odesílaného v textovém formátu. FTP je bezpečné pro server, ale teoreticky nebezpečné pro data. Dobře. přečetl jsem článek https://www.root.cz/clanky/jak-nahradit-ftp-pomoci-sftp-a-zamknout-uzivatele/ kde se pojednává o náhradě pomocí SFTP. Přečetl jsem a nastavil.

Ale použitím SFTP vystrčím do internetu port 22. Ve všech fórech se zmiňuje jen problém s bruteforce attakem který řeší silná hesla, a vím, že mohu nastavit před sdílené klíče které situaci ještě vylepší.

Moje otázka je, zda je opravdu bezpečné vystavit SSH port 22 do internetu a co by se mělo pohlídat aby nevznikl nějaký bezpečnostní problém?

Předem dík


Vilith

  • *****
  • 660
    • Zobrazit profil
Re:SFTP vs FTP bezpečnost
« Odpověď #1 kdy: 18. 04. 2019, 20:50:26 »
FTP over SSL nebo SFTP je podle meho nazoru rovnocenne z hlediska nebezpeci odposlechu hesla

Obecne je dobre tyto sluzby oddelit, SSH (SFTP) pro roota a FTP over SSL pro bezne usery

Urcite ale SSH s klicem, ne s heslem

Re:SFTP vs FTP bezpečnost
« Odpověď #2 kdy: 18. 04. 2019, 21:00:38 »
Moje otázka je, zda je opravdu bezpečné vystavit SSH port 22 do internetu a co by se mělo pohlídat aby nevznikl nějaký bezpečnostní problém?

Nedávno se to tu dlouze řešilo.

Je to bezpečné, pokud zajistíte:
  • Aktualizovaný software, který to ovlivňuje (jádro, SSH server a knihovny, které server používá).
  • Používat bezpečné, tj. především aktuální, protokoly a algoritmy.
  • Povolit přihlášení pouze klíčem (čímž se zbavíte problémů se slabými hesly).
  • Držet klíč v tajnosti, používat rozumně dlouhý klíč.

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:SFTP vs FTP bezpečnost
« Odpověď #3 kdy: 18. 04. 2019, 21:11:08 »
A jeste jsi zapomnel:

Pokud jste paranoidni, tak schovat vse do VPN (OpenVPN)

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:SFTP vs FTP bezpečnost
« Odpověď #4 kdy: 18. 04. 2019, 21:44:36 »
Jen jsem zapomnel na jednu vec:
Pokud neches, aby ti trvale nekdo busil na porty SSH a FTP, tak se vyplati nasadit i fail2ban


Re:SFTP vs FTP bezpečnost
« Odpověď #5 kdy: 18. 04. 2019, 21:50:03 »
Pokud neches, aby ti trvale nekdo busil na porty SSH a FTP, tak se vyplati nasadit i fail2ban
…který ovšem „bušení na porty“ (tedy pokusům o navázání spojení) nijak nezabrání.

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:SFTP vs FTP bezpečnost
« Odpověď #6 kdy: 18. 04. 2019, 21:59:05 »
Pokud neches, aby ti trvale nekdo busil na porty SSH a FTP, tak se vyplati nasadit i fail2ban
…který ovšem „bušení na porty“ (tedy pokusům o navázání spojení) nijak nezabrání.

A co si tak treba o fail2ban alespon precist manualovou stranku?

fail2ban  -  a  set  of server and client programs to limit brute force authentication attempts.



Re:SFTP vs FTP bezpečnost
« Odpověď #7 kdy: 18. 04. 2019, 22:22:24 »
A co si tak treba o fail2ban alespon precist manualovou stranku?

fail2ban  -  a  set  of server and client programs to limit brute force authentication attempts.

Vy jste nepoučitelný. Přečetl jste si to, co jste zkopíroval? Umíte si přeložit, že „authentication attempts“ znamená např. „pokusy o autentizaci“? V jakém světě „bušení na porty“ v kontextu síťové komunikace znamená „pokusy o autentizaci“?

Pro vaši informaci, fail2ban obvykle zmaří opakované pokusy o navázání spojení, protože po několika neúspěšných pokusech na firewallu na daném zařízení zablokuje příslušnou zdrojovou IP adresu (což je výborné ve světě zamořeném NATy). Nezabrání ale tomu, aby paket zahajující spojení přišel. To by musel komunikaci zablokovat někde dřív, třeba na síťovém firewallu. Pak by útočník „nebušil na porty“ cílového serveru, ale jenom na síťový firewall.

fail2ban může ještě fungovat tak, že když se útočníkovi nepodaří vůbec navázat TCP/IP spojení, nebude to s dalším heslem už ani zkoušet. Což ovšem vyžaduje určitou inteligenci od útočníka, a inteligentní útočník nejspíš nebude ani zkoušet různá hesla, když server autentizaci heslem vůbec nepodporuje.

Každopádně fail2ban není bezpečnostní opatření, protože když bude mít útočník motivaci, může ta hesla zkoušet z různých IP adres, a fail2ban si pak ani neškrtne.

Re:SFTP vs FTP bezpečnost
« Odpověď #8 kdy: 18. 04. 2019, 22:33:35 »
Velké části těhle otravných automatů se server zbaví i přehozením SSH na jiný port.
Od té doby co jsem to udělal, je log víceméně čistý.
Samozřejmě to nebrat jako náhradu jiných úrovní bezpečnosti.

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:SFTP vs FTP bezpečnost
« Odpověď #9 kdy: 19. 04. 2019, 06:48:16 »
A co si tak treba o fail2ban alespon precist manualovou stranku?

fail2ban  -  a  set  of server and client programs to limit brute force authentication attempts.

Vy jste nepoučitelný. Přečetl jste si to, co jste zkopíroval? Umíte si přeložit, že „authentication attempts“ znamená např. „pokusy o autentizaci“? V jakém světě „bušení na porty“ v kontextu síťové komunikace znamená „pokusy o autentizaci“?

Pro vaši informaci, fail2ban obvykle zmaří opakované pokusy o navázání spojení, protože po několika neúspěšných pokusech na firewallu na daném zařízení zablokuje příslušnou zdrojovou IP adresu (což je výborné ve světě zamořeném NATy). Nezabrání ale tomu, aby paket zahajující spojení přišel. To by musel komunikaci zablokovat někde dřív, třeba na síťovém firewallu. Pak by útočník „nebušil na porty“ cílového serveru, ale jenom na síťový firewall.

fail2ban může ještě fungovat tak, že když se útočníkovi nepodaří vůbec navázat TCP/IP spojení, nebude to s dalším heslem už ani zkoušet. Což ovšem vyžaduje určitou inteligenci od útočníka, a inteligentní útočník nejspíš nebude ani zkoušet různá hesla, když server autentizaci heslem vůbec nepodporuje.

Každopádně fail2ban není bezpečnostní opatření, protože když bude mít útočník motivaci, může ta hesla zkoušet z různých IP adres, a fail2ban si pak ani neškrtne.

Proc pisete stale dokola sve pravdy o necem, co evidentne nepouzivate a ani neznate
Zeme proste neni placata...

martyd420

  • ***
  • 193
  • K U B U N T U
    • Zobrazit profil
    • E-mail
Re:SFTP vs FTP bezpečnost
« Odpověď #10 kdy: 19. 04. 2019, 08:31:54 »
Proc pisete stale dokola sve pravdy o necem, co evidentne nepouzivate a ani neznate
Zeme proste neni placata...
Souhlas. Ty diskuze se pomalu nedají číst...  chystám se na filtry do adblocku, které by některé přehnaně aktivní spisovatele skryly :)
T_PAAMAYIM_NEKUDOTAYIM  |  Nemám rád IPv6 influencery :P

Jose D

  • *****
  • 850
    • Zobrazit profil
Re:SFTP vs FTP bezpečnost
« Odpověď #11 kdy: 20. 04. 2019, 12:09:23 »
zda je opravdu bezpečné vystavit SSH port 22 do internetu a co by se mělo pohlídat aby nevznikl nějaký bezpečnostní problém?
je. měl a mám takhle vystaveny desítky serverů.
Hesla zakázat, autentizace bezpečným klíčem.

To ti poskytne řádově vyšší bezpečnost než plaintext FTP.

Jose D

  • *****
  • 850
    • Zobrazit profil
Re:SFTP vs FTP bezpečnost
« Odpověď #12 kdy: 20. 04. 2019, 12:11:11 »
Proc pisete stale dokola sve pravdy o necem, co evidentne nepouzivate a ani neznate
TBH, s fail2banem tady dlouhodobě tapetuješ fórum ty.

k3dAR

  • *****
  • 2 838
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re:SFTP vs FTP bezpečnost
« Odpověď #13 kdy: 20. 04. 2019, 14:40:44 »
Proc pisete stale dokola sve pravdy o necem, co evidentne nepouzivate a ani neznate
TBH, s fail2banem tady dlouhodobě tapetuješ fórum ty.

Je rozdil opakovat to jako moznost a tapetovani p.Jirsaka ktere je napul teorie a napul demagogie, navic kdyz p.Jirsak pise hloupost/lez tak ani pak neuzna pravdu ale dale tapetuje nebo dela jako ze nic...

Re:SFTP vs FTP bezpečnost
« Odpověď #14 kdy: 20. 04. 2019, 19:31:44 »
Jen se priprav na jednu vec, FTP je super lightweight, SFTP (powered by SSH subsystem) bude pomalejsi, doporucuju zkompilovat custom open-ssh extenzi https://www.psc.edu/hpn-ssh

Pozn: na Gentoo nahodis pomoci use flag..