BulletProof Sicherheit?

C

ccarrom

Herzlich willkommen!
Hi,
nachdem meine letzten Probleme geklärt sind stehe ich nur noch vor der Frage
"Wie sicher ist der BulletProof?"

Der FTP-Server soll auf einem Rechner in unserem Netzwerk eingesetzt werden. Er läuft als Service, dessen Konto nur lokale Rechte hat.
Kann das Programm gehackt werden, dass trotzdem Daten aus dem Netzwerk gesaugt werden?

Oder anders formuliert- wenn ich keinen einzigen Useraccount anlege, das Programm aber laufen lassen, kann man über den Bulletproof ins Netz eindrigen?

Danke für eure Hilfen.
Chabby
 
> "Wie sicher ist der BulletProof?"

Hmm, kommt immer darauf an wie gut ein FTP-Server vom Hersteller (Programmierer) gepflegt wird. Dir muß klar sein, dass das FTP_Protokoll an sich nie sicher sein kann, da die Login/Password-Anfrage unverschlüsselt übertragen werden v.a lokale Nutzer könnten durch Sniffer die Passwörter abfangen (glaub es mir ;) ).
Mindestens sollten Passwörter verschlüsselt angelegt werden, welche dann in User.ini gespeichert (damit wird zumindestens das Auslesen dieser Datei verhindert, sniffen kann man aber trotzdem noch) werden.

ein Blick auf FTP-Server verbunden mit SicherheitsBugs
-> http://www.securityspace.com/smysecure/catdescr.html?cat=FTP

Das Thema Sicherheit ist ein weitläufiges Thema, aber ich würde BulletProof als gepflegeten Server sehen, wobei ich nie das Vertrauen an das Entwicklerteam setzen würde. Nutze selber seit 2 Jahren nur warftpd (aus voller Überzeugung). bzw. proftpd (unter Linux) Kann nur sagen, dass ich an BP kein Vertrauen setzen würde, da von BulletProof der ftp_client ständig nach Hause telefonierte sowie auch z.B. Serv_u2.5 FTP-Server von deerfield.com, bei G6/Bulletproof FTP-Server, weiß ich nicht bzw. konnte ich damals nix feststellen. Aber wer schon Windows XP einsetzt (wie ich z.B.) sollte vielleicht gar nix dazu sagen ;)

Hab leider derartiges Verhalten schon lange nicht mehr beobachtet, da ich ich mir vor langer Zeit für bestimmte Software für Windows entschieden habe (meine experementierfreude ist was Windows anbelangt auf /dev/null angelangt). :)

Software von der ich überzeugt bin (Windows)

- Ftp-Server --> warftpd
- Webserver --> wampp1
- Mailserver --> mercury32
- ftp-client --> leechftp
- Office --> OpenOffice
- ICQ --> Miranda
- Mail_client --> OE i.V.m. OE-quotefix
- Virenscanner --> AntiVir
 
Zuletzt bearbeitet:
Hallo termito, besten Dank für Deine Antwort - da ist uns doch glatt was durchgegangen. Normalerweise lassen wir gerade solche Fragen nicht unbeantwortet. Auch Hinweise auf "Konkurrenzpodukte" stören mich hier nicht - ich verdiene mein Geld ja nicht damit :D
 
> Auch Hinweise auf "Konkurrenzpodukte" stören mich hier nicht

o.k., aber ich find jetzt reicht es mit Fremdwerbung (siehe noch andere Threats) :)

Aber Sicherheit ist ein so sensibles Thema, nur mal so, was ich da noch gefunden habe (ohne Gewähr)
Kannst ja löschen Supernature, falls dieser Beitrag nicht erwünscht ist :uzi

:devil http://internettrash.com/users/phonehome/indexg.html
 
Original geschrieben von termito

Kannst ja löschen Supernature, falls dieser Beitrag nicht erwünscht ist :uzi
Zum Vergrößern anklicken....
Ne, das mach ich! :D Spaß bei Seite, ist völlig OK

Der GENE6 - FTP-Server(22.10.00)
telefoniert nach Hause....ausser man wühlt sich zu diesen Einstellungen und ändert entsprechend...Setup -> Main -> Visual, Miscellaneous -> Checkbox "Check for G6 Ftp Server upgrade availability"
G6 Ftp-Server(18.3.01)
Die als 30-Tage-Trial genutzte Version ergab nach Ablauf der Testzeit, daß im Log mehrfach Login-versuche einer französichen IP vermerkt wurde. Das ist interessant, da der User seinen FTP nur für sich konfigurierte und _niemand_ sonst diesen Server nutzen konnte. Desweiteren sitzt der Hersteller in Frankreich!!!
Es liegt also nahe, daß hier Phonehome betrieben wurde und der Hersteller versucht, quasi in vivo zu überprüfen, ob der Server läuft. G6 gibt sich nämlich beim Login als solcher zu erkennen.
Als alternativen Server empfehle ich den WarFtp von www.jgaa.com bzw die Konfiguration des G6 auf einen anderen Port.
Weitere Möglichkeit ist auch, da der User G6 vom Hersteller gedowned hat, daß dort die IP gelogged wurde, was aber bei einer dyn IP-vergabe irrelevant ist
Zum Vergrößern anklicken....

Also ich dieses Verhalten noch icht beobachten können...
Naja, ich halte den Server soweit als sehr sicher, das Drumherum muss halt auch stimmen ;) Die kommende 3er Version wird übrigens (wie schonmal angekündigt BPSFTP-Server heißen - das Extra-"S" für Secure - es wird vermehrt auf höhere Sicherheit Wert gelegt!
Die 2er Version ist langsam auch wirklich veraltet...
 
Eine automatische Überprüfung auf neue Versionen, die man zudem abschalten kann, möchte ich nicht unbedingt als "PhoneHome" werten.
Aber egal. Wer ganz sicher gehen will, kann dem Server ja über die Firewall die Kommunikation über Port 80 verbieten. Über diesen läuft der Update-Check nämlich.

Das mit den Hack-Versuchen von einer französischen IP - sorry, aber dafür hab ich nur diesen übrig: :ROFLMAO:
Wenn ein Software-Hersteller derart Böses im Schilde führt, dann baut er sich eine Backdoor ein und sorgt nicht noch dafür, dass alles sauber protokolliert wird.
 
dito.gif
 
Original geschrieben von Supernature
Das mit den Hack-Versuchen von einer französischen IP - sorry, aber dafür hab ich nur diesen übrig: :ROFLMAO:
Wenn ein Software-Hersteller derart Böses im Schilde führt, dann baut er sich eine Backdoor ein und sorgt nicht noch dafür, dass alles sauber protokolliert wird.
Zum Vergrößern anklicken....

Muß dir zu diesem Fall auch zustimmen, wobei ich natürlich (wie im ersten Threat geschrieben hatte) derartiges Verhalten bei BP FTP-Server nicht nachvollziehen konnte, deshalb im 2. Threat auch der Artikel ohne Gewähr.

Wie im ersten Threat geschrieben, konnte ich nur bei Bullet_Proof FTP-Client derartiges Verhalten feststellen.
Auf jeden Fall haben sich die Softwarehersteller von Globalspace und BP was FTP-Clients betrifft, ein wirkliches Backdoor geschaffen. Keys werden sobald Online auf einer Datenbank überprüft, ob diese Schlüssel auch wirklich registriert sind, wenn nicht dann ...
 
Zuletzt bearbeitet:
Hallo KOENICH du schriebst folgendes >

> Ne, das mach ich! :D Spaß bei Seite, ist völlig OK

:smokin

> Also ich dieses Verhalten noch icht beobachten können...

ich auch nicht :bier

>Naja, ich halte den Server soweit als sehr sicher,

du meinst sicherlich kugelsicher :D

>das Drumherum muss halt auch stimmen ;) Die kommende 3er Version wird übrigens (wie schonmal angekündigt BPSFTP-Server heißen - das Extra-"S" für Secure - es wird vermehrt auf höhere Sicherheit Wert gelegt!

Und wahrscheinlich soll dieser nun auch wirklich sftp unterstützen, denk ich :angel

> Die 2er Version ist langsam auch wirklich veraltet...

jo, aber sofern keine sicherheitsrelavanten Bugs aufgetreten sind, ist das auch nicht nötig, alte Version und immer noch vorne dabei, spricht für BP :cool:
 
Heho.....


Ich habe es mir aufgrund schlechter Erfahrungen angewöhnt, grundsätzlich eine leeres home directory zu verwenden und die entsprechenden Verzeichnisse da hineinzumappen.
BPFTP muß eine Sicherheitslück haben, es sind mir mehrfach ganze Verzeichnisbäume abhanden gekommen, niemals aber eines der gemappten Verzeichnisse.


Gruß mk033
 
Original geschrieben von mk033
BPFTP muß eine Sicherheitslück haben
Zum Vergrößern anklicken....
So etwas ist mir gänzlich unbekannt - nichts gegen dich :p, aber das mag auch an fehlerhaft vergebenen Rechten gelegen haben. Mir ist ähnlihces zumindest noch nie passiert
:)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben