[Frage] Pasv Ports - Warum mehr als einen?

Biba

bekommt Übersicht
Pasv Ports - Warum mehr als einen?

Hallo und guten Morgen.

Wir haben bei unserem FTP mit SSL für den Pasv-Modus die Ports 50.000 bis 51.000 freigegeben. Eigentlich auch kein Problem, doch nun hat sich ein Kunde beschwert, da er sehr umständlich jeden Port in seiner Firewall einzeln freigeben muss. (Sinn und Zweck die eigenen ausgehenden Ports zu blocken lasse ich jetzt mal so da hingestellt :) ).

Da der Server aber den Pasv-Port vorgibt, hat der Kunde auch keine Chancen so entsprechend gegenzusteuern.

Was genau passiert nun, wenn ich die Limitierung von 1.000 Ports auf zB. 10 reduzieren würde ? Kann dann der 11 Benutzer keine Daten mehr übertragen oder werden die Ports geshared? Reicht dann vielleicht auch nur ein Pasvport ?
Lieben Dank im voraus !
Biba
 
Um auf der ganz sicheren Seite zu sein, benötigst Du mindestens so viele PASV-Ports, wie gleichzeitige Übertragungen oder Anmeldungen, Verzeichniswechsel etc. stattfinden.
 
Kann der Kunde keine Port-Range einstellen.

Da ist es dann nur ein Eintrag:

Im Anhang als Beispiel die Einstellung in der Fritzbox.
 

Anhänge

  • portrange.JPG
    portrange.JPG
    46,1 KB · Aufrufe: 275
Nein, das ist es ja eben. Das kann er leider nicht. Ich weiss allerdings auch nicht so genau was für eine furchtbar umständliche Firewall die haben, aber wer schon die ganzen ausgehenden Ports sperrt ist wohl entwerder Paranoid oder weiss nicht so genau Bescheid. Aber ist ja nen Kunde, also steht mir darüber kein Urteil zu :))

Auch die Einstellmöglichkeiten bei den verschiedensten Clients, wie FlashFXP, CoreFTP, VoyagerFTP, CuteFTP (usw.) haben bei den Einstellungen der PortRange offensichtlich keinerlei Einfluss auf den Server. Der weisst immer das zu, was er gerade zur Verfügung hat. Und eine Limitierung in der FW auf der Kundenseite hatte zum Erfolg, das keine Übertragung mehr möglich war.

Im übrigen geht das über die Fritzbox oder Router ähnlicher Bauweise etwas hinaus. Hoffe das klingt jetzt bitte nicht so arrogant wie ich fürchte, aber auf beiden Seiten kommen (wie bei allen Kunden) richtig große Firewalls zum Einsatz. So Dinger, wo wir alle einige Monate für sparen müssten.

Mist, klingt doch irgendwie verflixt arrogant jetzt. Privat setze ich allerdings auch bloß nen kleinen 3com ein. Vielleicht rettet mich das ja nun etwas :)
 
Supernature schrieb:
Um auf der ganz sicheren Seite zu sein, benötigst Du mindestens so viele PASV-Ports, wie gleichzeitige Übertragungen oder Anmeldungen, Verzeichniswechsel etc. stattfinden.

Hallo Supernature,

dann ist da wohl eine Administratorin mit sehr netter Stimme ab morgen sehr gefrustet. Wir haben die Logs der vergangenen 2 Jahre einmal ausgewertet und dabei festgestellt, dass wir Streckenweise bis zu 640 gleichzeitige Übertragungen hatten.

Gibt es denn sowas wie eine versteckte Option, mit der man einem Clienten eine eigene Portrange zuweisen kann?

Ja ich gebe zu, klingt in dem Fall schon zu schön um wahr zu sein.

In jedem Fall schon mal lieben Dank an alle.
 
Eine versteckte Einstellung gibt es nicht, höchstens einen kleinen Trick:
Erstelle eine virtuelle Domain unter der, zu welcher der Kunde gehört, und pack dort nur den einen User rein. Da er dort immer allein sein wird, werden 2-3 PASV-Ports sicher reichen.

Gerade bei großen Netzen macht es durchaus Sinn, auch ausgehende Ports zu blockieren, das ist bei uns (2500 Clients) genau so. Also nicht zu sehr auf den armen Kunden schimpfen ;).
 
Ha ! Jaa, das ist es. Genau so etwas hatte ich quasi gesucht. Das ist es. Das ist einfach richtig genial und so simpel und ich blödi hätte sogar selbst drauf kommen können. ;)
Meine Wertschätzung und mein Dank werden dir ein Leben lang unauffällig nachschleichen.

Eins vielleicht noch. Welchen Sinn macht es denn, ob großes, mittleres oder kleines Netz ? Selbst hochdotierte Informatiker hatten da für mich bisher nur so Antworten wie "Das macht es sicherer", die nicht wirklich befriedigend waren. Nun, Grundsätzlich bin ich jemand der die Meinung vertritt, ein bisschen mehr Sicherheit schadet nicht.

Vielleicht kann man es mit einem Auto auf der Autobahn vergleichen. Ist es bei durchschnittlich 120 sicherer, die Türen abzuschliessen? Im Falle eines Unfalls wohl eher nicht und eher hinderlich für Helfer und bei 120 die Türe aufreissen um die Handtasche zu klauen...?
 
Folgender hypotetischer Fall:
Ein Netzwerkvirus/wurm wie auch immer verbreitet sich selbstständig über das Netzwerk, in dem er auf bestimmte sehr hohe Ports zugreift.

So eine Infektion kann sich von einem zum anderen Client ausbreiten, unter umständen auch aus dem eigenenen Netzwerk ausbrechen etc...
Wenn Du ausgehende Ports blockierst, kann zwar immer noch ein einzenlner Rechner infiziert sein, aber die Verbreitungsgeschwindigkeit wird redzuiert und du bekommst mehr Zeit um zu reagieren.
 
Bei dem Thema könnten wir, wenn wir wollten, uns lange drüber streiten:))

Ich bin allerdings der Auffassung, dass man solche Probleme schon relativ einfach in den Griff bekommt. Durch Massnahmen wie Vorbeugung, statt mit dem Hammer auf Auswirkungen zu klopfen. Diese Meinung teile ich sogar mit den verantwortlichen Kollegen und wir haben uns strickt an unsere Regeln gehalten:

1. Einführung einer Art Führerschein für Computer und Internet. Wer gewisse Kenntnisse und Fertigkeiten nicht hat, darf nicht fahren und bei uns eben nicht mit Computern spielen. Also alle, auch Chefs, schulen, ausbilden und für Gefahren sensibilisieren. Hat wirklich geklappt. In den letzten 6 Jahren dieses Konzeptes gab es nicht einen Vorfall. Auch kein "Ich hab versehentlich die **.* gelöscht? Kann man die irgendwie wieder herstellen?"

2. Grundsätzlich sind keine ausführbaren Files im Email erlaubt. Warum auch? Eigentlich sollen überhaupt keine Files per Mail versendet werden, dafür gibt es ja FTP. Doch der Alltag sieht anders aus. Daher wird alles was nachträglich zugelassen wird vorher in Karantäne gestellt und dem User erst durch Prüfung eines Admins freigeschaltet. Anfangs sehr nervig doch mittlerweile passiert das nur noch 2-3 mal in der Woche mit weiter abnehmender Tendenz.

3. Generelles Rechtekonzept im Netzwerk mit wirklich nur dem, was der Anwender tatsächlich braucht. Keine DiskLaufwerke, kein USB/Firewire, keine Cardreader, etcpp.

4. Der nächste Schritt heisst nun, Windows nur da, wo es keine alternative Möglichkeit gibt. Hier ist dann allerdings der "Umschulungsaufwand" um einiges größer, weshalb sich die Durchsetzung noch etwas hinzieht. Auch fehlt uns da bislang noch ein Mitarbeiter der unter Linux (vorzugsweise Debian) _jedes_ Problem in kürzester Zeit gelöst bekommt und jede aufkommende Frage spontan beantworten kann. Eine Art Lexikon mit zwei Ohren. Wenn da nun jemand interresse hat, einfach bei mir melden. Die Größe der Ohren spielt auch keine Rolle :)

So, genug nun. Ich missbrauche das Board ja schon....

Biba
 
Oben