lisanet
Aktives Mitglied
- Dabei seit
- 05.12.2006
- Beiträge
- 11.171
- Reaktionspunkte
- 13.778
wenn du das alles über FTP realisiert hast, dann kannst du das auch über SFTP machen.
DynDNS
- Ersteller thobie
- Erstellt am
Johanna K
Aktives Mitglied
- Dabei seit
- 28.10.2009
- Beiträge
- 1.151
- Reaktionspunkte
- 807
Das Problem von FTP sind nicht Brute-Force-Attacken. Wenn die Passwörter gut (vor allem lang) genug sind, hat Brute Force keine Chance.
Das Problem von FTP ist, dass alle Daten im Klartext übermittelt werden, und zwar einschließlich Benutzernamen und Passwörtern! Damit ist FTP Man-in-the-Middle-Attacken hilflos ausgeliefert. Nicht nur für Geheimdienste eine leichte Beute. Auf einem gut verschlüsselten Kanal kann man es aber sicher betreiben.
Nichtsdestotrotz stimme ich mit Lisanet überein, wenn irgend möglich SFTP, also ftp über ssh, zu verwenden. Zum einen lässt es sich nicht unverschlüsselt betreiben - also kein Problem, falls irgendwo mit den Zertifikaten ein Konfigurationsfehler vorliegt. Zum anderen wird SFTP viel in sicherheitskritischen Bereichen genutzt, d. h. der SFTP-Server ist gut auf Sicherheitslücken hin untersucht.
Und dann empfehle ich, auf dem exponierten Server bei Strato keine Daten zu lagern, die da nicht unbedingt gebraucht werden. Damit dann, wenn ein Kunde ein schlechtes Passwort hat oder sein Passwort weiter gibt und dann ein Hacker auf den Server kommt, der Schaden gering bleibt.
thobie
Aktives Mitglied
Thread Starter
- Dabei seit
- 23.04.2006
- Beiträge
- 1.097
- Reaktionspunkte
- 187
Moin,
abgesehen von der Diskussion über die Sicherheit des FTP-Servers habe ich jetzt noch ein Problem.
In den Systemeinstellungen des Mac ist unter "Energie sparen" das Häkchen bei "Ruhezustand bei Netzwerkzugriff beenden" gesetzt.
Somit sollte der Mac beim Zugriff aus dem Internet über die genannte Subdomain auf den Server aufwachen und das Webinterface anzeigen.
Tut er aber nicht. Nur, wenn ich ihn manuell durch Drücken einer Taste auf der Tastatur aufwecke, zeigt er das Webinterface.
Woran liegt's?
Bleibt gesund!
Grüße aus Hamburg
Thobie
abgesehen von der Diskussion über die Sicherheit des FTP-Servers habe ich jetzt noch ein Problem.
In den Systemeinstellungen des Mac ist unter "Energie sparen" das Häkchen bei "Ruhezustand bei Netzwerkzugriff beenden" gesetzt.
Somit sollte der Mac beim Zugriff aus dem Internet über die genannte Subdomain auf den Server aufwachen und das Webinterface anzeigen.
Tut er aber nicht. Nur, wenn ich ihn manuell durch Drücken einer Taste auf der Tastatur aufwecke, zeigt er das Webinterface.
Woran liegt's?
Bleibt gesund!
Grüße aus Hamburg
Thobie
Die Ports werden auch im LAN verwendet. Portfreigabe und Portweiterleitung muss nur eingerichtet werden wenn Clients aus einem anderen Netzwerk Segment auf den Server zugreifen müssen.
Zuletzt bearbeitet:
lisanet
Aktives Mitglied
- Dabei seit
- 05.12.2006
- Beiträge
- 11.171
- Reaktionspunkte
- 13.778
Nee, das geht nicht bei Zugriff über eine Portweiterleitung von deinem Router.
Für dieses automatische Aufwecken muss der Rechner, der zugreifen will ein sog. magic packet senden oder über einen Bonjour Sleep Proxy, der von einem anderen always-on-Apple-Gerät wie z.b. einer Apple TV bereit gestellt wird, zugreifen (der Bonjour Sleep Proxy sendet dann das magic packet). Beides geht nicht übers Internet, sondern nur im LAN.
Für dieses automatische Aufwecken muss der Rechner, der zugreifen will ein sog. magic packet senden oder über einen Bonjour Sleep Proxy, der von einem anderen always-on-Apple-Gerät wie z.b. einer Apple TV bereit gestellt wird, zugreifen (der Bonjour Sleep Proxy sendet dann das magic packet). Beides geht nicht übers Internet, sondern nur im LAN.
thobie
Aktives Mitglied
Thread Starter
- Dabei seit
- 23.04.2006
- Beiträge
- 1.097
- Reaktionspunkte
- 187
Moin, Lisanet,
das sollte aber funktionieren, wenn diese Option in den Systemeinstellungen angeklickt ist.
Ich habe diese Schwierigkeit nicht nur beim Aufruf der Subdomain über das Internet, sondern auch beim Netzwerkzugriff von einem anderen Mac auf die Festplatte dieses Mac. Das funktionierte früher mit meinem alten MacMini sehr gut und sollte eigentlich auch funktionieren.
Bleibt gesund!
Grüße aus Hamburg
Thobie
das sollte aber funktionieren, wenn diese Option in den Systemeinstellungen angeklickt ist.
Ich habe diese Schwierigkeit nicht nur beim Aufruf der Subdomain über das Internet, sondern auch beim Netzwerkzugriff von einem anderen Mac auf die Festplatte dieses Mac. Das funktionierte früher mit meinem alten MacMini sehr gut und sollte eigentlich auch funktionieren.
Bleibt gesund!
Grüße aus Hamburg
Thobie
lisanet
Aktives Mitglied
- Dabei seit
- 05.12.2006
- Beiträge
- 11.171
- Reaktionspunkte
- 13.778
wenn du vom Internet aus über eine Portfreigabe auf den Rechner zugreifen willst, funktioniert das nicht, weil ein magic packet nicht übers Internt geroutet werden kann. Und Bonjour funktioniert ebenso nicht über einen Zugrif aus dem Internet, da es design-mäßig nur fürs LAN vorgesehen ist.
Und der Bonjour Sleep Proxy erfordert ein always-on-Gerät, da nur so der zugreifende Rechner überhaupt weiß, dass im LAN ein Dienst vorhanden ist. Ich kann dir aber jetzt nicht mit 100%-iger Sicherheit sagen, ob ein Mac im Ruhezustand in regelmäßigen Abstädnen nicht doch aufwacht um via Bonjour die Freigabe zu erneuern. Das müsste ich erst mal recherchieren. Was auf jeden Fall zwingend notwendig ist, ist das der Dienst auch via Bonjour announciert wird. Das machen die macOS-internen Freigaben alle. Ob das deine Server-Software macht, musst du dort nachsehen. Wahrscheinlich nicht.
Aber ohnehin ist ein Server eher dazu gedacht dauerhaft zu laufen. Alles andere ist Stückwerk, wie du ja siehst.
lisanet
Aktives Mitglied
- Dabei seit
- 05.12.2006
- Beiträge
- 11.171
- Reaktionspunkte
- 13.778
und da du es mir ja offensichtlich nicht glaubst, was ich über den Bonjour Sleep Proxy, das magic packet und die Systemeinstellung mit dem Aufwachen bei Netzwerkzugriff schreibe, muss ich das wohl wieder erst "beweisen" (manchmal ist Hilfe zu geben, schon schwer, ehrlich)
https://support.apple.com/de-de/guide/mac-help/mh27905/mac
Apple schreibt hier gleich im ersten Absatz "Damit du diese Funktion verwenden kannst, benötigst du ein drahtloses Apple-Gerät mit Unterstützung für 802.11n, auf dem die aktuellste Firmware installiert ist."
Dieses drahtlose Gerät fungiert eben als dieser Bonjour Sleep Proxy und kann sowohl eine Airport Basisstation, als auch ein Apple TV oder ein dauernd laufendes iPad sein.
Edit:
Es sollte auch gehen, wenn ein anderer Mac im LAN always-on ist. Das kann ich aber wie gesagt nicht mit 100%-iger Sicherheit sagen (und testen will ich es nicht, da ich dann erst mal mein LAN etwas umbauen müsste)
https://support.apple.com/de-de/guide/mac-help/mh27905/mac
Apple schreibt hier gleich im ersten Absatz "Damit du diese Funktion verwenden kannst, benötigst du ein drahtloses Apple-Gerät mit Unterstützung für 802.11n, auf dem die aktuellste Firmware installiert ist."
Dieses drahtlose Gerät fungiert eben als dieser Bonjour Sleep Proxy und kann sowohl eine Airport Basisstation, als auch ein Apple TV oder ein dauernd laufendes iPad sein.
Edit:
Es sollte auch gehen, wenn ein anderer Mac im LAN always-on ist. Das kann ich aber wie gesagt nicht mit 100%-iger Sicherheit sagen (und testen will ich es nicht, da ich dann erst mal mein LAN etwas umbauen müsste)
Johanna K
Aktives Mitglied
- Dabei seit
- 28.10.2009
- Beiträge
- 1.151
- Reaktionspunkte
- 807
Geht das nicht?
AVM beschreibt hier eine Möglichkeit, dies über eine Fritzbox zu realisieren.
Und früher, d. h. vor über zehn Jahren, hatte ich mal eine Lösung, um einen Rechner auf der anderen Seite der Erde mit einem Zugriff über das Internet einzuschalten. Das war allerdings kein Mac und es war auch eine ziemliche Bastelarbeit, das erst mal hinzukriegen.
Es ist aber schon lange her, dass ich so etwas gemacht hatte, daher kann es sein, dass es heute anders aussieht.
thobie
Aktives Mitglied
Thread Starter
- Dabei seit
- 23.04.2006
- Beiträge
- 1.097
- Reaktionspunkte
- 187
Moin,
über diesen FTP-Server werden nur unsensible Daten herunter- oder hochgeladen, also Bilder, Texte oder PDFs.
Mein MacMini fungiert als Server, der Serverordner liegt auf dem Schreibtisch des MacMini, nur die Ordner in diesem Serverordner sind freigegeben für Zugriff von außen.
Welches Szenario könnte sich denn im schlimmsten Fall bei einem Angriff auf den FTP-Server aus dem Internet ereignen?
Bleibt gesund!
Grüße aus Hamburg
Thobie
über diesen FTP-Server werden nur unsensible Daten herunter- oder hochgeladen, also Bilder, Texte oder PDFs.
Mein MacMini fungiert als Server, der Serverordner liegt auf dem Schreibtisch des MacMini, nur die Ordner in diesem Serverordner sind freigegeben für Zugriff von außen.
Welches Szenario könnte sich denn im schlimmsten Fall bei einem Angriff auf den FTP-Server aus dem Internet ereignen?
Bleibt gesund!
Grüße aus Hamburg
Thobie
oglimmer
Aktives Mitglied
- Dabei seit
- 16.11.2004
- Beiträge
- 1.344
- Reaktionspunkte
- 251
a) Kriminelle verwenden deinen FTP Server als Austausch-Plattform für illegal Inhalte
b) Kriminelle oder einfach nur Leute mit schlechtem Humor laden Dinge bei dir runter, verändern sie (und zwar so dass es nicht auffällt) und laden sie wieder hoch
c) Kriminelle oder wieder nur Leute mit schlechtem Humor laden Dinge runter rund laden sie auf anderen Plattformen hoch, keine Ahnung ob das alles 100% öffentlich ist
d) Kriminelle könnten (z.b. auch evtl. durch Bots, also automatisiert) durch den generellen Zugriff auf deinen Rechner, eine Sicherheitslücke ausnutzen und den ganzen Rechner hacken
Das fällt mir nur so spontan ein. IMHO sollte man im Jahr 2021 kein http, kein ftp und genau genommen überhaupt kein Protokoll mehr verwenden ohne Verschlüsslung. Das ist auch überhaupt nicht mehr notwendig. Dank Letsencrypt kann man nun wirklich alles ohne Kosten mit TLS versehen.
b) Kriminelle oder einfach nur Leute mit schlechtem Humor laden Dinge bei dir runter, verändern sie (und zwar so dass es nicht auffällt) und laden sie wieder hoch
c) Kriminelle oder wieder nur Leute mit schlechtem Humor laden Dinge runter rund laden sie auf anderen Plattformen hoch, keine Ahnung ob das alles 100% öffentlich ist
d) Kriminelle könnten (z.b. auch evtl. durch Bots, also automatisiert) durch den generellen Zugriff auf deinen Rechner, eine Sicherheitslücke ausnutzen und den ganzen Rechner hacken
Das fällt mir nur so spontan ein. IMHO sollte man im Jahr 2021 kein http, kein ftp und genau genommen überhaupt kein Protokoll mehr verwenden ohne Verschlüsslung. Das ist auch überhaupt nicht mehr notwendig. Dank Letsencrypt kann man nun wirklich alles ohne Kosten mit TLS versehen.
thobie
Aktives Mitglied
Thread Starter
- Dabei seit
- 23.04.2006
- Beiträge
- 1.097
- Reaktionspunkte
- 187
Moin,
das mit Let‘s encrypt habe ich nachgelesen.
Ich habe vom Support von meinem Hoster Strato die Auskunft bekommen, dass deren eigene Zertifikate nur Inhalte auf deren Webspace verschlüsseln.
Also Subdomains mit DynDNS-Weiterleitungen werden nicht unterstützt.
Und fremde Zertifikate nimmt Strato nicht.
ich habe die Möglichkeit, ein Zertifikat in der Rumpus-Serversoftware hochzuladen und damit den Server zu verschlüsseln. Aber dazu muss ich das Zertifikat als Datei vorliegen haben.
Bleibt gesund!
Grüße aus Hamburg
Thobie
das mit Let‘s encrypt habe ich nachgelesen.
Ich habe vom Support von meinem Hoster Strato die Auskunft bekommen, dass deren eigene Zertifikate nur Inhalte auf deren Webspace verschlüsseln.
Also Subdomains mit DynDNS-Weiterleitungen werden nicht unterstützt.
Und fremde Zertifikate nimmt Strato nicht.
ich habe die Möglichkeit, ein Zertifikat in der Rumpus-Serversoftware hochzuladen und damit den Server zu verschlüsseln. Aber dazu muss ich das Zertifikat als Datei vorliegen haben.
Bleibt gesund!
Grüße aus Hamburg
Thobie
lisanet
Aktives Mitglied
- Dabei seit
- 05.12.2006
- Beiträge
- 11.171
- Reaktionspunkte
- 13.778
dann hat damit die Fritzbox eine Funktion implementiert, dass sie das magic packet sendet. Die Fritzbox übernimmt also ähnlich wie ein Bonjour sleep proxy diese Sache, nur eben ohne Bonjour und mit der Notwendigkeit, dass manuell einzurichten.
hutzi20
Aktives Mitglied
- Dabei seit
- 08.08.2013
- Beiträge
- 1.937
- Reaktionspunkte
- 2.002
Was drängt dich denn immer wieder zu Strato und deren Zertifikaten. Die sind absolut irrelevant für den Gebrauch auf anderen Servern.
https://www.maxum.com/Rumpus/Blog/LetsEncrypt.html
Gibt doch sogar eine Anleitung von Rumpus. Die Validierung ist über Rumpus auch möglich. Einfach der Anleitung folgen und du hast dein Zertifikat.
EDIT: gerade gelesen dass Rumpus 9.0 damit wirbt dass jetzt Lets Encrypt vollständig implementiert ist. Somit lässt sich das sogar komplett über die Benutzeroberfläche regeln.
Zuletzt bearbeitet:
lisanet
Aktives Mitglied
- Dabei seit
- 05.12.2006
- Beiträge
- 11.171
- Reaktionspunkte
- 13.778
Die Zertifikate von Strato verschlüsseln nicht den Webspace, sondern den Übertragungsweg, sprich sie ermöglichen es anstatt HTTP, HTTPS zu verwenden. SSL oder genauer benannt, TLS Zertifikate verschlüsseln nie den Webspace, sondern den Transportweg (TLS = Transport Layer Security)
Ich glaube, du musst dich mit Dingen, wie Betrieb eines eigenen Servers, Zertifikaten, etc. etwas tiefer befassen, sonst kommst du da auf keinen grünen Zweig und vermischt alle möglichen Dingen.
Let's encrypt bietet SSL/TLS Zertifikate zum Betrieb einen Web-Servers, also zur Verwendung des Protokolls HTTPS.
Deine Homepage betreibst du, so wie ich das lese, aber auf dem Web-Server von Strato. Dort hast du WordPress eingerichtet und Strato betreibt den Apache (oder nginx) Web-Server. Daher muss auch Strato ein SSL/TLS-Zertifikat in deren Web-Server einbinden, damit deine Homepage bei Strato über HTTPS erreichbar ist. Auch bei Strato liegt das Zertifikat natürlich als Datei vor.
Du willst nun unbedingt selbst auf deinem eigenem Mac einen FTP-Server betreiben. Diesen möchtest du nun wohl ebenso über ein verschlüsseltes Protokoll erreichen. Du möchtest also FTPS verwenden. Selbstverständlich benötigst du dazu auch ein SSL-Zertifikat für deinen Server und desssen Subdomain, das du, wie du ja weißt, als Datei benötigst. Geht ja auch gar nicht anders.
Let's encrypt bietet aber keine Serverzertifikate für andere Dienste als für HTTPS an.
Du kannst dir SSL/TLS-Zertifikate für einen eigenen Server mit eigenr Domain/Subdomain auf einem Gerät, auf dem du Zugriff hast, aber wo anders auch besorgen. Kostet halt einiges. Ob es das auch kostenlos gibt, weiß ich nicht.
Das ganze Thema könntest du auch viel einfacher lösen. nämlich mit mit SFTP. Da benötigst du nämlich kein SSL-Zertifikat. Oder, wie schon mal von mir vorgeschöagen, mit einem Download / upLoad-Plugin für WordPress. Es würde mich wundern, wenn es sowas nicht gäbe. Denn da WordPress ja auf dem Strato-Server läuft, wäre der Zugriff darauf natürlich auch via HTTPS verschlüsselt.
Also nochmals ein gut gemeinter Tipp: beschäftige dich etwas mit dem Betrieb eigener Server und den Sachen die da halt dazu gehören (DNS, Serverdiesnte, Protokolle, Zertifikate, log-files, Angriffsabwehr etc)
oglimmer
Aktives Mitglied
- Dabei seit
- 16.11.2004
- Beiträge
- 1.344
- Reaktionspunkte
- 251
> Let's encrypt bietet aber keine Serverzertifikate für andere Dienste als für HTTPS an.
Das stimmt nicht. Letsencrypt Zertifikate sind "ganz normale" x509 Zertifikate. Damit kann man alles absichern was TLS unterstützt, also auch "FTPS".
Das stimmt nicht. Letsencrypt Zertifikate sind "ganz normale" x509 Zertifikate. Damit kann man alles absichern was TLS unterstützt, also auch "FTPS".
Difool
MU Team
- Dabei seit
- 18.03.2004
- Beiträge
- 20.497
- Reaktionspunkte
- 15.857
Bei deren "Web-Paketen" nicht, aber auf deren Servern/V-Servern schon.
Bei deren "Web-Paketen" muss man leider extra die Symantec-Zertifikate nehmen und bezahlen.
Entweder Single-Domain oder eine SSL-Flat für Subdomains (kostet dann von 5 bis 8 Euro montl. extra).
lisanet
Aktives Mitglied
- Dabei seit
- 05.12.2006
- Beiträge
- 11.171
- Reaktionspunkte
- 13.778
Das ist mir schon klar, dass man mit einem SSL Zertifikat auch FTPS absichern kann.
Allerdings musst du um ein cert von letsencrypt zu kriegen, auf deinem Server halt einen webserver laufen lassen, der über HTTP auf Port 80 erreichbar ist. Darauf bezog ich mich. Wenn du nur einen FTP-Server betreibst, tust du dich schwer, ein cert von letsencrypt zu erhalten.