Home

Main Menu


Warning: Parameter 1 to modMainMenuHelper::buildXML() expected to be a reference, value given in /homepages/16/d15835303/htdocs/huegele-de/cms/libraries/joomla/cache/handler/callback.php on line 100

Anmelden



FileZilla FTP Server mit TLS/SSL absichern
FileZilla FTP Server mit TLS/SSL absichern - Installation und Konfiguration PDF Drucken E-Mail
Beitragsseiten
FileZilla FTP Server mit TLS/SSL absichern
Installation und Konfiguration
Problematik NAT
Konfiguration FTP-Client
Weitere Informationen
Alle Seiten

Installation und Konfiguration

Server: Windows 2003 Server x32 Standard mit FileZilla Server v0.9.25 beta

Client: Windows Vista x32 mit FileZilla Client v3.0.6

FileZilla Server herunterladen und auf dem Server installieren. Dann FileZilla Admin-Konsole starten.

Unter EDIT - SETTINGS - SSL/TLS SETTINGS: "Enable" SSL/TLS support" aktivieren. Wenn noch kein SSL-Zertifikat vorhanden ist, kann man sich über "Generate new certificate..." ein neues self-signed Zertifikat ausstellen lassen:

  • Hier die gewünschten Angaben machen.

  • Als Speicherort des Zertifikats empfiehlt sich der FileZilla Programmordner ("C:\Program Files\FileZilla Server\certificate.crt").

Wurde das Zertifikat erfolgreich erstellt, erhält man die Bestätigung und es werden automatisch die korrekten Pfade für die Zertifikatsdatei eingetragen.

Wenn das Zertifikat später an einen anderen Ort kopiert wird, müssen die Pfade unter SETTINGS - SSL/TLS SETTINGS manuell geändert werden!

So. Damit ist die grundlegende Server-Konfiguration erstmal abgeschlossen. Mit einem entsprechenden FTP-Client (z.B. FileZilla) kann man nun innerhalb des eigenen Netzwerks SSL-verschlüsselte FTP-Transfers durchführen. Keine Chance also mehr, Daten während der Übertragung auszuspionieren.

Das wäre soweit ja recht einfach - wäre da nicht das altbekannte Thema "NAT". Befindet sich der FTP-Server nämlich hinter einem NAT-Device (klassischerweise ein Home-DSL-Router) und soll auch außerhalb des Heimnetzes erreichbar sein, sind noch einige Zusatzeinstellungen vorzunehmen, dazu aber später mehr.

In dieser Konfiguration sind aber nach wie vor verschlüsseltes und unverschlüsseltes FTP möglich. Außerdem werden sowohl implizite SSL-Verbindungen (Port 990) wie auch explizite (Port 21) akzeptiert.

Für die maximale Sicherheit müssen neben den bereits erwähnten Optionen auch noch folgende Einstellungen vorgenommen werden:

  • "Force explicit TLS/SSL": Ist diese Option aktiviert, können ausschließlich SSL-verschlüsselte FTP-Verbindungen aufgebaut werden! Unverschlüsselte Sessions sind damit generell nicht mehr erlaubt.

Hinweis: Wer diese Einstellung nicht global für den ganzen Server vornehmen möchte, kann dies auch Benutzer-/Gruppen-spezifisch festlegen, in dem in den User/Group Attributen die Option "Force SSL login for user" aktiviert wird!

  • "Force PROT P to encrypt data channel in SSL/TLS mode": Diese Option sollte ebenfalls aktiviert werden. Damit wird sichergestellt, dass nur die derzeit von der IETF empfohlenen FTP-Befehle akzeptiert werden ("AUTH TLS" bzw. "PROT P") und nicht die als "deprecated" gekennzeichneten.

  • Die Portnummer für implizite Verbindungen bei "Listen to SSL/TLS-only connections..." entfernen: Damit lauscht der FTP-Server nur noch auf dem Standard-Port 21 - implizite Verbindungen über Port 990 (ebenfalls offiziell als "deprecated" eingestuft) sind damit also auch Geschichte.

Mit diesen Einstellungen kann der FTP-Server also als sicher und "best practice" entsprechend der gültigen Standards angesehen werden. Für die meisten aktuellen FTP-Clients stellen diese zusätzlichen Einschränkung kein Problem dar. Im Idealfall sieht das Ganze also so aus:



 
Huegele.de, Powered by Joomla! and designed by SiteGround web hosting