Grundsatzdiskussion: Absicherung eines Servers (war: Ftp?)

[fisi23]

Hallo,

wenn in einem Netzwerk öfter auf Installationsdateien und nun auch Kalenderdateien zurückgegriffen werden muss, schreit dies doch nach einem FTP Server, oder?

Wenn nun allerdings der vorhandene Server eine öffentliche IP hat, müsste er durch eine Firewall sehr gut abgesichert werden!! Reicht es einzustellen, dass nur Nutzer des lokalen Netzwerks zugreifen dürfen oder welche Sicherheitsbedenken gibt es noch?

Danke für Eure Hilfe!

Grüße

snej

[Gast]

1. Verschoben in den richtigen Bereich

2. Titel mal angepasst.

3. beschreibe deine Netzwerkstruktur mal genauer, ich verstehe nichts von deiner Beschreibung.

[Crash2001]

[...]wenn in einem Netzwerk öfter auf Installationsdateien und nun auch Kalenderdateien zurückgegriffen werden muss, schreit dies doch nach einem FTP Server, oder?[...]

Wieso schreit das nach einem FTP-Server und nicht z.B. nach einem Netzlaufwerk? :confused: Und was genau meinst du mit "in einem Netzwerk"? Ein LAN, MAN, WAN, WLAN?

Falls es kein LAN ist, verbietet sich FTP meist schon von alleine, da es nicht verschlüsselt überträgt. Im internen LAN ist das ok, aber alles was über das Internet geht, sollte man möglichst gegen Veränderungen oder mitsniffen absichern durch Verschlüsselung. Wenn man schon "FTP" nutzen will, dann sollte man dort auf SFTP setzen oder stattdessen SCP nutzen.

[fisi23]

Es handelt sich um ein LAN (Uninetz). Die Uni hat öffentliche IP Adressen. Netzlaufwerk wäre für Installationsdateien am einfachsten. Jedoch würde ich gerne einen Kalender mit Lightning ei setzen (c't 13/08). Hierzu ist ein FTP bzw. Webdav Server notwendig.

[DevilDawn]

Auf die Frage FTP oder nicht geh ich hier mal nicht ein weil das nicht zur Debatte steht, der TE wird schon wissen was er braucht/möchte.

Im Prinzip ist es egal ob die Maschine eine interne, externe oder marsianische IP hat.

Grundsätzlich:

- alle lauschenden und nicht benötigten Dienste deaktivieren

- alle benötigten Dienste durch ACL einschränken so weit nötig/möglich (via Servicekonfiguration oder z.b. tcpwrapper)

- Optional (but strongly recommended) lokale Hostfirewall passend Konfigurieren

- Maschine regelmäßig kontrollieren und warten (updaten)

Für einen FTP-Server z.b. unter linux würde man per iptables alles bis auf FTP und SSH dichtmachen, SSH via sshd_conf + /etc/hosts.allow + /etc/hosts.deny sinnvoll einschränken, FTP via ftpconfig sinnvoll sichern falls standalone, ebenfalls über hosts.allow/deny falls via (x)inetd.