So sichern Sie FTP-Passwörter

0

Was tun andere, um FTP-Passwörter zu sichern? Mein Szenario scheint für Vertrags-Webentwickler und Web-Marketing- / Design-Unternehmen nicht zu einzigartig zu sein, aber ich habe Probleme, online Antworten zu finden, die mir gefallen.

Das Szenario:

Ich habe Zugriff auf viele FTP-Sites auf verschiedenen Servern und keine Server, die ich besitze oder kontrolliere. Die meisten Personen, die mir diese Anmeldeinformationen zur Verfügung stellen, verfügen nur über sehr eingeschränkte technische Kenntnisse, und einige wissen nicht, wie sie ein Kennwort ändern oder ein separates Konto für mich einrichten sollen. Weniger als 1% verwenden SFTP oder SSL über FTP, so dass die meisten "Nur-Text" -Passwörter drahtlos übertragen werden.

Wenn diese Passwörter in die falschen Hände geraten, wird es zu einem echten Chaos, zum Teil weil es Tage dauern kann, das Passwort zu ändern oder das Konto / etc. Zu deaktivieren. So kann ich viel Zeit damit verbringen, die zerstörte / infizierte Website zu bereinigen, um sie dann immer wieder infizieren zu lassen, bis sie schließlich herausfinden, wie sie das Passwort ändern können.

Ideen, die ich bisher hatte:

  1. Verwenden Sie einfach KeePass, um Kennwörter verschlüsselt zu speichern und sich "sicher genug" zu fühlen. Diese Idee gefällt mir nicht, da jeder Virus, der den Netzwerkverkehr überwacht, immer noch alle meine FTP-Passwörter sehen kann. Ein Virus könnte sich über Wochen oder Monate auf meinem System befinden und viele Passwörter erhalten.

  2. Verwenden Sie einen separaten PC, den ich nur für FTP verwende, und speichern Sie Kennwörter mit KeePass. Das Hauptproblem hierbei ist, dass ich von überall aus arbeiten kann, von zu Hause / von der Ferne aus usw., und dass ich keine zwei Laptops mit mir herumtragen möchte. Ich würde wahrscheinlich einen Remotedesktopzugriff benötigen, aber dann könnte ein Hacker das RDP-Kennwort mit einem Keylogger / etc. Erhalten und sich von dort aus auf diesen PC zugreifen. Sie könnten auch das KeePass-Passwort und die Datei erhalten (sobald sie das RDP-Passwort haben).

  3. Ein PC mit VMware. Tun Sie niemals etwas auf dem "Host" (Nicht-VM), damit dieser "niemals" einen Virus bekommt und eine VM hat, auf der ich arbeite, und eine andere nur für FTP (die auch niemals einen Virus bekommen sollte). Klingt nach der bislang besten Route, aber die Hardware, die zum Ausführen einer solchen VM erforderlich ist und dennoch eine angemessene Geschwindigkeit aufweist, scheint teuer zu sein. Nur für mich (ohne andere Mitarbeiter) würde ich 3 dieser Boxen brauchen, weil ich einen Desktop-PC bei der Arbeit, zu Hause und in meiner Kabine haben möchte.

  4. Ein PC mit allen darauf gespeicherten FTP-Informationen UND KEINEN ZUGRIFF darauf, außer über FTP / SFTP oder ein proprietäres Protokoll / Programm. Dieser "Server" wäre wie ein FTP-Proxy oder so, außer dass er auch die Anmeldeinformationen einfügt, bevor er an den echten FTP-Server gesendet wird. Der FTP-Client auf meinem PC hat also nur den Host / die URL und den Benutzernamen gesendet, aber dann immer "password" oder "blank" als Kennwort gesendet, und der FTP- "Proxy" hat das echte Kennwort in einer Datenbank gesucht und ändern Sie den Stream, bevor Sie ihn an den realen Server senden. Ich konnte die Passwortdatenbank nur vom Server (Konsole) aus aktualisieren, und ich würde niemals Apps / etc ausführen. auf dem Server.

  5. Ein FTP-Client, der die Remotesteuerung ermöglicht. Ich könnte es also auf einer sehr sicheren Box installieren und dann von einer anderen fernsteuern. Zumindest dann, wenn eine andere Person Zugriff auf die Fernsteuerung hatte, konnte sie die Passwörter immer noch nicht abrufen, sodass sie die Websites nur in den Papierkorb werfen konnte, aber nicht immer wieder.

Fazit (soweit):

4 und 5 sind die einzigen, die für mich sicher klingen (solange der Proxy oder der ferngesteuerte Client keine Schwachstellen aufweist), aber ich denke, dass keine von diesen vorhanden ist. Ich schätze, 5 könnte so etwas wie eine Website sein, die einen FTP-Client für Sie hostet, sodass Sie sich anmelden und Ihre FTP-Konten verwalten (aber niemals die Möglichkeit haben, ein Passwort nach der Eingabe wieder herauszuholen) und Ihren gesamten FTP-Vorgang ausführen Sachen durch sie. Solange der Server sicher ist, sind auch Ihre Kontoinformationen und der Datenverkehr sicher. Vielleicht ein "Web to FTP" -Anbieter? Ich würde mir wünschen, dass die Benutzeroberfläche wirklich einfach ist, wie die Unterstützung von Kopieren / Einfügen, wie ich es bei den meisten FTP-Clients tun kann - das könnte ein Deal Breaker sein, denke ich. Ein Hacker konnte meine Anmeldeinformationen für diesen Dienst abrufen und damit Websites löschen, konnte jedoch zumindest die FTP-Anmeldeinformationen nicht abrufen.

Bevor Sie sagen "Verwenden Sie einfach Anti-Virus-Software" ... hatten wir die neuesten Versionen von Avast und MS Security Essentials auf zwei verschiedenen PCs und beide wurden immer noch mit etwas infiziert, das mehrere FTP-Passwörter in die Ukraine geschickt hat. Sehr peinlich für uns, Kunden bitten zu müssen, FTP-Passwörter zu ändern, und mehrere Tage warten zu müssen, bis einige von ihnen herausgefunden haben, wie es geht (E-Mails an ihre Hosting-Unternehmen senden, weil sie keinen Telefon-Support haben, und es war über ein Wochenende ).

ps-We ist ein Windows-basiertes Büro und sucht daher nach Windows-basierten Lösungen ... oder zumindest nach Windows-basierten Clients, auf die zugegriffen werden kann (sofern es sich um einen Unix-Server handelt).

windows security passwords ftp eselk
quelle
5
FTP-Anmeldeinformationen und sicher sind ein Widerspruch. Speichern Sie Keepass auf einem USB-Stick und verwenden Sie eine virtuelle Linux-VMWare-Maschine, die nur zum Aktualisieren des Kernels geändert wird. Das Ausführen einer Ubuntu-VM erfordert nur sehr wenig Leistung und ist grafischer Natur. Andernfalls wird eine Whndows-VM mit derselben Richtlinie verwendet. Aber wenn Ihre Computer so oft infiziert werden, tun Sie sicherheitshalber etwas Falsches
Ramhound
Also, was genau ist deine Frage?
ƬᴇcƬᴇιᴇ007
Sftp oder VPN nicht möglich?
14.
Die Hosting-Anbieter, die ich verwende, haben alle FTP abgelehnt und erlauben nur die Aktivierung des anonymen Dienstes für das Herunterladen von Dateien. Die Serverwartung ist nur für SSH / SCP / SFTP vorgesehen, und Sie müssen einen Tunnel für den Remotezugriff auf MySQL usw.
einrichten
Am Wochenende habe ich selbst # 5 kreiert. Unterstützt allerdings nur FTP (nicht SFTP). Ich denke, es gibt etwas, das mit Tunneling getan werden könnte, wie wingedsubmariner angedeutet hat, aber leider weiß ich sehr wenig über VPN- und Proxy-Setup. Ich weiß, was sie sind und ein bisschen wie sie funktionieren, aber nichts über Setup / Admin oder wo ich anfangen soll (welches?) Für mein Szenario.
Eselk

Antworten:

2

Das ist nicht dein Problem. Wenn ein Drittanbieter nur unsichere Methoden zur Verfügung stellt, die Sie verwenden können, liegt es nicht an Ihnen, wenn der Server kompromittiert ist.

Beste Lösung: Informieren Sie sie darüber, warum es unsicher ist, und beauftragen Sie sie, eine dritte Partei zu beauftragen, um das Problem zu lösen. Wenn Sie sie vor der Unsicherheit des FTP-Protokolls gewarnt haben und sie sich dennoch für die Verwendung von FTP entscheiden, ist dies ihre Wahl und Sie müssen dies respektieren.

50-3
quelle
0

Wie Sie in Ihrer Frage angeben, ist FTP nicht sicher. Klartext-Passwörter sind eine Katastrophe. Das Beste, was Sie tun können, ist sicherzustellen, dass Sie sich nur mit FTP-Servern in Netzwerken verbinden, denen Sie vertrauen, z. B. nicht mit öffentlichem WLAN. Wenn Sie eine Verbindung zum FTP-Server herstellen müssen und dem Netzwerk nicht vertrauen können, leiten Sie Ihre FTP-Verbindung über eine sichere Verbindung, z. B. eine VPN-Verbindung oder einen SSH-Tunnel, an einen Server weiter, den Sie steuern. Im Idealfall befindet sich dieser Computer so nahe wie möglich am FTP-Server. Suchen Sie nach "SSH-Portweiterleitung mit PuTTY", und verwenden Sie PuTTY, um auf ein billiges Linux-VPS weiterzuleiten. Dies ist wahrscheinlich die einfachste Lösung.

wingedsubmariner
quelle
Ich mag die Lösung, dies würde lokale Angriffe eliminieren, aber immer noch anfällig zwischen VPS und FTP, da er auf über 100 separate FTP-Server zugreift. Glaubt er nicht, dass er dort viel tun kann?
15.
Wenn er die HTTPS-Benutzeroberfläche des Kontos verwendet, um das Kennwort sofort nach dem Anmelden zu ändern, kann er es ein bisschen sicherer machen, aber es gibt immer noch ein Zeitfenster. Mit FTP gibt es das immer.
Wingedsubmariner
"Leiten Sie Ihre FTP-Verbindung über etwas Sicheres wie eine VPN-Verbindung oder einen SSH-Tunnel an einen Server weiter, den Sie steuern" - ich wünschte, ich wüsste, wie das geht. Ich bin nur ein dummer Programmierer, kein Netzwerktechniker. Früher hatten wir einen Netzwerktechniker auf der Gehaltsliste, aber leider ist er weg :(
eselk