ftp-proxy kann kein TLS

[quantumleeks]

Ich brauche für die Nutzung meiner Domain eines neuen Hosters eine Möglichkeit, per FTPS (AUTH TLS, also explizites Verschlüsseln) auf den Server zuzugreifen. In meiner pf.conf stehen die Regeln zum ftp-proxy wie in dem Abschnitt CONFIGURATION von man 8 ftp-proxy. Ich komme damit natürlich nicht raus, weil ftp-proxy mit TLS nichts anfangen kann.

Nun hatte ich mir überlegt, TLSwrap zu installieren; daraus wurde leider nichts, es ist nicht in den Ports und lässt sich auch nicht ohne Fehlermeldungen aus dem Source selber bauen.

Was nun?

Wenn ich die NAT-Regeln in meiner pf.conf für den ftp-proxy ganz wegelasse, funktioniert die Verbindung über TLS einwandfrei, aber normales FTP geht dann nicht mehr. Weiß jemand einen Lösungsansatz?

 

[I.MC]

Nur nebenbei: ist das nicht implizites verschlüsseln? Explizit wäre in meinen Augen, wenn man nicht anders kann und direkt mit ssl kommt. TLS gibt einem ja nur die Option das zu machen, müssen tut man es nicht.

Gruß, I.MC

 

[TCM]

Wenn ich die NAT-Regeln in meiner pf.conf für den ftp-proxy ganz wegelasse, funktioniert die Verbindung über TLS einwandfrei, aber normales FTP geht dann nicht mehr. Weiß jemand einen Lösungsansatz?

hack: die proxy-regeln nur fuer diesen einen server weglassen.

ist das ftp mit tls durch den anbieter fest vorgegeben? geht kein scp z.b.?

 

[quantumleeks]

Nur nebenbei: ist das nicht implizites verschlüsseln? Explizit wäre in meinen Augen, wenn man nicht anders kann und direkt mit ssl kommt. TLS gibt einem ja nur die Option das zu machen, müssen tut man es nicht.

Bei TLS wird ja nur die Authentifizierung verschlüsselt, nicht die anschließende Übertragung der Dateien. FTP über TLS ist dabei explizites Verschlüsseln, FTP über SSL/TLS ist implizites verschlüsseln, und SFTP über SSH2 ist wieder etwas anderes (hat mit FTP eigentlich nichts mehr zu tun).

hack: die proxy-regeln nur fuer diesen einen server weglassen.

Jupp, so könnte man es machen, eine Ausnahmeregel basteln. Werde da mal gleich was frickeln.

ist das ftp mit tls durch den anbieter fest vorgegeben? geht kein scp z.b.?

Geht leider nicht. Bei dieser einen Domain, die bei Hetzner in Gunzenhausen gehostet ist, handelt es sich nur um einen Webspace, und die bieten für diesen Accounttyp kein SSH an, sondern nur die Billiglösung FTP über TLS. Ist echt eine Schande. Habe noch eine Colocation bei denen, da sieht es natürlich anders aus.

 

[I.MC]

Bei TLS wird ja nur die Authentifizierung verschlüsselt, nicht die anschließende Übertragung der Dateien.

Wie kommst du darauf?

FTP über TLS ist dabei explizites Verschlüsseln

FTP über SSL wäre in meinen Augen explizit.

Worauf ich hinaus wollte ist, wieso das eine explizit genannt wird und das andere implizit. Ich kann es mir denken, würde aber gerne eine andere Meinung dazu hören.

Gruß, Jochen

 

[quantumleeks]

FTP über TLS verwendet eine sogenannte SSL Explicit (AUTH SSL) Verschlüsselung über den Port 21, die Datenübertagung findet unverschlüsselt statt (siehe z. B. RFC 4217, Securing FTP with TLS). Bei FTP TLS werden Authentifizierung und der Verzeichniswechsel über einen SSH-Tunnel verschlüsselt, der Rest der Kommunikation inklusive dem nachfolgenden Upload auf den Hetzner-Server (Datentransfer) läuft unverschlüsselt ab. Dies wird einzig und allein aus dem Grund gemacht, damit die hostenden Rechner nicht durch eine Totalverschlüsselung in ihrer Rechenkapazität so stark in Anspruch genommen werden. Für einen Massenhoster ist also die FTP-TLS-Methode eindeutig Ressourcen schonender. Bei SFTP gibt es keine Trennung von Daten- und Kontrollkanal, die gesamte Kommunikation läuft defaultmäßig über den Port 22, also gibt es auch nur eine Verbindung. Bei der impliziten Verschlüsselung ist dieselbe via SSL/TLS zwingend bei der Anmeldung an einer Domäne erforderlich, bei der expliziten Verschlüsselung ist zusätzlich eine Plaintext-Anmeldung an einer Domäne möglich, die Verschlüsselung kann zusätzlich mit dem AUTH-SSL-SIgnal vom benutzten FTP-Client initialisiert werden.