flux
-
Gesamte Inhalte
30 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von flux
-
-
Es sind die Profis gefragt :)
*
An welcher Stelle kommen bei 1. STOR.file, RETR, LIST, ... also die ganzen Transferkommandos ??*
Wird dann, wie in 3. gezeigt, für jedes neue Transferkommando ein eigener Datenkanal (also Client Socket bei aktiv-FTP) erstellt und jedesmal aufs neue eine Zertifikat prüfung (TLSneg) und Verschlüsselung durchgeführt??*
An welcher Stelle kommen bei 3. PBSZ 0 und PROT P, sowie USER <user> und PASS <pw> ??
*
2 Frage: Der Zielserver, auf den die Daten mal hochgeladen werden sollen hat aus Sicherheitsgründen nur Port 21 offen, spricht also für aktives FTP. Ist der Aufbau des Steuerkanals unter FTPS unter diesen Voraussetzungen überhaupt möglich, da FTPS soweit ich weiß Port 990 für den Steuerkanal und Port 989 für den Datenkanal nutzt (stimmt das so?).Oder kann man die FTP-Verbindung auch trotz Verschlüsselung über die FTP Ports 21, 20 laufen lassen?
-
2. Ein Standard-Transfer mit FTP (aktiv) ohne Sicherung durch TLS
..............Client.................................Server
.....control..........data...................data...............control
===============================================
......................socket()
......................bind()
.....PORT.w,x,y,z,a,b.----------------------------------------->
.........<-----------------------------------------------------.200
.....STOR.file.------------------------------------------------>
.............................................socket()
.............................................bind()
.........<-----------------------------------------------------.150
......................accept().<-----------..connect()
......................write()...----------->.read()
......................close()...----------->.close()
.........<-----------------------------------------------------.226
###############################################
3. Ein Standard-Transfer mit FTP.(aktiv) über TLS
..............Client.................................Server
.....control..........data...................data...............control
===============================================
......................socket()
......................bind()
.....PORT.w,x,y,z,a,b.-------------------------------------------->
.........<--------------------------------------------------------.200
.....STOR.file.--------------------------------------------------->
.............................................socket()
.............................................bind()
.........<--------------------------------------------------------.150
......................accept()..<----------..connect()
......................TLSneg()..<---------->.TLSneg()
......................TLSwrite().---------->.TLSread()
......................TLSshutdown().------->.TLSshutdown()
......................close()....---------->.close()
.........<--------------------------------------------------------.226
..............Client.................................Server
###############################################
Hat jemand ne Quelle, in der das nochmal genau und verständlich beschrieben ist?
-
Hey,
habe nun die RFC2 2228 und 4217 durch.
In letzterem werden beispielhaft Abläufe von FTP sowie FTP mit TLS Sessions gezeigt.
Allerdings sind das nur Ausschnitte, ich frage mich:
An welcher Stelle kommen bei 1. STOR.file, RETR, LIST, ... also die ganzen Transferkommandos ?? Wird dann, wie in 3. gezeigt, für jedes neue Transferkommando ein eigener Datenkanal (also Client Socket bei aktiv-FTP) erstellt und jedesmal aufs neue eine Zertifikat prüfung (TLSneg) und Verschlüsselung durchgeführt??
An welcher Stelle kommen bei 3. PBSZ 0 und PROT P, sowie USER <user> und PASS <pw> ??
1. Session-Aufbau bei FTP mit TLS
..............Client.................................Server
.....control..........data...................data...............control
===============================================
................................................................socket()
................................................................bind()
.....socket()
.....connect()..---------------------------------------------->.accept()
...............<----------------------------------------------..220
.....AUTH.TLS...---------------------------------------------->
...............<----------------------------------------------..234
.....TLSneg()..<---------------------------------------------->.TLSneg()
.....PBSZ.0.....---------------------------------------------->
...............<----------------------------------------------..200
.....PROT.P.....---------------------------------------------->
...............<----------------------------------------------..200
.....USER.fred..---------------------------------------------->
...............<----------------------------------------------..331
.....PASS.pass..---------------------------------------------->
...............<----------------------------------------------..230
.....CCC ....---------------------------------------------->
...............<----------------------------------------------..200
.....TLSshutdown()..<------------------------------------->.TLSshutdown.()
###############################################
-
Hey, danke werd's mir gleich mal durchlesen.
zu deiner Bemerkung: ich werden delphi7 + indy + openssl verwenden
brauche aber erstmal theorie als Basis
-
Hallo Community!
Für die nähere Zukunft plane ich einen rudimentären FTPS-Client zu programmieren. Dazu muss ich allerdings erstmal wissen wie FTP over SSL/TLS denn genau funktioniert!
Meine bisherige Internet und Bib Recherche ist bisher eher mau, daher wende ich mich direkt an die Profis :)
1 Frage: Kann mir jemand gute Quellen nennen, die den/die exakten Ablauf(e) bei FTPS erklären?
2 Frage: Der Zielserver, auf den die Daten mal hochgeladen werden sollen hat aus Sicherheitsgründen nur Port 21 offen, spricht also für aktives FTP. Ist der Aufbau des Steuerkanals unter FTPS unter diesen Voraussetzungen überhaupt möglich, da FTPS soweit ich weiß Port 990 für den Steuerkanal und Port 989 für den Datenkanal nutzt (stimmt das so?).
Oder kann man die FTP-Verbindung auch trotz Verschlüsselung über die FTP Ports 21, 20 laufen lassen?
Ich bedanke mich für jegliche Unterstützung
LG
-
Danke für eure Antworten.
Was passiert, wenn zwei Leute das selbe Kennwort haben?Dies deckt sich ziemlich mit meiner Rechtfertigung für Benutzername UND Passwort (siehe den 1. Punkt meines Eingangsbeitrags).
Doch nicht so kompliziert wie ich dachte :)
EDIT:
Dass ein Angreifer, dein Passwort ausspäht UND dein Token bzw. an einen gültigen Tokencode (gültig für 60sek) gelangt, ist viel unwahrscheinlicher.Guter Einwand, gilt aber nur dann, wenn es einen "Token" gibt (vs. reiner String als Benutzername)
@MaikHSW:
Darf ich fragen, was das für eine Prüfung war?Eine Art Vordiplom in meinem Studium
-
Dazu kommt noch, dass unterschiedliche Berechtigungsstufen auch eine Benutzerunterscheidung erforderlich machen (z.B.: Admin, Abteilung A, ...B etc.)
Hallo,
diese Unterscheidung koennte doch anhand des passworts gemacht werden. Ich gebe nur mein passwort ein und erhalte zugriff auf mein konto mit bestimmten rechten.
Warum also einen Benutzernamen? (abgesehen davon, dass es eine zusätzliche hürde gegen missbrauch wäre?)
-
Hallo,
ich hatte heute eine Prüfung. Dort kam die Frage bezüglich Benutzerverwaltung:
"Warum reicht es (sicherheitstechnisch) nicht, sich nur mit einem Passwort anzumelden?"
Mir fiel spontan dazu nur folgendes ein:
- Aus dem PW wird ein Hashwert erzeugt und in der Datenbank hinterlegt. Theoretisch könnte ein anderes Passwort den gleichen Hashwert erzeugen, daher ist ein Benutzername ein zusätzliches Sicherheitsmerkmal
- Zu Protokollierungszwecken braucht man einen Benutzernamen, also um festzuhalten Person X hat dann und dann dies und das gemacht.
Fallen euch noch weitere Gründe ein, die einem evtl. ins Auge fallen und hier fehlen?
MfG
- Aus dem PW wird ein Hashwert erzeugt und in der Datenbank hinterlegt. Theoretisch könnte ein anderes Passwort den gleichen Hashwert erzeugen, daher ist ein Benutzername ein zusätzliches Sicherheitsmerkmal
-
Einerseits wäre eine Art Automatisierung gewisser Schritte schon toll. Zudem haben wir häufig zwei DC dabei, da unsere Kunden planen, die Teilnetze in eine globale Firmen-Gesamtstruktur per AD zu integrieren.. [das macht der Kunde nach der Übergabe der Rechner]
Andererseits benötigt AD eine Menge Einarbeitung und Vorbereitung und es ist fraglich, ob AD für ein 10 Rechner-LAN nicht überdimensioniert ist. [Die Konfiguration machen wir vor der Übergabe]
Wie jetzt?
Ich habe schon ein bisschen rumgespielt und eine .adm-Datei zusammengebastelt, die mir gewisse HKLM-Registry-Keys setzen soll, bin aber noch nicht dazu gekommen, dies auch auszuprobieren.Aha, und du erwartest jetzt was?
Versteh es als Rand-Info
Wie sieht es bei den restlichen Schritten aus? Wie kann man beispielsweise eine LW-Freigabe per “Fernsteuerung” erzeugen? Wichtig wäre auch, dass die Einstellungen “fix” sind, also auch dann gelten, wenn bspw. beide DC offline sein sollten.Ja.
Du beantwortest "wie" mit "ja" ? :)
Welchen Weg (praktische Umsetzung) würdet ihr empfehlen ?Ich versteh dein Problem nicht, ehrlich gesagt.
Steht doch da. Bevor ich mich ein Jahr in AD vertiefe wären Ratschläge für die Umsetzung der 11 Schritte hilfreich.
Bspw., ob ich mir jetzt eine .adm Datei aus einem Registry-Export erzeugen soll, oder gewisse Einträge manuell einprogrammiere.
Wie gestalte ich dazu die OU inkl. Gruppen etc..
Ich bin noch recht neu auf dem Gebiet, und der Umfang von AD wirkt erstmal leicht erschlagend, gleichzeitig nehme ich an, dass meine 11 Schritte nicht den vollen Umfang von AD ausreizen würden.
Wie gehe ich da am geschicktesten ran?
-
Hallo,
ich habe eine kleine Testdomäne mit 2 DC und ca. 10 weiteren Memberrechnern.
Hier heisst es:
“Über Gruppenrichtlinien können Anwendungen installiert werden.”
Außerdem möchte ich bei allen Rechnern (incl. DCs) folgendes einheitlich einstellen:
- Tastatur- und Anzeigesprache (WinXP SP3 bzw. Win2k3 R2)
- Grafikauflösung/Hintergrundbild (einheitlicher Ablage-Pfad)
- Netzwerkdruckerports einstellen (statische IPs)
- Freigabe des Laufwerks “D:\” mit Bezeichnung “LW_D”
- Taskleiste einstellen
- Windows Autologin (alle haben derzeit Domänen-Admin-Rechte)
- Diskette- und DVD-Laufwerk sperren
- USB-Schnittstellen nur für Maus & Tastatur zulassen
- Autorun deaktivieren
- signierte Kommunikation (unter “Administrative Vorlagen”) deaktivieren
- bestimmte Software installieren
Die Frage ist für mich, ob sich der Einsatz von Active Directory lohnt, oder ob das Verteilen&Ausführen von .reg-Dateien nicht nach wie vor einfacher und vorallem schneller ist.
Einerseits wäre eine Art Automatisierung gewisser Schritte schon toll. Zudem haben wir häufig zwei DC dabei, da unsere Kunden planen, die Teilnetze in eine globale Firmen-Gesamtstruktur per AD zu integrieren..
Andererseits benötigt AD eine Menge Einarbeitung und Vorbereitung und es ist fraglich, ob AD für ein 10 Rechner-LAN nicht überdimensioniert ist.
Ich habe schon ein bisschen rumgespielt und eine .adm-Datei zusammengebastelt, die mir gewisse HKLM-Registry-Keys setzen soll, bin aber noch nicht dazu gekommen, dies auch auszuprobieren.
Wie sieht es bei den restlichen Schritten aus? Wie kann man beispielsweise eine LW-Freigabe per “Fernsteuerung” erzeugen? Wichtig wäre auch, dass die Einstellungen “fix” sind, also auch dann gelten, wenn bspw. beide DC offline sein sollten.
Welchen Weg (praktische Umsetzung) würdet ihr empfehlen ?
Bin fur Tips offen
MfG
flux :cool:
- Tastatur- und Anzeigesprache (WinXP SP3 bzw. Win2k3 R2)
-
Hey Loki,
du hast mir riesig geholfen :)
Wenn Du separate Backup Files haben möchtest, musst Du auch separate Sicherungsjobs definieren
Ok
In der Systemsteuerung unter geplante Tasks findest die einzelnen Tasks.Super
Ich persönliche finde eine monatliche Sicherung der DC´s zu wenig. Du solltest Dir überlegen, vielleicht doch tägliche Sicherungen anzulegen.Danke, aber meine Anlage ist sehr statisch, von daher ist das ausreichend, auch in Hinblick auf Tombstone-Zeit..
MfG
flux
-
Hallo,
ich habe zwei DC in meiner lokalen Domäne. Für den Fall, dass beide DC "verloren" gehen sollten möchte ich regelmäßige Backups fahren.
Dazu bietet ntbackup ja umfangreiche Einstellungen am Ende des Wizard-Dialogs.
Meinen Plan stelle ich mir so vor:
- DC1:
Backup1_1 - alle ungeraden Monate, am ersten des Monats um 06:00
Backup1_2 - alle geraden Monate, am ersten des Monats um 06:00
. - DC2:
Backup2_1 - alle ungeraden Monate, am ersten des Monats um 07:00
Backup2_2 - alle geraden Monate, am ersten des Monats um 07:00
FRAGE:
1. Betrachten wir einen DC: Wenn ich beide Tasks in einem "Rutsch" mache (s. Screenshot),
wie erreiche ich dann, dass am ende zwei separate Backup-Files erstellt werden?
Im Moment mache ich es so, dass ich den Wizard auf jedem DC zweimal durchmache, um eben zwei verschiedene Backup-Files zu erhalten.
2. Gibt es einen Ort (Tabelle, Konsole,...), wo man die bisher konfigurierten Backup-Tasks einsehen kann ?
MfG
flux
- DC1:
-
Hallo,
ich möchte DVD und Floppy im Geräte Manager deaktivieren.
Frage: Sofern es einen gibt: Welcher Registry-Eintrag korreliert mit den Geräte-Manager-Einstellungen bzgl. DVD/Floppy-Deaktivierung ?
Habe dazu die komplette Registry exportiert, DVD/Floppy deaktiviert, Registry wieder exportiert und mache grad den Textvergleich, das dauert jedoch :wink2:
MfG
-
Es funktioniert unter "meinen" Bedingungen einwandfrei :D
Schritte:
1. Windows-Image
2. Systemstate mit ntbackup rückspielen
3. ggf. dnsmgmt- und AD-Konsolen selber basteln mit mmc, da die Verknüpfungen im Startmenü fehlen
-
Ich habe grad die beiden systemstate.bkf erstellt und spiele nun das Windows-Image zurück. Melde mich in 15 min. :)
-
wenn du mit Image tatsächlich nur die Installationsgrundlage meinst (also unkonfiguriertes Basis-System), ist das okay. Nur um es ausdrücklich gesagt zu haben: Ein Image von einem konfigurierten System ist für die Datensicherung in diesem Fall nicht geeignet.
Wenn du tatsächlich nur den Systemstate gesichert hast, muss du, soweit ich mich erinnere (von Null aus hab ich das lang nicht machen müssen) auf dem Recovery-System nur die passende Windows-Version installiert haben, mit demselben SP-Stand.
Mein Windows Image wird nach der Installation von Windows + statische Ip + Taskleisten-Einstellung + Grafikauflösung + Druckertreiber etc gemacht.
Dann installiere ich DNS und AD
Danach Systemstate sichern.
Da du das ohnehin im Labor durchspielen solltest, wäre das doch ein idealer Punkt zum Selbertesten.Gut, werds testen. Frage mich nur, woran ich die Funktion oder eben Fehlfunktion identifizieren kann ?
Zur "baugleichen Hardware": Bist du dir sicher?Ja
EDIT: Ich bin mir nur noch nicht ganz sicher, wie ich den Systemstate, nachdem ich das besagte Windows Image zurückgespielt habe, zurückspielen soll.
Ob über den "Directory Services Restore Mode" oder einfach ntbackup > wiederherstellen ?
Denn Technet sagt folgendes:
In cases in which you have to reinstall the operating system, before you restore the directory, you do not have to perform a nonauthoritative restore in Directory Services Restore Mode. After you reinstall the operating system, you can perform a restore after the computer boots normally. -
Hallo Dukel,
ich habe das Gefühl du verstehst nicht richtig, von daher ist dein Beitrag verwirrend.
1. Beziehen sich die Vorgehensweisen (zwei posts hierüber) auf eben jene faq-o-matic-Empfehlungen
Grundlage für ein Recovery-Konzept ist stets das Backup des System State, das man bei Bedarf um weitere Methoden ergänzen kann. Der “System State” ist eine vordefinierte Schnittstelle des AD, die immer nur vollständig genutzt werden kann. Sie umfasst die AD-Datenbank, aber auch die Konfiguration des Servers. Daher ist der System State leider hardwareabhängig. Es empfiehlt sich daher, den System State immer von aktueller Hardware zu sichern, die man im Fall des Falles leicht ersetzen kann.2.
Kein Windows Image!Beinhaltet mein Image nur Windows+Basiskonfiguration, aber noch keine Dienste wie DNS, ganz zu schweigen von AD (dafür soll ja der Systemstate gut sein, wird zumindest auf obigem link so rübergebracht)
3. Ist meine Domäne relativ simpel: zwei redundante DCs, FSMO wurden nach der AD-inst. nicht "angefasst", die Domäne ist statisch, da keine weiteren Member hinzukommen oder entfernt werden. Hardwareabhängigkeit ist für mich kein Problem, da ich im Fehlerfall Baugleiche Geräte verwende.
Also nochmal, was beinhaltet das Systemstate dingens per ntbackup genau? Ist es möglich nachdem rückspielen des Windows-GRUNDImage Systemstate zurückzuspielen, oder muss vorher DNS und AD installiert werden?
-
Hallo,
noch eine Frage:
1. Angenommen mir verreckt ein DC (hard- oder software-mäßig), dann genügt es diesen Rechner innerhalb der Tombstonezeit (von mind. 60 Tagen) z.B. per Windows Image + DNS installieren + AD installieren (zusätzlicher DC in bestehender Gesamtstruktur) wiederherzustellen?
2. Angenommen mir verrecken beide DC (hard- oder software-mäßig), dann wäre eine Sicherung des Systemstate mit ntbackup für jeweils beide DCs hilfreich.
FRAGE: Was ist in der Sicherung enthalten bzw. was sind die Voraussetzungen für das Rückspielen der Sicherung?
- reicht hier das Windows-Image, dann Systemstate mit ntbackup?
- oder muss man zusätzlich vor dem Rückspielen noch die Dienste DNS + AD installieren ??
MfG
-
super, genau danach habe ich gesucht.
danke !
MfG
flux
-
Hallo,
ich habe zwei DCs (redundant) sowie weitere Memberrechner im LAN.
Falls der Betriebsmaster sich verabschieden sollte, möchte ich, dass mein AD weiterhin funktioniert. Dazu sehe ich folgende Möglichkeiten:
1. DC1 down, DC2 übernimmt die Betriebsmaster-Rolle, die Member merken nichts vom Ausfall des DC1. Danach richte ich den DC1 mit dem AD-wizard als zusätzlichen DC in einer bestehenden Gesamtstruktur ein, ist das möglich?
2. Archiv von der Domäne ziehen und im Fehlerfall zurückspielen. Allerdings habe ich gehört, dass das Archiv sehr schnell (nach einer gewissen Zeitspanne) nicht mehr verwertbar sei, stimmt das? Wenn nein, wie erstelle ich eine Sicherung des AD?
MfG
-
Ich habe mich nun, mangels Antwort, dazu entschieden die Domain neu aufzusetzen, der Name enthält einen Punkt und ist identisch mit der DNS-Zone. Fehler 6702 tritt nun nicht mehr auf.
Danke für eure Hilfe
MfG
flux
-
Nochmal in Kurzform :D
Ich frage mich also, wo man einstellt, dass die bestehende AD-Domain nurnoch die neue statt der alten DNS-Zone verwenden soll?MfG
flux
-
Hallo,
Woher wissen die Clients, dass darüber die Namensauflösung läuft?Weil ihnen der DHCP in deinem Netz sehr wahrscheinlich die IP('s) der / des DNS-Server(s) mitteilen werden?
Ich arbeite mit statischen IP-Adressen
Soweit ich das einschätzen müsste es reichen gemäß dem KB die entsprechenden DNS-Zone einzurichtenIch habe nun eine zweite DNS-Zone - welche außer SOA und zwei NS records noch leer ist - auf DC1 erstellt, diese repliziert sich automatisch auf DC2. Soweit OK.
Was mache ich nun mit der alten DNS-Zone?
Wenn ich meinen Test-Client danach hochfahre und in die Domäne einlogge, dann erstellt er keinen A-Record in der neuen DNS-Zone (sie ist dynamisch)
Ich frage mich also, wo man einstellt, dass die bestehende AD-Domain nurnoch die neue statt der alten DNS-Zone verwenden soll?
Und weiterhin, ob es wirklich nur Änderungen an den DC1 u. DC2 benötigt, oder ob man an jeden Domain-Teilnehmer einzeln händisch Änderungen (inkl. unerwünschtem Neustart) machen muss.
Eine etwas detailliertere Vorgehensweise wäre sehr hilfreich.
freundlichen Gruß
flux
-
Ok, also:
Ich erstelle eine neue DNS-Zone in dnsmgmt, ja?
Woher wissen die Clients, dass darüber die Namensauflösung läuft?
Wie müsste ich schritt für schritt vorgehen?
Danke für deine Hilfe
TLS und FTP
in Windows Forum — Security
Geschrieben
Hallo,
folgende zwei Auszüge sind dem RFC 4217 entnommen. Ich frage mich, wie sie zusammenpassen. Beim ersten fehlt der Aufbau eines Datenkanals, beim zweiten fehlt das Drumherum (Aufbau des Steuerkanals).
FRAGE: Kann ich einfach den zweiten Auszug in den ersten an die Stelle kopieren, wo mein Kommentar 'DATENTRANSFERS?' steht?
1.
Aufbau einer gesicherten Session Client Server control data data control ==================================================================== socket() bind() socket() connect() ----------------------------------------------> accept() <---------------------------------------------- 220 AUTH TLS ----------------------------------------------> <---------------------------------------------- 234 TLSneg() <----------------------------------------------> TLSneg() PBSZ 0 ----------------------------------------------> //optio <---------------------------------------------- 200 PROT P ----------------------------------------------> //nal <---------------------------------------------- 200 USER fred ----------------------------------------------> <---------------------------------------------- 331 PASS pass ----------------------------------------------> <---------------------------------------------- 230 [b]DATENTRANSFERS?[/b] kommt hier für jeden neuen Datentransfer eine eigene Aushandlung der Verschlüsselung sowie Authentifizierung von Client und Server? (siehe nächsten Auszug) CCC ----------------------------------------------> <---------------------------------------------- 200 TLSshutdown() <-------------------------------------> TLSshutdown ()2.
Client Server control data data control ==================================================================== socket() bind() PORT w,x,y,z,a,b --------------------------------------------> <-------------------------------------------------------- 200 STOR file ---------------------------------------------------> socket() bind() <-------------------------------------------------------- 150 accept() <---------- connect() TLSneg() <----------> TLSneg() TLSwrite() ----------> TLSread() TLSshutdown() -------> TLSshutdown() close() ----------> close() <-------------------------------------------------------- 226