FTP sigurnost i kopiranje fajlova na server

[ johnnyc @ 10.02.2009. 11:02 ] @

Pozdrav!

Na puno mesta sam citao o tome kako je FTP protokol nesiguran, posto nije enkriptovan i sl.

Nije mi jasno, ako je kao sto kazu nesiguran, zasto je kopiranje fajlova na provajderov server (npr. za internet prezentaciju) moguce jedino koriscenjem FTP-a?!

Hvala unapred na odgovoru!

j.

[ misk0 @ 10.02.2009. 19:57 ] @

Ako prebacujes internet prezentaciju, to je javno dostupan podatak koji ce svako ko posjeti tu stranicu da downloaduje na svoj comp tako da nema potrebe za enkripcijom tu.

[ jorganwd @ 10.02.2009. 20:31 ] @

Citat:

misk0: Ako prebacujes internet prezentaciju, to je javno dostupan podatak koji ce svako ko posjeti tu stranicu da downloaduje na svoj comp tako da nema potrebe za enkripcijom tu.

Ne slazem se sa ovim s obzirom da vecina danasnjih prezentacija ne dopusta gledanje izvornog koda, i.e. asp/php itd.

Pokusaj da pogledas sta ti nudi provajder od usluga, npr. sftp.
http://en.wikipedia.org/wiki/SSH_File_Transfer_Protocol

[ misk0 @ 11.02.2009. 09:44 ] @

A koliko ti se puta desilo do sad da ti je neko 'presreo' vazan podatak i 'ukrao' ga? Obozavam teorije, ali malo toga vidjam danas u praksi, pogotovo kad se radi o opremi koja je jako skupa i usmjerava saobracaj tacno tamo gdje treba a ne rasipa ga na sva moguca mrezna mjesta.
Na kraju krajeva, daleko je lakse uhakovati ciljani server nego snifati saobracaj do njega.

[ johnnyc @ 11.02.2009. 10:24 ] @

Citat:

misk0: A koliko ti se puta desilo do sad da ti je neko 'presreo' vazan podatak i 'ukrao' ga? Obozavam teorije, ali malo toga vidjam danas u praksi, pogotovo kad se radi o opremi koja je jako skupa i usmjerava saobracaj tacno tamo gdje treba a ne rasipa ga na sva moguca mrezna mjesta.
Na kraju krajeva, daleko je lakse uhakovati ciljani server nego snifati saobracaj do njega.

bas sam zato i zapoceo ovu diskusiju, posto svi vicu "ftp je nesiguran! ftp je nesiguran!", a niko ne daje ni jedno objasnjenje kako, kada, i koja ja realna alternativa (osim ssh-a, koji naravno ne daje niko od nasih "ozbiljnijih" provajdera)

[ jorganwd @ 11.02.2009. 22:53 ] @

Citat:

Koliko se tebi puta desilo? Da li bi prepoznao napad, ili znao da se desio uopste? Kao pentester radim mnogo bezobraznije stvari od obicnog njuskanja passworda ftp naloga i fajlova koji lete kroz konekciju, tako da imam razloga biti "paranoik".

[ radosk @ 01.03.2009. 11:35 ] @

@Misk0 skupa oprema ne mora nužno da bude sinonim za high security, kao što ni skup auto ne mora da pruži udobnu vožnju - zavisi od vozača ;)

Nazalost, istina je da je SFTP retko zastupljen, jedna od alternativa bi bila web upload preko https (doduse ni https vise nije mnogo pouzdan).
Razmotri opciju da koristiš OpenVPN u sprezi sa FTP-om, s'tim da bi verovatno morao da koristiš port 1194 na kome radi OpenVPN.

[ misk0 @ 01.03.2009. 21:14 ] @

Oki, ajd da budemo malo konkretni. Ja se ne bavim securityijem i moguce je da grijesim i eto, htio bih cuti konkretne primjere kako je neki sajt / server uhakovan tako da su njegovom administratoru usnifali password na nekom od udaljenih internet cvorista?
Ne racunam sajtove poput e-baya, paypal-a, sajtova banka i slicnih koji su jako privlacni zbog autorizacije i novca koja se dobija hakovanjem.

[ EArthquake @ 02.03.2009. 23:33 ] @

dovoljno je da se ulogujes na sajt preko neosigurane wireless mreze recimo ...

uradi traceroute do svog mail servera recimo , el vidis koliko hop-ova napravi ?
si bas apsolutno siguran da verujes da na bar jednoj masini ne cuci neki sniffer ?
secam se recimo da je pre 2 ili 3 godine bila fora da je neko imao pristup na rutere koji su opsluzivali celo saudijsko poluostrvo i bliski istok ... mislis da taj neko nije uzeo gomilu para za informacije :)

_{[Ovu poruku je menjao EArthquake dana 03.03.2009. u 13:41 GMT+1]}