Ubuntu-fr

snake-jump

connexion FTP sécurisée

Bonjour,

Je vous explique mon problème

je veux mettre en place un serveur FTP pour que des personnes étrangères a mon entreprise puisse récupérer des fichiers ... et je veux le faire en toute sécurité.
1- je voudrai le faire avec proftpd en DMZ (  se qui veux dire ouvrir des ports sur mon firewall  )
2- en matière de sécurité est-ce que vous préconiser des choses ?
3-est-il possible de mettre en place une couche ssl sur ce serveur pour chiffrer les transferts ( j'insiste sur ce point ) ?
4- est il possible de mette un filtrage  pour filtrer les attaques niveau 7 ? ( genre mod-security coté apache )

Merci d’avance

didier07

Re : connexion FTP sécurisée

Il me semble que tu devrais regarder du cote de ssh. Ca devrait correspondre a tes besoins.
Regarde ici http://doc.ubuntu-fr.org/ssh

21ch181

Re : connexion FTP sécurisée

Bonjour snake-jump

Pour ma part, j'ai installé un serveur FTP sur une machine en Ubuntu server 8.04 avec VsFTP et accès sécurisé avec ssl selon le tuto http://doc.ubuntu-fr.org/vsftpd et cela fonctionne parfaitement.

ProFTP n'est pas réputé pour sa sécurité intrinsèqye contrairement à VsFTP ...

Cordialement

snake-jump

Re : connexion FTP sécurisée

re

je vous remercie pour vos réponses ( précises )

perso je préfère  mettre en place un vsftpd  que des copies sftp (choix par rapport aux users )

Maintenant va falloir convaincre le patron  pour avoir l'autorisation : D sa risque de prendre du temps

Cordialement

21ch181

Re : connexion FTP sécurisée

Re également !

Je ne suis pas certains d'avoir perçu ce que vous vouliez dire avec les copies sftp ...

Je ne peux que vous faire part de mon expérience avec un serveur VsFTP qui est très sécurisé par défaut.
Il est possible de ne fonctionner qu'avec des utilisateurs locaux ou avec des utilisateurs virtuels (mon choix) avec des gestions de droits très fines utilisateur par utilisateur.
Personnellement je n'ai pas utilisé l'association de gestion des identifications avec le module MySQL mais uniquement avec la version de la la base de donnée Berkeley.
Mais le cryptage fonctionne très bien avec le ssl (openssl) et les connexions anonymes sont totalement interdites dans mon cas.

Bon courage pour convaincre le Boss ....

Après si vous voulez que les utilisateurs de votre réseau puissent avoir accés à des documents de l'entreprise avec des fonctionnalités de partage ... peut être faudrait il regarder du coté des logiciels de travail collaboratif comme e-groupware ou openxchange ... qui permettent le partage d'agenda, de carnet d'adresse, de gestion de projet, de partage de documents tout en permettant des zones privées / publiques.
Mais c'est un autre projet ... (perso : j'ai mis en test openxchange avec openssl)

snake-jump

Re : connexion FTP sécurisée

je voulais dire par sftp  benn  http://doc.ubuntu-fr.org/ssh   peut etre que j'emploie le mauvais terme vu que je suis débutant    

une autre question .... si j'opte pour une debian pour faire ça il n y'aura pas de différence avec le tuto ?

Dernière modification par snake-jump (Le 27/03/2009, à 17:20)

21ch181

Re : connexion FTP sécurisée

Re,

Rassurez vous (... en fait ce n'est peut être pas aussi rassurant que ça ?), je n'ai pas trop "d'heures de vol" non plus en Linux et je suis un pur autodidacte ...

Je n'étais pas certain de ce que vous aviez voulu dire mais effectivement il y a 2 possibilités (que je connais .... il y en a peut être d'autre mais je ne suis pas un expert !) :
 
  - ouvrir un tunnel ssh et faire du ftp => SFTP
  - faire du ftp over ssl => FTPS

Quant à la réponse "tuto identique en Debian" .... je ne sais pas répondre .... désolé !
Je suis un "pur Ubuntu" et linux "se résume" à cette distribution là pour moi : même aussi restrictif, je m'en satisfait pleinement !
Ceci étant, Ubuntu est une dérivée de Débian : Ubuntu est simplement réputée pour intégrer des composants logiciels plus récents que Debian. Il est donc possible que les divergences soient mineures entre les 2 distributions mais je ne saurai m'avancer !!

Pourquoi ne pas installer sur une Ubuntu server 8.04 ? c'est une distribution qui fonctionne très bien et qui est trés stable ... mon serveur est en service depuis 6 mois sans aucun arrêts, ni pannes et j'avance progressivement pour installer les choses (j'ai mis par exemple le ssl bien après le ftp [je sais ce n'est pas très bien ... mais j'apprends !], et maintenant j'en suis au groupware ...).

En espérant vous avoir été utile

Bien amicalement

snake-jump

Re : connexion FTP sécurisée

RE,
Rassurez vous également vos suggestions m'ont bien été utiles, même pour le choix de la distribution je vais faire en sorte de travailler avec une ubuntu server 8.04 (si j'obtiens le feu vert bien sur ),

Merci
Cdt

snake-jump

Re : connexion FTP sécurisée

re
pouvez-vous me dire quels ports je peux ouvrir sur mon firewall pour pouvoir me connecté au vsftpd à partir d'internet ?

-pour un échange sécurisé  : comment le firewall va comprendre le type du protocole sachant que la connexion de control va être chiffrée avec ssl ?

donc je supose que je vais devoir ouvrir un autre port permanant sur mon firewall ,non ?

snake-jump

Re : connexion FTP sécurisée

une réponse ? svp:(

snigit

Re : connexion FTP sécurisée

Pour le protocoloe ftp, le port standard est le 21.
Le firewall n'a que faire du type de protocole pour fonctionner, ce qui lui importe c'est le numero du port.

21ch181

Re : connexion FTP sécurisée

Bonjour,

1000 excuses j'avais quelques urgences à régler et je n'étais pas derrière ma machine ...

Je ne suis pas un spécialiste, mais il me semble que par défaut les ports utilisés en SSL sont le 443 pour le HTTP et le 22 pour le FTP.

Ceci étant, je n'ai rien changé à ma configuration initiale et j'ai "forcé" mon client ftp à utiliser le port 21 ... et tout fonctionne parfaitement.

Cordialement

snake-jump

Re : connexion FTP sécurisée

re bonjour,
Pour le 443 c'est  le port du protocol HTTPS
Pour le FTP c'est le port 21 pour les données de control à ma connaissance (commandes…).

On mode passif  le serveur va aussi décider  des ports de données à utiliser (voir le tuto  section Configuration du serveur pour un accès à partir d’Internet), justement c’est la ou je pense qu’il y’aura un problème (pour moi) ….je m’explique :

pasv_enable=YES
pasv_promiscuous=NO
pasv_min_port=40000
pasv_max_port=40100
pasv_address=XX.XX.XX.XX ou domaine.com avec pasv_addr_resolve=YES
port_promiscuous=NO

Comment mon firewall en mode stateful inspection pourra  comprendre que les connexions  du client vers le serveur FTP sur les ports 40000 à 40100 sont  en relation avec notre connexion FTP ? puisque les trames seront cryptées (SSL activé)

Dois-je ouvrir ces ports ?

J’aimerai bien avoir vos retours d’expériences et savoir vos architectures de sécurité

Merci encore

Dernière modification par snake-jump (Le 01/04/2009, à 13:46)

21ch181

Re : connexion FTP sécurisée

Bonsoir Snake-Jump

Là ... vous venez de dépasser mon seuil de Peter's ...
Je ne sais pas vous répondre ... mais j'aurais aimé pouvoir le faire !

Comment dit on au poker déjà ?

Cordialement

snigit

Re : connexion FTP sécurisée

Comment mon firewall en mode stateful inspection pourra  comprendre que les connexions  du client vers le serveur FTP sur les ports 40000 à 40100 sont  en relation avec notre connexion FTP ? puisque les trames seront cryptées (SSL activé)

Dois-je ouvrir ces ports ?

Je dirais, oui, il faut ouvrir ces ports.

Comme je t'ai déjà dit, le firewall n'a pas à comprendre ce qui passe dans les ports. Ce qui lui importe c'est de savoir s'il doit laisser passer ou non les informations par les ports en question. C'est le serveur FTP qui écoutera sur ces ports.

Dernière modification par snigit (Le 07/04/2009, à 08:34)

Uggy

Re : connexion FTP sécurisée

Comment mon firewall en mode stateful inspection pourra  comprendre que les connexions  du client vers le serveur FTP sur les ports 40000 à 40100 sont  en relation avec notre connexion FTP ? puisque les trames seront cryptées (SSL activé)

Dois-je ouvrir ces ports ?

J’aimerai bien avoir vos retours d’expériences et savoir vos architectures de sécurité

Effectivement si tu fait tu FTPS, tu n'auras d'autres choix que de forcer des ports en passif.
Le FW aussi stateful qu'il soit ne pourra effectivement pas "lire" dans les trames chiffrées le port a ouvrir dynamiquement.

- Activer le passif et forcer une tranche de ports coté vsftpd
- Autoriser cette tranche de port dans le FW. (en + du canal control sur le port 21)
- Dire au client de bien cocher "passif".

Dernière modification par Uggy (Le 01/04/2009, à 23:29)

snake-jump

Re : connexion FTP sécurisée

Merci pour vos réponses
yes je comprends mieux là
mais j'ai une autre question .... si j'ouvre qu'un seul port en passif  .. quels sont les impacts sur mon serveur ?

snigit

Re : connexion FTP sécurisée

http://blog.nicolargo.com/2008/04/ftp-actif-versus-ftp-passif.html

Uggy

Re : connexion FTP sécurisée

mais j'ai une autre question .... si j'ouvre qu'un seul port en passif  .. quels sont les impacts sur mon serveur ?

Théoriquement 1 seule connexion max possible...
En pratique, je n'ai jamais testé... mais je pense que ca peux poser des problemes... (timeout pour la re-attribution du port .. ce genre de trucs..)

Dernière modification par Uggy (Le 02/04/2009, à 19:14)

snake-jump

Re : connexion FTP sécurisée

mais j'ai une autre question .... si j'ouvre qu'un seul port en passif  .. quels sont les impacts sur mon serveur ?

Théoriquement 1 seule connexion max possible...
En pratique, je n'ai jamais testé... mais je pense que ca peux poser des problemes... (timeout pour la re-attribution du port .. ce genre de trucs..)

c'est ce que je voulais savoir ... pour les connexion max

maintenant j'ai d'autres questions

Je me demande aussi  si sa posera problème coté client s'il est derrière un firewall..... Genre son firewall d'entreprise le laisse sortir pour les connexions FTP ... mais comme l'échange sera chiffré j'imagine que y aura des conséquences  non ? 

PS: tjr en mode passif

Dernière modification par snake-jump (Le 03/04/2009, à 08:40)

Uggy

Re : connexion FTP sécurisée

Je me demande aussi  si sa posera problème coté client s'il est derrière un firewall..... Genre son firewall d'entreprise le laisse sortir pour les connexions FTP ... mais comme l'échange sera chiffré j'imagine que y aura des conséquences  non ?

Si son firewall ne laisse pas sortir les ports que tu as definis sur le serveur (40000 à 40100 pour reprendre l'exemple) alors je dirais qu'effectivement les connexions seront impossibles. (Son fw ne pouvant pas non plus deviner les ports en lisant le canal control .. vu que c'est chiifré a son niveau aussi)

Un moyen plus simple au niveau des firewall pour faires des transferts de fichiers sécurisés est de faire du SFTP.. AU lieu de faire du FTPS. En SFTP, un seul port fixe a atteindre..

Dernière modification par Uggy (Le 03/04/2009, à 17:14)

snigit

Re : connexion FTP sécurisée

Je me demande aussi  si sa posera problème coté client s'il est derrière un firewall..... Genre son firewall d'entreprise le laisse sortir pour les connexions FTP ... mais comme l'échange sera chiffré j'imagine que y aura des conséquences  non ? 

PS: tjr en mode passif

Comment faut-il que je le dise ? Que ce soit chiffré ou non, le firewall n'en a rien à foutre, il laisse passer les communications selon sa configuration *de port*. Ce sont les ports qu'il laisse passer, pas le type de transfert/de données. Comment m'exprimer plus clairement ? Suis-je mort ? Je parle dans le vide ? Tu as mis en place un filtre sur mes réponses ?
Je réponds à côté ? Le firewall ne se base pas sur le type de données qui transitent mais sur le port. Le port n'est pas chiffré. Le port n'est pas chiffré (je le répète au cas où).

Donc si son firewall bloque les ports en question, oui, la transaction sera bloquée. Sinon, non.
Que ce soit chiffré ou non, du point de vue firewall, il n'y a pas d'importance : c'est le port qui compte.

Dernière modification par snigit (Le 04/04/2009, à 02:00)

Uggy

Re : connexion FTP sécurisée

Comment faut-il que je le dise ? Que ce soit chiffré ou non, le firewall n'en a rien à foutre, il laisse passer les communications selon sa configuration *de port*. etc...

Non. Tu te trompes.
La majorité des FW, pour ce que est du protocole FTP, ouvre le contenu des paquetsdu canal control afin d'y "lire" le port choisi (choisi coté client pour de l'actif, choisi coté serveur pour du passif". Ce qui fait que généralement, au niveau FW, tu as juste a dire, "j'accepte le FTP" et lui se debrouille ensuite pour ouvrir dynamiquement les ports pour le canal Data.
Hors, quand les paquets sont chiffrés (cas du FTPS) le firewall ne peut plus "lire" le port a ouvrir dynamiquement. Et il y a donc des ports pour le canal data a ouvrir en dur.

Donc si c'est chiffré ou non, le Firewall n'en a pas rien a foutre.

snake-jump

Re : connexion FTP sécurisée

Je me demande aussi  si sa posera problème coté client s'il est derrière un firewall..... Genre son firewall d'entreprise le laisse sortir pour les connexions FTP ... mais comme l'échange sera chiffré j'imagine que y aura des conséquences  non ? 

PS: tjr en mode passif

Comment faut-il que je le dise ? Que ce soit chiffré ou non, le firewall n'en a rien à foutre, il laisse passer les communications selon sa configuration *de port*. Ce sont les ports qu'il laisse passer, pas le type de transfert/de données. Comment m'exprimer plus clairement ? Suis-je mort ? Je parle dans le vide ? Tu as mis en place un filtre sur mes réponses ?
Je réponds à côté ? Le firewall ne se base pas sur le type de données qui transitent mais sur le port. Le port n'est pas chiffré. Le port n'est pas chiffré (je le répète au cas où).

Donc si son firewall bloque les ports en question, oui, la transaction sera bloquée. Sinon, non.
Que ce soit chiffré ou non, du point de vue firewall, il n'y a pas d'importance : c'est le port qui compte.

tu te trompes (  à mon avis bien sure )

je suis dacord avec Uggy

en résumé "si c'est chiffré ou non, le Firewall n'en a pas rien a foutre."

voila je te filtre plus ( je chiffre plus ) ...

snigit

Re : connexion FTP sécurisée

Comment faut-il que je le dise ? Que ce soit chiffré ou non, le firewall n'en a rien à foutre, il laisse passer les communications selon sa configuration *de port*. etc...

Non. Tu te trompes.
La majorité des FW, pour ce que est du protocole FTP, ouvre le contenu des paquetsdu canal control afin d'y "lire" le port choisi (choisi coté client pour de l'actif, choisi coté serveur pour du passif". Ce qui fait que généralement, au niveau FW, tu as juste a dire, "j'accepte le FTP" et lui se debrouille ensuite pour ouvrir dynamiquement les ports pour le canal Data.
Hors, quand les paquets sont chiffrés (cas du FTPS) le firewall ne peut plus "lire" le port a ouvrir dynamiquement. Et il y a donc des ports pour le canal data a ouvrir en dur.

Donc si c'est chiffré ou non, le Firewall n'en a pas rien a foutre.

<Placer ici un peu de mauvaise foi, mais pas trop quand même>

On va dire que dans le cas d'un FTP en mode passif, il suffit de définir la bonne plage de ports à utiliser (ne serait-ce qu'un + le 21) à la fois dans la conf du serveur FTP et dans le firewall et il le laissera passer, même si c'est chiffré. Surtout si c'est un firewall "statefull", il fera la relation entre les paquets qui arrivent et ceux qui sortent (c'est l'histoire du "state ESTABLISHED et RELATED")

Donc, le firewall n'en a pas forcément qqchose à foutre (du type de flux) pour cette solution.
EDIT : je pense quand même qu'on est d'accord sur la solution à apporter.

Dernière modification par snigit (Le 07/04/2009, à 08:38)