Liebe A1 Community,ich will meine Pirelli Box (PRGAV4202N / E_3.2.3) als FTP Server einrichten.Meine ersten erfolgreichen Versuche in der Richtung habe ich noch zu Telekom Austria Zeiten gemacht.Damals war jedoch die Pirelli Box, wenn die FTP-Internet Option eingeschaltet war von außen angreifbar, da zu dieser Zeit noch Passwörter für einen Superuser für die Box im Umlauf waren.
Dies hat mich dann aus Sicherheitsgründen von dem Plan einen FTP-Server aufzubauen abgebracht.Nachdem gestern meine Box ein Update spendiert bekommen hat, bin ich auf die Idee gekommen, dieses Vorhaben vielleicht mal wieder in die Tat umzusetzen.
Dabei wollte ich mir bei euch erst einmal Rat holen, was man alles Beachten sollte.
- Für mich selbst vorrangig ist die Sicherheit des Modems und des Netzwerkes nach aussen hin. Ich bin nicht bereit diese Sicherheit aufs Spiel zu setzen. Vorher wird kein FTP Server eingerichtet!
- Verschiedene Benutzer sollen die Möglichkeit haben Daten auszutauschen, welche nicht nach aussen geraten sollten. Auch dieser Punkt ist nicht diskutabel, natürlich kann ein Server nie zu 100 % sicher sein, aber Sicherheit sollte durchaus vorhanden sein.
- Hat jemand Ahnung ob man Benutzerspezifische Rechte erstellen kann: Also, dass der User der eine Datei hochgeladen hat, entscheiden kann für wen (oder welche Benutzergruppen) er welche Freigaben (Lesen/Schreiben) gelten sollen? Sollte dies nicht möglich sein stellt dies auch kein Beinbruch dar.
- Tipps und Tricks wie man eine derartige Konstruktion am besten verwaltet und andere Dinge, die euch einfallen, welche bei der Betreibung eines entsprechenden Systems von Vorteil sein können.
- Im Idealfall sollte die Verbindung (falls möglich) eine Verschlüsselung besitzen, auch wenn dieser Punkt nicht von entscheidender Frage ist, da im zweifelsfall die Daten einfach selbst verschlüsselt werden können.
Dann will ich mich schon gleich im Vorraus für hilfreiche Antworten bedanken.
Für diese Vorhaben rate ich vom FTP Dienst des Pirelli ab.
Hmm, danke für die ausführliche Antwort,ich gebe zu, dass mir persönlich eine Fritzbox deutlich besser gefällt und auch sicherer zu sein scheint. Kannst du vielleicht dennoch mir irgendwelche Argumente für deine Meinung liefern?
Ich bin davon überzeugt, dass es schönere und bessere Werkzeuge für einen FTP Server gibt; Jedoch will ich nicht unbedingt Geld in Hardware ausgeben und daher lautet meine Devise: Entweder es funktioniert so, oder gar nicht.
Gut
In der beschnittenen Firmware liegt zugrunde, dass (getrennte) Userverwaltung, Verschlüsselung, und die Freigabe des FTP Servers im Internet nicht (vernünftig) möglich sind.
Der FTP Server war ein Relikt aus der offenen Firmware, der in der A1 gelockten nicht ordentlich ausgeblendet wurde. Weiters ist die Datenträgererkennung bzw das ordentliche mounten derselben ... sagen wir Glückssache.
Wie ich grad an einem DV2210 sehe, wurde zumindest die Userverwaltung nun für den FTP Dienst als eigenes möglich (EpiCentro Firmware).
Aber die fehlende Verschlüsselung allein würde mich davon abhalten.
Ich rechne mir bessere Überlebenschancen aus, mich vor ein fahrendes Auto zu werfen, als den FTP Server des Pirelli ruhigen gewissens ins Internet zu stellen...
Nun die Fehlende Verschlüsselung stört mich erst einmal nicht, dafür gibt es PGP oder ähnliche vernünftige Verschlüsselungstools. Dies kann zumindest zum Teil auch eine gewisse Benutzerkontrolle ersetzen, so kann jeder durch individuelles Verschlüsseln und Individuelle Schlüsselweitergabe entscheiden wer was Lesen kann.Grundsätzlich soll der Server nur einem sehr kleinen, vertrauenswürdigen Personenkreis geöffnet werden. Daher ist eine ganz saubere Benutzerkontrolle gar nicht notwendig. Wichtig ist vor allem eine Trennung des Administrativen Bereiches der Box, welcher auf keinesfalls vom Internet her zugängig sein darf.Die Datenträgererkennung ist natürlich ein kleines Problem, da dies aber kein Hoch- oder Höchstverfügbarkeitsserver sein soll und dies eher zum Filesharing dienen soll kann man darauf auch erst einmal verzichten. Dies soll ein einfacher privater FTP Server werden, der keinerlei professionelle eigenschaften braucht, sondern das wichtigste ist die vollständige Trennung von administrativem Bereich und dem FTP Server selbst.Schön wäre es natürlich schön einen Hochqualitativen FTP Server zu haben, aber ich gebe mich mit wenig zufrieden. Mir ist bewusst wenn ich Geld hinlegen würde könnte ich extrem tolles Zeugs bekommen, aber genau das will ich nicht.
ich kann mich nur w1-net anschließen.
Möchtest du einen ftp-server der Funktioniert und deinen Sicherheitsbedenken entspricht, wird es dir nicht ausbleiben ein paar Euro in die Hand zu nehmen. Die Lösung über das A1 Modem erscheint mir technisch nicht sauber und auch Security technisch mehr als mau.
Zum Beispiel könntest du einen Raspberry Pi als FTP aufsetzen und schon hast du eine bedeutend bessere Lösung.
Kostet halt ein paar Euro aber du machst dir das Leben bedeutend einfacher.
hallo,
die 3.2.3 hat den ftp bug nicht mehrman kommt also nicht mehr aufs root des modems über einen symlink
superuser gibts auch nicht
sehe diesbezüglich kein problem
du kannst separate benutzer und benutzergruppen verwalten für bestimmte ftp verzeichnisse
mit einem usb stick hast die wenigsten probleme
bei usb festplatten hast eventuell ein problem mit der stromversorgung (externe versorgung angeraten) bzw. das große partitionen nicht erkannt werden
stick bzw. festplatte solltest immer unmounten vor dem abstecken
würde ein linux dateisystem bevorzugen
p.s.
für sicheren datenaustausch würde ich aber vpn anraten
>die 3.2.3 hat den ftp bug nicht mehr>man kommt also nicht mehr aufs root des modems über einen symlink
Das ist eigentlich weniger meine Sorge, ...
Es sind 2 Punkte, erster, wie du angesprochen hast: Gibt´s kein SSL/TLS, also bist du darauf angewiesen, erstmal ein VPN drüberzuspannen, wenn du Verschlüsselung willst.
Zweitens, ist es ein kleiner Stück in einer Software, der steifmütterlich behandelt wird. Da für A1 der FTP keine Anforderung an die Funktion der Firmware bei der Entwicklung ist, hast du da ein Modul sitzen, auf dass wenig augenmerk gelegt wird.
Ist für mich irgendwie wie eine Säge ohne Griff... man kann mit ihr Sägen, aber die Verletzungsgefahr ist ungleich höher ;-)
Just my opinion
wer eine sichere cloud für datenaustausch einrichten will sollte etwas investieren
es gibt dafür auch etliche externe anbieter
viele möglichkeiten das zu realisieren
ich verwende selbst ftp (via nas) ... allerdings nicht für sensible dokumente
mit einem separaten installieren ftp server da der vom nas angebotene auch sicherheitslücken hat
ist ja nicht so das nur die a1 router entwickler unsichere software auf die welt bringen
da man nie sicher sein kann steht mein equipment für den externen zugriff schon mal in einen eigenen netz
und vpn war nur ein beispiel
verwende das halt in meinen fall für den sicheren datenaustausch
wobei der externe zugriff auf ein separates netz erfolgt und mein privates netz durch eine firewall geschützt ist
im separaten netz (dmz) steht auch das a1 equipment (a1tv) und alles andere was fernwartung bzw. externen zugriff benötigt
der mögliche root zugriff via ftp auf den a1 router war nur ein beispiel (administrativer zugriff)
natürlich mit ein grund den ftp server des a1 modems nicht zu aktivieren
und ja, das würde mir schon sorgen machen
speziell bei geplanten serverzugriff und weil man auch nie im griff hat was der internet provider so treibt mit der routersoftware rate ich sowieso jeden dazu das eigene netz separat zu schützen bzw. auch bei verwendung eines eigenen routers gibt es keine garantie
sicherheit ist aber hauptsächlich erfahrung
p.s.
die 3.2.3 hat anscheinend bugs im usb bereich
scheinbar auch im dhcp bereich
never ending
