Update zu FTPS, SFTP, FTP

Ab sofort sorgt goneo für ein Stück mehr Sicherheit bei der Übertragung von Dateien vom PC oder vom Notebook zum Server. Ein unverschlüsselter Transfer ist demnächst nicht mehr möglich.

Will man Daten zum Server übertragen, nutzt man als Webseitenbetreiber oder -betreiberin in aller Regel das Protokoll FTP. Dies hat sich bewährt, um Webdokumente zum Webspace zu senden, es ist weit verbreitet und nahezu überall dort, wo Datenübertragung dieser Art von Nöten ist, verfügbar.

Die drei Buchstaben FTP stehen für File Transfer Protocol. Dieses Protokoll gibt es schon sehr lange.

Ursprünglich war die Datenübertragung nicht verschlüsselt. In lange vergangenen Tagen erschien das wenig als Problem. Heute schätzt man die Situation angesichts vieler Cyberbedrohungen anders ein.

Bei goneo bieten wir FTPS als sichere Alternative zum „reinen“ FTP an. Dennoch war es auch möglich, die Variante zu nutzen, die den Datentransfer nicht verschlüsselt hat.

Um den veränderten Datenschutzbewusstsein Rechnung zu tragen, ist unserer Überzeugung nach an der Zeit, auf unverschlüsselte Datenübertragung komplett zu verzichten. Einen ähnlichen Schritt haben wir in Sachen E-Mail-Transport vor einiger Zeit unternommen.

Hintergrund

Das etablierte Übertragungsverfahren FTP lässt sich auch mit Verschlüsselung verwenden. Dafür haben sich zwei Möglichkeiten durchgesetzt:

  • SFTP
  • FTPS

Die Abkürzungen ähneln sich. Die Verfahren sind technisch gesehen aber unterschiedlich.

FTPS

FTPS baut auf dem herkömmlichen FTP auf, das im Grunde genommen Datei für Datei auf Textebene überträgt. Will man mehrere Dateien gleichzeitig übertragen, kann FTP mehrere Verbindungen parallel aufbauen.

SFTP erweitert das FTP um Sicherheitsfunktionen. Zum Vergleich: FTPS verhält sich zu FTP in etwa so wie https zu http.

Dabei kommen zusätzlich die Verschlüsselungstechnologien TLS (Transport Layer Security) und SSL (Secure Sockets Layer) zum Einsatz. Somit sind sowohl die Datenübertragung als auch die Übertragung von Nutzername und Passwort verschlüsselt.

Gelegentlich findet man für FTPS auch die Bezeichnung FTP over TLS.

Der große Vorteil von FTPS ist, dass FTP recht alt und daher weit verbreitet ist und FTPS darauf aufsetzt. Es gibt viele Programme und Anwendungen, die FTP und nun eben auch FTPS unterstützen.

SFTP

SFTP arbeitet etwas anders als FTPS und baut auf SSH auf. Es wird daher gelegentlich auch als SSH-FTP bezeichnet.

Es wird mittels SSH (Secure Shell) eine sichere Verbindung zum Server etabliert. Die Datenübertragung erfolgt bei SSH von Haus verschlüsselt. SFTP wiederum erweitert sozusagen SSH um Funktionen, mit denen man Dateien von und zum Server überträgt.

SSH wird allgemein dazu verwendet, um entfernte Server via Internet zu administrieren und ist in der UNIX- bzw. Linuxwelt üblich.

Passende Anwendungen (Apps) und Programme

Um Daten zum Server zu übertragen oder auch um Daten vom Server herunterzuladen, braucht man einen sogenannten Client. Dies ist ein Programm bzw. eine Anwendung (App), die das FTP-Protokoll unterstützt.

Die meisten Anwendungen unterstützen heute FTPS und SFTP oder zumindest eines davon.

Portzuordnung

SFTP und FTPS werden über unterschiedliche Ports angesprochen. Im Falle von FTPS lässt sich unterscheidet sich implizites und explizites SSL. Bei goneo verwenden wir dafür unterschiedliche Ports. Diese sind folgendermaßen zugeordnet:

ProtokollPort-Nummer
SFTP2222
FTPS (Implizites SSL) 990
FTPS (Explizites SSL) 21
Portzuordnung für SFTP und FTPS (implizit und explizit)

Für FTPS verwenden wir den passiven Modus.

Für Kunden, die schon SSH nutzen, bleibt der Port 22 reserviert. Auf Port 22 ist kein SFTP vorgesehen.

Die konkreten Konfigurationseinstellungen für das verbreitete FileZilla und für andere FTP-Anwendungen findest du in der goneo-Hilfe.

45 Antworten auf „Update zu FTPS, SFTP, FTP“

    1. In der Regel muss man die Angaben in der Konfiguration der FTP-Anwendungen wahrscheinlich gar nicht ändern. Es wird – und das ist das Neue – eine Verschlüsselung angefordert. Bei FileZilla müsste man nur korrigieren, wenn man ausdrücklich die Option „Unverschlüsseltes FTP (unsicher)“ verwendet hat.

      1. Doch, muß man eben doch.
        Im Total Commander muß man einen Haken setzen, da geht das nicht alleine.
        Bisher habe ich aus verschiedenen Gründen Total Commander 8.52 (ich weiß, ist alt, hatte aber Gründe) eingesetzt und damit habe ich keine Verbindung mit FTPS hinbekommen. Ich mußte auf eine neue Version aktualisieren oder hätte SFTP nehmen müssen.

  1. Danke Goneo, dass es vorab einmal angekündigt wurde.
    Ich nutze in mehreren Anwendungen, die anonymisierte und nicht sicherheitsrelevant Daten auf einen getrennten FTP-Bereich hochladen. Jetzt muss ich innerhalb kurzer Zeit eine Alternative programmieren.
    Eine Ankündigung mit Fristsetzung zur Deaktivierung wäre nicht nur wünschenswert, eher ein normales Prozedere.
    Anstatt dessen wird die Info nachträglich gesendet, obwohl die Abschaltung bereits gestern am 21.11. erfolgt ist.
    Danke auch, dass ich unnötig Zeit mit der Fehlersuche verbringen durfte, bevor ich Goneo als das Problem feststellen durfte.

    1. Gibt es einen Grund, warum Sie die Daten bisher unverschlüsselt übertragen haben? Standardmäßig sind bei FTP auch Nutzername und Passwort unverschlüsselt. Das öffnet durchaus Sicherheitslücken.

      1. Der FTP-Bereich den ich zur Übertragung genutzt habe, war separat. Auch Zugangsdaten und Passwort waren nur für diesen separaten Bereich. Es gab für mich also keinen Sicherheitsgrund unbedingt SFTP zu nutzen.

  2. Hallo Markus, es wäre übrigens sinnvoller auf meine Kritik der mangelnden Vorabinfo einzugehen, anstatt mich über die Sicherheitsrisiken aufzuklären, derer ich mir bewusst bin und die ich bereits ausgeschlossen hatte. Filezilla konnte ich freilich auch ohne Probleme umstellen und nutze ich auch schon lange per SFTP, aber meine programmierten Batch-Programme zur Eigennutzung laufen über das „ftp“-Tool der CMD von Windows. Hier ist eine Umstellung mit Aufwand verbunden.

    1. Es ist die Software geändert worden, mit dem der FTP-Service zur Verfügung gestellt wird. Vor solchen Umstellungen sehen wir uns die Usecases an, soweit sie hier sichtbar sind, um die Auswirkungen abzuschätzen. Was auf Client-Seite genau eingesetzt wird, sehen wir nicht sehr gut, weil wir ja nicht erkennen können, womit die Verbindungen generiert werden. Wir sind in diesem Fall zu der Einschätzung gekommen, dass die Auswirkungen eher niedrig sind, möglicherweise haben wir das aber unterschätzt. Das tut uns leid.
      Wir werden nun sehen, ob wir nicht eine Art Roadmap oder einen Kalender für bevorstehende Änderungen aufstellen und veröffentlichen, eben auch Änderungen, die zunächst unter einer „Alarmschwelle“ zu liegen scheinen. Allerdings zeigt die Praxis, dass in solchen Änderungsabsichten auch eine gewisse Dynamik nicht zu vermeiden ist und Änderungen auch von ungeplanten Sicherheitspatches oder dringenden Updates getrieben wird. Aber ich denke, wir werden so eine Seite einrichten.

  3. Markus,

    diese nicht angekündigte Umstellung führt bei uns, wenn ich es richtig sehe, dazu, dass wir unsere Websites nicht mehr wie gewohnt pflegen können. Das von unserer Gruppe (fast alles Computer-Laien) unter Linux verwendete (als Bash-Script verpackte) Programm „sitecopy“ zum Update der Websites bietet als Protokoll nur ftp und sftp an. Da sftp aber einen ssh-Zugang voraus setzt, den wir nicht haben, ist dieser Weg versperrt.
    Die Benutzung von „filezilla“ ist für uns Laien keine Option.

    Ziemlich ratlos,
    dieter b.

    1. SFTP ist ja nun bei goneo möglich.

      SSH war (ist) bei manchen Paketen nicht möglich, je nach Tarif. SSH wird verwendet um eine Konsole zur Verfügung zu stellen (SCP).

      Jetzt sollte in allen Paketen, die einen FTP-Zugang bereitstellen, auch SFTP möglich sein.

  4. Damit man sich auch mittel- und langfristig auf Änderungen einstellen kann, haben wir eine neue Seite im Blog etabliert: https://www.goneo.de/blog/geplante-updates/

    Zudem diskutieren wir die Idee, ob man als Kunde/Kundin mittels Formular Eigenentwicklungen wie eigene Webapps oder Skripte, die Abhängigkeiten von Versionen bei goneo hinterlegen kann. Damit hätten wir bei Systementscheidungen eine bessere Grundlage.

    Unter Umständen wird es Anfang Dezember mal eine Q&A Session via Clubhouse oder Twitter Spaces geben (wobei aktuell unklar ist, wie sich Twitter wohl weiterentwickelt).

        1. Wie unten geschrieben, schlage ich Jitsi vor. Läuft im Browser, ist frei und sollte für diesen Zweck ausreichen.
          Ich weiß nicht, wie das bei Clubhouse ist, aber am anfang war es so, daß es wohl nur für iPhone-Kunden war.
          Twitter habe ich nicht und mag ich mir dafür auch nicht zulegen (generell nicht und aktuell gleich mal gar nicht).

  5. Moin,

    ich nutze WS_FTP Pro .

    Habe die Einstellungen wie beschrieben vorgenommen. Leider funktioniert es nicht.
    Antwort:
    Zweck: compression sc Alg.: none
    SSH-Schlüsselaustausch fehlgeschlagen.
    SSH-Transport geschlossen.

    Was soll ich machen?

  6. Hallo!
    Ich bin zu Euch gewechselt, da ich einen Partner gesucht habe, der seinen Kunden eine gewisse Eigenverantwortung zutraut. WARUM werden jetzt diese FTP Beschränkungen eingeführt. Ich habe hier Systeme am laufen (Webcams), die dieses Sicherheitsupgrade nicht können! Und daher eigene TFP-Zugänge und Passwörter haben!
    Bitte SOFORT wieder zurück zur alten FTP Variante! Ansonsten muss ich EUCH, den Provider, leider kurz nach erfolgtem Wechsel, wieder verlassen. Wer entscheidet so etwas über die Köpfe der Kunden?
    Das kann ja wohl nicht wahr sein!?!?! Soll ich jetzt 3 neue Webcams für unseren Ort kaufen oder was?

  7. Nach ein bisschen Herumprobieren konnte ich mit Rapid Weaver 8 meine Homepage wieder updaten (per FTPS). Allerdings erscheint jetzt jedes Mal vor einem Upload eine Warnung, dass mein SSL-Zertifikat ungültig sei. Das klingt jetzt nicht unbedingt nach erhöhter Sicherheit. Genauere Informationen mit Screenshot bei Bedarf per Mail.

    Viele Grüße,

    Marcus

    1. Es würde wohl helfen, wenn du als Host nicht deine Domain einträgst (www.deinehomepage.de) sondern die Hosts von goneo, auf die die Zertifikate ausgestellt sind: xxxxx.test-my-website.de

  8. Wenn ihr den Kunden wenigstens die Wahl gelassen hättet. Eine Standard Cam kann nur FTP im PASV / PORT Modus… NICHTS anderes. Vielleicht mal vorher mit sowas befassen! Und bitte mal schauen, warum ich gestern Abend keinen AuthInf für den ersten Domainwechsel bekommen habe! Der sollte eigentlich auch nach Euren Angaben innerhalb 5 Minuten da sein. Bis jetzt nichts!
    Unglaublich!

    1. @Lothar:
      Eigentlich sind diese Webhosting-Pakete nicht als Storage-Lösung konzipiert, sondern vor allem für Webpublishing und vielleicht Collaboration. Und weil man es in diesen Umfeldern schon mit schützenswerten Daten zu tun hat (sind Kamerabilder aber eventuell auch), spielen Sicherheitsüberlegungen mit in diese Entscheidungen hinein. Verfolgt man die Datenschutzdebatten um DSGVO klingt an einigen Stellen durch, dass man als Datenerheber und -verarbeiter durchaus Vorkehrungen u.a. entlang des „Stands der Technik“ zu treffen hat. In diesem Sinne ist auch Art. 25 der DSGVO formuliert. Vor einiger Zeit hatte ein bekanntes Technologiemagazin nach einem Produkttest auch moniert, dass bei goneo so offene Übertragungsprotokolle überhaupt noch angeboten werden. Also: Diese Diskussionen haben wir von anderer Seite, der Datenschutzseite, auch.

      1. Ja, durchaus richtig. Allerdings ist es wohl so, daß einige User plain-FTP eben brauchen. Von daher wäre die optionale Aktivierung ja ein gangbarer Weg.

        1. Ich habe eben ein Update oben in en Text geschrieben: Ab sofort wird auf Port 21 keine Verschlüsselung für FTP-Verbindungen erzwungen.

          Dies sollte aber nur für kurze Zeit gelten.
          Zudem wird jetzt auch TLS 1.2 (zusätzlich zu 1.3) unterstützt.

          1. Die Ankündigung war zwischenzeitlich sichtbar, ist aber nun nicht mehr da.
            btw: bitte schaut euch die Datumsangaben auf der Seite der geplanten Updates, da hat sich eine 2 verirrt.

  9. einen Dienst ohne Vorankündigung und ohne Not von einem Tag auf den anderen einfach einzustellen, ist eine grobe administrative Fehlleistung. Bitte nie wieder.

    1. Naja, hm. Verständlich, dass ma. sich ärgert, wenn man an die Config muss. Lief ja alles bisher. Mal real talk: Wir nehmen keinen Dienst ohne Not weg. Not ist durchaus geboten. Es gibt genug Hacker da draussen und wie verbringen täglich Stunden, um den Aktivitäten hinterherzujagen. Und ernsthaft: Unsicheres FTP ist no go. Das hätte schon vor Jahren nicht mehr benutzt werden dürfen. Keiner kann mir erzählen, dass der Verzicht auf Verschlüsselung gute Praxis ist. Was gehackt werden kann, wird gehackt. Kann sein, dass man das persönlich zu anderer Einschätzung kommt („wer soll mich schon hacken“), aber wir erleben das tagtäglich. Auf der einen Seite schreit die Welt nach Datenschutz und Abmahnanwälte lauern auf alle, die ein paar Byte als Cookie setzen oder Schriften runterladen. Auf der anderen Seite Sorglosigkeit. Das geht nicht zusammen.

      1. Ja, da stimme ich zu.
        Allerdings ist das Mindeste, die geplante Umstellung vorher anzukündigen, daß die User Zeit haben, die Umstellungen umzusetzen. Klar werden dann immernoch ein paar hinten runter fallen. Aber ohne Ankündigung geht einfach gar nicht, sorry!

        1. Ja. Wir haben heute schon überlegt, wie wir den Kommunikationsfluss verbessern. Die Schwere der Änderung hatten wir falsch eingeschätzt , irgendwo in der Richtung Änderung der Cipher-Reihenfolge, eigentlich unter der Warnschwelle. Wir waren überrascht

  10. Hallo goneo Team, eine Info über eine Umstellung der FTP Upload´s wäre gut gewesen, es verwendet nicht alle FileZilla. Meine Software kann i.A. nur unverschlüsselt übermitteln und kann mit dieser Zertifikat Abfrage nichts anfangen und muss jetzt vom Software Programmierer angepasst werden … Es wäre sinnvoll gewesen vorab anzukündigen und für alle die es noch nicht können den unverschlüsselten Zugang zu lassen … Sorry

      1. Dem muß ich widersprechen. Ich habe 2 Pakete und ich kann bei keinem der beiden mehr auf FTP zurückschalten.
        Es ist möglich, daß es nur bei Paketen geht, die bisher nicht mit FTPS genutzt wurden.

  11. Sämtliche Homepages, die ich mit dem CMS-Web-System Siquando hochlade, kann ich jetzt nicht mehr aktualisieren. Als Upload-Option habe ich neben dem FTP- nur den SFTP-Upload. Ich kann allerdings auch nur einen FTP Remote-Folder, kein Homedir-Verzeichnis explizit angeben. Liebe Leute, ich habe über 70 Homepages aus den letzten 15 Jahren, die momentan nicht aktualisiert werden können. Das geht so gar nicht, von heute auf morgen derartige Abschaltungen vorzunehmen, ohne dass man reagieren kann bzw. Lösungs-Optionen bekommt oder hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert