FTP sicherer als MAIL ?

Internet Internet Sicherheit
#1

Hallo Leute,

ich habe mir so ziemlich selbst ins Knie geschossen…
Und zwar habe ich meine Projektdokumentation abgegeben. In dieser habe ich unter anderem so eine Entscheidungsmatrix in der ich 3 Übertragungsprootokolle vergleiche. Beim Kriterium „sicherheit“ habe ich Mail 2 Punkte von 5 gegeben und FTP 3 Punkte von 5.
Ich sage ja somit, dass FTP bisschen sicherer ist.

Was habe ich mir dabei gedacht ?
Also nun…Mails laufen ja in Paketen über das „böse“ Internet frei. Diese können theoretisch abgefangen werden.
Andererseits ist FTP auch nicht gerade sicher(er), weil Passwort und Daten unverschlüsselt übertragen werden.
Ich habe FTP deshalb einen Punkt mehr gegeben, weil wir bei uns in der Firma so eine Art Paketfilter haben in der wir sagen von welcher statischen IP-Adresse wir FTP Zugang erlauben.
Bei E-Mail können wir quasi nur sagen von welcher E-Mail Adresse wir die Daten annehmen.

Fallen euch noch bessere Gründe ein, warum FTP sicherer ist als Mail ? ODer wie würdet ihr das erklären ? ICh bin mir sicher dass bei der Präsentation die Frage kommt „Warum hat FTP einen Punkt mehr erhalten…“. Oder Warum erhält E-Mail nicht 1 Punkt, sondern 2 Punkte ?

Vielen Dank!!

#2

Hi

ehrlich gesagt würde ich der EMail sogar einen extra Punkt im Thema Sicherheit geben, da man sie verschlüsseln kann (bspw per PGP). FTP selbst kann das nicht, da muss man schon sFTP nehmen.

Mitlesen und ggf ändern (da bin ich mir nicht 100%ig sicher) wäre durchaus eine Möglichkeit auch Schadcode oder falsche Informationen einzuschleusen. Wenn das bei einer verschlüsselten Mail passieren würde (also Datenänderung) würde beim Entschlüsseln nur noch Datenmüll raus kommen (es sei denn es macht sich jemand die Mühe zu entschlüsseln).

FTP würde ich wenn dann nur für unkritische Dinge nehmen oder halt in einem geschlossenen (gut abgesicherten) Netzwerk.

Das fällt mir spontan ein.

Ich hoffe ich konnte dir etwas weiterhelfen.

Gruß

#3

Danke für die Antwort. Ok, unser System unterstützt so oder so keine verschlüsselten E-Mails. Also diese können nicht verarbeitet werden.
Es sind keine kritischen Daten vom Kunden. Also keine Rechnungsdaten, Bankdaten, personenbezogenen Daten.

#4

Hi …

wenn ich Dich richtig verstehe, suchst Du eine gute Ausrede :smile:

Pragmatisch gesehen ist weder FTP noch Mail in irgendeiner Form sicher, also würden beide von mir 0 Punkte bekommen. Wenn ich mich schon entscheiden müsste würde ich FTP unsicherer einstufen, weil es netter Weise auch noch ein Passwort preisgibt. Unerfahrene Nutzer, die überall dasselbe Passwort vergeben, sind damit sofort ausgespäht. Außerdem sind Mail-Server im Zuge der Spamabwehr in den letzten Jahren alle so aufgerüstet worden dass sie den sendenden Mail Server auf Zuständigkeit für ein übermitteltes Mail prüfen, man kann also nicht einfach Mails mit irgendeinem x beliebigen Client in einen x beliebigen Mail Server stopfen. bei FTP geht das.

Man könnte lediglich anführen, dass der Mail-Server immer leichter angreifbar ist, weil jeder seinen Namen und seine IP Adresse über eine simple nslookup Abfrage im Internet recherchieren kann, während man bei einem (privaten) FTP Server nicht einmal eine offene DNS Registrierung machen muss, die Kenntnis der IP Adresse reicht völlig, und die muss man ja nicht jedem in die Hand geben. Ein recht schwaches Argument, aber es wäre eins.

Dass man beide wenn man möchte zusätzlich verschlüsseln kann ist kein gutes Argument, weil man das ja mit beiden machen kann. Ebenso steht es jedem jederzeit frei, die eigentlichen Infos als verschlüsselte Datei zu übertragen bzw. als verschlüsseltes Attachment anzuhängen.

Ich kanns also drehen und wenden wie ich will - ich würde Dich bei der Präsentation genau dasselbe fragen, und wäre sehr gespannt auf Deine Antwort :smile:

Armin.

#5

Hi,

bei dem Thema und den Antworten hier fliegt mir ja gleich mehrfach das Blech weg. Zunächst einmal hätte man sich grundsätzlich nachvollziehbare Kriterien für die Punktevergabe überlegen müssen. D.h. die ganze „Untersuchung“ ist eh für die Katz.

ehrlich gesagt würde ich der EMail sogar einen extra Punkt im
Thema Sicherheit geben, da man sie verschlüsseln kann (bspw
per PGP). FTP selbst kann das nicht, da muss man schon sFTP
nehmen.

FTP (Übertragungsprotokoll) mit verschlüsselten Nutzdaten (Email Nachricht) zu vergleichen ist Unfug. „Email“ wird per SMTP übertragen. Also müsste man SMTP mit FTP vergleichen. FTP hat immerhin eine Passwortabfrage, SMTP nicht. Damit könnte man dann als Ausrede den einen Punkt mehr begründen. Aber mit Bauchschmerzen. Die unverschlüsselte Übertragung bei beiden Protokollen ein Problem. Beide Protokolle können über einen Tunnel abgesichert werden. D.g. man kann sowohl SMTP als auf FTP gleichermaßen über einen Tunnel schicken, z.B. IPsec oder SSL.

Da SMTP diese Schwächen hat und man als Nutzer keinen Einfluss auf die Übertragung der Daten vom Mail-Gateway bis zum Adressaten hat, kann man die Nutzdaten (die Nachricht) selbst verschlüsseln. Das kann man bei FTP aber ebenfalls, indem man die Dateien vor der Übertragung verschlüsselt. Also sehe ich auch dort keinen prinzipiellen Nachteil.

Gruß

Fritze

1 Like
#6

Hallo,

Also müsste man SMTP mit FTP vergleichen. FTP
hat immerhin eine Passwortabfrage, SMTP nicht.

Anonymes FTP hat keine wirkliche, SMTP kann auch User authorisieren. Kommt eben drauf an[tm]. FTP kann darüberhinaus manchmal etwas nervig mit Paketfiltern sein (AKA „Firewalls“).

FTP ist halt irgendwie Müll und muß sterben.

Gruß,

Sebastian

#7

Guten Tag,

Aber gerade das mit dem Paketfilter kann man aus Sicht eines Dienstleisters (der die Daten empfängt vom Kunden) als Sicherheitsaspekt nutzen. Deshalb hab ich eigentlich den einen Punkt mehr vergeben.

#8

Hallo,

Aber gerade das mit dem Paketfilter kann man aus Sicht eines
Dienstleisters (der die Daten empfängt vom Kunden) als
Sicherheitsaspekt nutzen. Deshalb hab ich eigentlich den einen
Punkt mehr vergeben.

Huch? Um das kaputte FTP funktionsfähig durhc den Filter zu bringen ist ja schon etwas Verrrenkung nötig. Sowas ist dann eher eine Fehlerquelle als ein Sicherheitsfeature.

http://www.cvedetails.com/cve/CVE-2001-0405/ … ist zwar schon alt …

Sebastian

#9

Danke für die Info.

Das Thema ist ja recht komplex.
Ich muss halt noch sagen, ich schreibe darüber keine Diplomarbeit oder so…

Wenn ein Kunde uns Daten per FTP senden möchte, dann bekommt er dazu einen Zugang eingerichtet (Benutzername, Passwort…). Zusätzlich benötigen wir seine statische IP-Adresse. Diese trägt ein Admin ein und gut ist. Damit hatten wir bisher nie Probleme. Auch wenn ich jetzt nicht weiß wie der Prozess genau aussieht den der Admin macht.

#10

Hallo,

Ich muss halt noch sagen, ich schreibe darüber keine
Diplomarbeit oder so…

Jaja, kein Problem, ist ja auch nur eine Projektdokumentation für die Firma, den Einkauf der Hardware erledigt dann ja bestimmt schon der Hausmeister …

Gruß,

Sebastian

#11

Hi,

also mal die Herangehensweise außer Acht gelassen könntest du doch tatsächlich mit deiner Firewall argumentieren. Im konkreten Fall hast du ne Kontrolle drin, die du bei eMails nicht hast.

Das war dein Kriterium, deswegen 1 Punkt mehr.

Und… die meisten Dummlinge können irgendwie Anhänge an eMails zaubern, bei FTP sind die Einstiegshürden höher. Also könnte man argumentieren, dass für die richtige Einrichtung der FTP-Verbindung ein geschulter Administrator verantwortlich ist, der dann auch die richtige Verwendung an den Benutzer schult.

Also erfolgt die Verwendung von FTP bewusster als die von eMail.

Letztlich sind das alles Krücken, das ist dir ja selbst klar. Aber deine Regeln, deine Entscheidung. Wenn jemand deine Entscheidungen anzweifelt ist da was anderes als wenn jemand anzweifelt, dass du dir überhaupt Gedanken gemacht hast.

Günther