Bekijk Volledige Versie : Beveiligingstip: forceren van ftps (FTP over SSL)
Bedrijven in Nederland blijken erg lax te zijn op het gebied van internet beveiliging. Dit geldt zowel voor hosting providers, bedrijfsnetwerken en bijvoorbeeld horeca en hotels waar gratis internet wordt geboden.
http://www.nrc.nl/nieuws/2012/08/04/nederland-onvoldoende-beveiligd-tegen-cyberaanvallen/
N.a.v. de berichten over aanvallen uit het buitenland en de recente ervaring dat verschillende hostingproviders en individuele websites van klanten zijn gehacked wil ik hierbij enkele tips geven voor mensen die een dedicated server hebben of hosting providers die hun klanten willen beschermen.
Forceren van secure FTP (ftps of sFTP, twee verschillende opties)
FTP is een zeer onveilig systeem. De wachtwoorden worden ongecodeerd als platte tekst verzonden over het internet en zijn daardoor eenvoudig te stelen wanneer het internet verkeer in een tussenstation wordt afgeluisterd, bijvoorbeeld bij publieke wifi.
Door FTP over SSL te forceren voor alle gebruikers kan de kans dat een FTP wachtwoord wordt gestolen worden verminderd.
http://nl.wikipedia.org/wiki/FTP_over_SSL
http://nl.wikipedia.org/wiki/SSH_File_Transfer_Protocol
Hardware firewall
Een firewall kan de toegang tot de server beperken tot specifieke IP's. Hiermee kan de kans op een succesvolle hack via FTP of SSH tot een minimum worden beperkt. Een software firewall kan door een virus worden aangepast, het is daarom verstandig om een hardware firewall te kiezen. Bij Leaseweb.nl waar ik zelf host kost dit 25 euro per maand (managed).
Beveilig toegang tot phpMyAdmin en overig beheer
Zorg dat de toegang tot beheeronderdelen, zoals databasebeheer (phpMyAdmin) minimaal over een beveiligde verbinding worden geforceerd (https). Beter is om de toegang te beperken via een firewall.
Ik hoop dat deze tips problemen kunnen helpen voorkomen.
Wat ik me wel afvraag...
Wat ga je vervolgens als hostingprovider doen wanneer je bericht gaat krijgen dat klanten er niet op kunnen omdat FTPS niet standaard geselecteerd staat in de FTP client, of dat het certificaat niet geldig is.
Ik kan me niet voorstellen dat iedereen ineens geldige SSL certificaten gaat gebruiken voor FTP verkeer, zeker omdat het bijvoorbeeld op ftp.domeinnaam.nl uitkomt.
Een hardware firewall is een prima oplossing, maar hierbij is ook natuurlijk de vraag 'is het wel goed ingesteld'?
Als je firewall zo is ingesteld dat al het verkeer wordt toegelaten is dat natuurlijk ook een duur stukje schijnveiligheid.
Ik zou dan eerder zoiets zeggen:
Veel mensen willen graag veilig zijn, maar alsnog voor een dubbeltje op de eerste rang zitten. Dit is niet makkelijk te combineren met elkaar, maar toch zijn er nog wel een aantal tips te geven.
Software firewall (zonder extra kosten)
In geval van bijvoorbeeld een Direct Admin server, kun je als systeembeheerder hierop een firewall installeren via een mooie plugin. Op die manier ben je ook (een beetje) beveiligd zonder een eigen hardware firewall. Het kan veiliger zijn om een hardware firewall te gebruiken, maar dit is niet voor iedereen altijd mogelijk.
Een mooi voorbeeld van deze plugin is http://www.configserver.com/cp/csf.html
Voor een installatie hiervan even wat eenvoudige instructies:
1) Log even in op de server of VPS met een gebruiker
2) Verzeker jezelf er even van dat je root bent (whoami is hiervoor een goed commando).
3) Ben je geen root, kijk dan even of je met "su -" of met "sudo bash" even root kunt worden.
4) cd /usr/local/srcwget http://www.configserver.com/free/csf.tgz
5) tar –xzf csf.tgz
6) cd csf
7) sh install.sh
8) ConfigServer Firewall wordt nu even geïnstalleerd door dit script.
Dit zorgt direct voor een extra knop in het admin niveau van Direct Admin, werk deze lijst even door.
Een map beveiligen
Standaard zijn mappen natuurlijk niet beveiligd, denk hierbij aan PHPMyAdmin.
Hiervoor kan vaak ook gebruik gemaakt worden van iets als een .htaccess bestand. Dit ga ik in deze post niet helemaal uitleggen, aangezien het niet handig is om dit in te zetten op een server waarbij gebruik gemaakt gaat worden van dit door meerdere mensen (klanten) waarvan de IP adressen dynamisch of onbekend zijn.
Maar als je bijvoorbeeld een eigen CMS hebt, kan het te adviseren zijn om in de beheer folder of admin directory even te kijken of hier niet een .htaccess bestand aanwezig is.
Mocht dit er nog niet zijn, kan het soms nuttig zijn om bijvoorbeeld een .htaccess bestand aan te maken met als inhoud:
Order Deny,Allow
Deny From All
Allow From hier.je.eigen.ipadres
Dit zorgt ervoor dat deze map enkel nog voor je eigen IP adres beschikbaar is.
Vanzelfsprekend beveiligd dit de site niet tegen allerlei aanvallen, maar kan in ieder geval een extra klein laagje beveiliging aanbrengen...
Zet een wrapper om ProFTPd heen en gebruik mod_geoip. Alles buiten Nederland blokkeer je standaard. Vervolgens kun je in de configuratie per klant een uitzondering maken. Dat gaat je al 95% van de ellende die je hebt met gestolen (plain-text) wachtwoorden schelen. Dergelijke oplossing heb ik in het verleden ook toegepast voor een van de grootste shared hosters in Nederland en dit was erg succesvol.
Beveiliging is essentieel. Wanneer je als hostingprovider met duizenden klanten te maken hebt die niet altijd even verstandig omgaan met de veiligheid dan is het bieden van sFTP een goede manier om het hacken via FTP te beperken. Dit is niet alleen belangrijk voor de klant, maar ook voor de reputatie van het IP-netwerk van de host.
Wanneer een self-signed certificaat wordt gebruikt dan hoeft de klant maar 1x het certificaat te accepteren bij het verbinden via FTP en kost het niets extra. Bij volgende verbindingen is het accepteren van het certificaat niet meer nodig en werkt het exact zo gebruikersvriendelijk als normale FTP.
Verder is een aparte host voor FTP toegang niet nodig. Een aparte host (ftp.domein.nl) wordt enkel gebruikt voor presentatie naar de klant. Het domein of IP kan ook worden gebruikt en dat bespaart een DNS regel.
Een software firewall kan een goede bescherming bieden, echter is een hardware firewall stabieler en veiliger. Wanneer de firewall door de host wordt beheerd dan kan er niets foutgaan en kan de host zorgen dat de instellingen de beste beveiliging / gebruikersgemak bieden.
sFTP kost geen geld, enkel een verandering van de infrastructuur voor de host. Een managed firewall kost bij Leaseweb.nl 25 euro per maand. Via een e-mail verzoek kan kosteloos een poort worden opgengezet of gesloten.
Wat betreft het password-beveiligen van een map zoals phpMyAdmin, dat is niet voldoende. Wanneer via publieke wifi of een onveilig (gehacked) bedrijfsnetwerk gebruik wordt gemaakt van een dergelijke directory dan kunnen de verzonden gegevens worden gestolen, waaronder ook het wachtwoord tijdens het inloggen. Het is daarom belangrijk om dergelijke mappen te forceren over https zodat de verbinding versleuteld is. Binnen phpMyAdmin is er een instelling om https te forceren. Dit is ook via .htaccess mogelijk, maar als host is het beter om het intern te forceren zodat de klant geen fouten kan maken.
p.s. ik ben overigens geen hostingprovider of serverspecialist, ik voorzie in internet diensten en heb de afgelopen maanden verschillende klanten gehad van wie FTP was gehacked en malware was geínstalleerd, en zelfs een hosting provider waarbij sprake was van een 'dagtaak' voor het helpen van klanten van wie hun account was gehacked.
Wanneer een self-signed certificaat wordt gebruikt dan hoeft de klant maar 1x het certificaat te accepteren bij het verbinden via FTP en kost het niets extra. Bij volgende verbindingen is het accepteren van het certificaat niet meer nodig en werkt het exact zo gebruikersvriendelijk als normale FTP.
En laat een self-signed certificaat nu net niet veiliger zijn aangezien je dat met een man in the middle ook zelf kunt genereren (ssl hijacking).
Verder is een aparte host voor FTP toegang niet nodig. Een aparte host (ftp.domein.nl) wordt enkel gebruikt voor presentatie naar de klant. Het domein of IP kan ook worden gebruikt en dat bespaart een DNS regel.
True, dat geld trouwens ook voor secure imap & pop3.
Een software firewall kan een goede bescherming bieden, echter is een hardware firewall stabieler en veiliger. Wanneer de firewall door de host wordt beheerd dan kan er niets foutgaan en kan de host zorgen dat de instellingen de beste beveiliging / gebruikersgemak bieden.
Er kan ook redelijk wat verkeerd lopen bij een hardware firewall en dat is meestal ook moeilijker op te lossen dan een software firewall.
sFTP kost geen geld, enkel een verandering van de infrastructuur voor de host. Een managed firewall kost bij Leaseweb.nl 25 euro per maand. Via een e-mail verzoek kan kosteloos een poort worden opgengezet of gesloten.
Je weet toch dat een firewall meer is dan enkel poorten open of gesloten zetten. Wat je leaseweb verhaal betreft, hoe vlug denk je te kunnen reageren als je alles via e-mail moet laten aanpassen.
Wat betreft het password-beveiligen van een map zoals phpMyAdmin, dat is niet voldoende. Wanneer via publieke wifi of een onveilig (gehacked) bedrijfsnetwerk gebruik wordt gemaakt van een dergelijke directory dan kunnen de verzonden gegevens worden gestolen, waaronder ook het wachtwoord tijdens het inloggen. Het is daarom belangrijk om dergelijke mappen te forceren over https zodat de verbinding versleuteld is. Binnen phpMyAdmin is er een instelling om https te forceren. Dit is ook via .htaccess mogelijk, maar als host is het beter om het intern te forceren zodat de klant geen fouten kan maken.
Ik denk dat je het punt van allow, deny niet goed snapt, maar dat zorgt er juist voor dat je niet eens kunt inloggen op zaken zoals phpmyadmin of admin panels van cms'en. Wil je wel vanaf een hostspot je dingen beheren ben je dus eerst verplicht om in te loggen op een vpn en is de verbinding automatisch al encrypted.
p.s. ik ben overigens geen hostingprovider of serverspecialist, ik voorzie in internet diensten en heb de afgelopen maanden verschillende klanten gehad van wie FTP was gehacked en malware was geínstalleerd, en zelfs een hosting provider waarbij sprake was van een 'dagtaak' voor het helpen van klanten van wie hun account was gehacked.
Het valt het meeste voor dat ftp/pop3/imap gegevens gewoon door een keylogger/virus/spyware ontvreemd worden en daar helpt zelf een secure verbinding niet tegen, maar een goede virusscanner en gezond verstand. Nu ga ik niet ontkennen dat er ook veel zaken gestolen worden via een man in the middle attack, maar dat is uiteindelijk de provider zijn zaak niet als een klant onveilig met zijn gegevens om springt. Een provider kan je alleen de tools geven om het wat veiliger te maken, maar dan moet je ze wel nog willen gebruiken en daar zit meestal het probleem.
Verder is een aparte host voor FTP toegang niet nodig. Een aparte host (ftp.domein.nl) wordt enkel gebruikt voor presentatie naar de klant. Het domein of IP kan ook worden gebruikt en dat bespaart een DNS regel.
Een IP kan inderdaad, de domeinnaam gebruiken als FTP server kan niet altijd. Deze moet dan wel naar het juiste IP verwijzen (en dat hoeft uiteraard niet). Hetzelfde is overigens van toepassing voor de mail server. ftp.klantdomein.nl is voor de klant makkelijker te onthouden (in veel gevallen) dan een andere naam of IP.
Als je het wilt beveiligen terwijl het simpel blijft voor de klant is haast de enige optie om een eigen VPN aan te bieden en deze te verplichten voor FTP/mail/etc.
Het forceren van sFTP is eenvoudig en geeft geen extra kosten, zowel voor de klant als de hostingprovider. Een VPN is dan niet per sé nodig.
Het is mogelijk om self-signed certificaat te gebruiken die niets kost.
Het enige verschil voor de klant is dat deze de sFTP moet kiezen ipv standaard FTP.
En laat een self-signed certificaat nu net niet veiliger zijn aangezien je dat met een man in the middle ook zelf kunt genereren (ssl hijacking).
Biedt de sFTP verbinding via een self signed certificaat geen bescherming tegen diefstal van het FTP wachtwoord?
maar dat is uiteindelijk de provider zijn zaak niet als een klant onveilig met zijn gegevens om springt. Een provider kan je alleen de tools geven om het wat veiliger te maken, maar dan moet je ze wel nog willen gebruiken en daar zit meestal het probleem.
Dit is m.i. een verkeerde denkwijze. De host is de specialist. Mogelijkheden hoeven op geen enkele manier te worden beperkt om optimale veiligheid te garanderen/forceren. Ik ben zelf geen specialist, maar d.m.v. het forceren van sFTP / encrypted FTP kun je man in the middle attacks zo goed als uitsluiten en d.m.v. een goed beheerde hardware firewall kan de kans op een hack tot vrijwel nehil worden gebracht.
De host heeft er zelf ook nadeel door wanneer klanten worden gehacked doordat de reputatie van het IP netwerk van de host schade oploopt.
Maar buiten dat is er ook een soort maatschappelijk belang want de dagen of weken die bedrijven aan tijd verliezen door veiligheidsproblemen, ook al door eigen toedoen/fouten, verslechtert de economische groeikansen van bedrijven op het internet. Indirect zal dat uiteindelijk ook gevolgen hebben voor de omzet van de hostingproviders.
Het forceren van sFTP is eenvoudig
Hoe zet ik dat dan veilig aan op bijvoorbeeld een "standaard directadmin server"?
Patrick_st
17/04/13, 12:15
Een self signed certificaat vind ik geen goed idee. ITers kunnen vaak wel inschatten of een certificaat self signed is en of het te vertrouwen is maar de gemiddelde eind gebruiker niet.
Ga je deze gebruiker vertellen dat hij gewoon door moet klikken, dan zal hij dat waarschijnlijk ook doen als hij op een gehackte pagina van zijn bank dezelfde melding krijgt.
Het risico dat het wachtwoord wordt gestolen als de klant mobiel inlogt, wat bij een klantenbestand van 1000+ (kleine) hostingklanten erg groot is, is veel ernstiger dan de (mogelijke) invloed op het internet gedrag van de klant.
Wellicht is het een optie om klanten voor 5 euro per jaar een domein-gebonden SSL certificaat te bieden die ook kan worden gebruikt voor het beveiligen van phpMyAdmin en het beheerpaneel van een eventuele CMS en de winkelwagen van een webshop.
Een self-signed certificaat maakt het iig. mogelijk om zonder extra kosten de klant veilige FTP toegang te bieden om een van de meest ernstige veiligheidsrisico's te beperken. Het risico dat het FTP wachtwoord wordt gestolen bij publieke wifi of in tussenstations wordt namelijk steeds groter door de toenemende internationale dreiging (hackersgroepen die steeds efficiëntere hack-middelen verkrijgen om vanuit het buitenland in Nederland routers te kunnen hacken e.d.).
Het risico dat het wachtwoord wordt gestolen als de klant mobiel inlogt, wat bij een klantenbestand van 1000+ (kleine) hostingklanten erg groot is, is veel ernstiger dan de (mogelijke) invloed op het internet gedrag van de klant.
Nu spreek je jezelf wel tegen, je zegt dat de provider de klant moet beschermen door hem goed gedrag te leren, maar hier stel je dat dit slecht gedrag niet opweegt tegen de voordelen :nono:
Wellicht is het een optie om klanten voor 5 euro per jaar een domein-gebonden SSL certificaat te bieden die ook kan worden gebruikt voor het beveiligen van phpMyAdmin en het beheerpaneel van een eventuele CMS en de winkelwagen van een webshop.
Van waar haal jij die € 5,- per jaar, ik wil de eerste ssl provider wel nog zien met zo een prijzen, om dan nog maar te zwijgen over de extra kosten voor IPv4 adressen. En ja ik weet dat er SNI is, ik gebruik het zelf ook, maar je zal zien dat de meeste klanten die het dan willen juist nog op XP/browser zitten die SNI niet supporten. De kost die ik hiervoor dan zou moeten aanrekenen zou eerder richting € 45,- (excl btw) per jaar gaan.
Een self-signed certificaat maakt het iig. mogelijk om zonder extra kosten de klant veilige FTP toegang te bieden om een van de meest ernstige veiligheidsrisico's te beperken. Het risico dat het FTP wachtwoord wordt gestolen bij publieke wifi of in tussenstations wordt namelijk steeds groter door de toenemende internationale dreiging (hackersgroepen die steeds efficiëntere hack-middelen verkrijgen om vanuit het buitenland in Nederland routers te kunnen hacken e.d.).
Nogmaals een self-signed certificaat is niet veilig omdat iedereen een self-signed certificaat kan aanmaken en dus ook de hackers (ssl hijacking). Om het even kort uit te leggen, de hackers maken een proxy server / catch page (man in the middle) met een eigen self signed certificaat en zenden alles clear text of via ssl door naar de eigenlijke server. Maar ondertussen vult de klant wel zijn login gegevens in op de hackers hun servers en kunnen ze dus ook het wachtwoord uit lezen.
Self signed certificaten zijn alleen te gebruiken als je ook een eigen CA server runt, waarmee je de certificaten uitschrijft en de klant enkel het root (CA) certificaat laat aanvaarden. Maar laat dit nu net niet haalbaar zijn voor kleine hosters om een eigen CA (al dan niet self signed CA) te draaien en te onderhouden. Of wanneer je een intranet gebruikt en er geen externe verbindingen van buitenaf toe laat (buiten vpn) of om websites/projecten te testen voor dat je een eigen ssl certificaat aanschaft.
Nu spreek je jezelf wel tegen, je zegt dat de provider de klant moet beschermen door hem goed gedrag te leren, maar hier stel je dat dit slecht gedrag niet opweegt tegen de voordelen :nono:
sFTP forceren en daarbij de klant informeren dat deze eenmalig een SSL certificaat dient te accepteren heeft niets te maken met gedrag aanleren.
Het probleem dat ik zelf heb opgemerkt en welke in de media / politiek is aangeduid is dat veel websites worden gehacked en dat Nederlandse hostingproviders en bedrijven bijzonder lui en naïef zijn om de problemen aan te pakken. De problemen liggen niet enkel bij de hostingproviders die het probleem bij de klant neerleggen en zeggen dat ze het zelf maar moeten uitzoeken, ook routers en bedrijfsnetwerken blijken slecht beveiligd omdat men zich niet bewust is van de toenemende internationale dreiging en er daarom niet in investeert.
Zakenmensen / website eigenaren die via een WIFI in een hotel op FTP inloggen bijvoorbeeld, tijdens een gesprek met een webdesigner, waarbij vervolgens jarenlang ongezien een hacker toegang heeft en bedrijfskritische informatie van klanten of het bedrijf steelt of misbruikt, met potentieel zeer ernstige schade als gevolg (de hackers plaatsen niet allemaal een grappige 'ik heb je gehacked pagina')
Van waar haal jij die € 5,- per jaar, ik wil de eerste ssl provider wel nog zien met zo een prijzen, om dan nog maar te zwijgen over de extra kosten voor IPv4 adressen. En ja ik weet dat er SNI is, ik gebruik het zelf ook, maar je zal zien dat de meeste klanten die het dan willen juist nog op XP/browser zitten die SNI niet supporten. De kost die ik hiervoor dan zou moeten aanrekenen zou eerder richting € 45,- (excl btw) per jaar gaan.
Een SSL certificaat bij Comodo kost 10 euro per jaar. De inkoopprijs is wellicht 5 euro per jaar.
Nogmaals een self-signed certificaat is niet veilig omdat iedereen een self-signed certificaat kan aanmaken en dus ook de hackers (ssl hijacking). Om het even kort uit te leggen, de hackers maken een proxy server / catch page (man in the middle) met een eigen self signed certificaat en zenden alles clear text of via ssl door naar de eigenlijke server. Maar ondertussen vult de klant wel zijn login gegevens in op de hackers hun servers en kunnen ze dus ook het wachtwoord uit lezen.
Self signed certificaten zijn alleen te gebruiken als je ook een eigen CA server runt, waarmee je de certificaten uitschrijft en de klant enkel het root (CA) certificaat laat aanvaarden. Maar laat dit nu net niet haalbaar zijn voor kleine hosters om een eigen CA (al dan niet self signed CA) te draaien en te onderhouden. Of wanneer je een intranet gebruikt en er geen externe verbindingen van buitenaf toe laat (buiten vpn) of om websites/projecten te testen voor dat je een eigen ssl certificaat aanschaft.
Ok, hier heb ik geen verstand van. Het is echter niet erg moeilijk of kostbaar om klanten hoge kwaliteit beveiliging te bieden die iig. het stelen van FTP wachtwoorden voorkomt, zonder de mogelijkheden voor de klant te beperken.
En wat te denken van de implementatie kosten om ieder jaar die certificaten te updaten?
Wat The Boss terecht opmerkt is dat een self signed certificaat je niet beschermt tegen het inloggen op een wifi hotspot tijdens vakantie oid. Je krijgt hooguit een nieuwe melding dat er een nieuw (self signed) certificaat gebruikt wordt voor die verbinding. Maar, volgens jou voorstel, heb je nu juist net je klanten 'opgevoed' om 'altijd' (ja want zo vat de klant het op, ook al vertel je hem dat hij dat eigenlijk eenmalig zou moeten doen) die self signed certificaten te accepteren.
Daarnaast als je serieus wil kijken naar de manieren waarop FTP wachtwoorden gestolen kunnen worden moet je ook eens kijken naar hoe de wachtwoorden opgeslagen zijn in diverse FTP programma's. Neem het populaire Filezilla bijvoorbeeld, die slaat nog altijd de inloggegevens op in een plain text (->|) bestand.
sFTP forceren en daarbij de klant informeren dat deze eenmalig een SSL certificaat dient te accepteren heeft niets te maken met gedrag aanleren.
Dat heeft er alles mee te maken, vooral omdat dit type mensen ook niet leest wat er staat en gewoon overal op "agree" klikken
Het probleem dat ik zelf heb opgemerkt en welke in de media / politiek is aangeduid is dat veel websites worden gehacked en dat Nederlandse hostingproviders en bedrijven bijzonder lui en naïef zijn om de problemen aan te pakken. De problemen liggen niet enkel bij de hostingproviders die het probleem bij de klant neerleggen en zeggen dat ze het zelf maar moeten uitzoeken, ook routers en bedrijfsnetwerken blijken slecht beveiligd omdat men zich niet bewust is van de toenemende internationale dreiging en er daarom niet in investeert.
De bedrijven zijn niet te lui om het probleem aan te pakken, het zijn de gebruikers die te lui zijn om hier extra voor te betalen of dingen aan te passen. Ik heb zelf voldoende ssl certificaten op mijn servers staan, maar uiteraard werken deze alleen op de hostname van de server (of wildcards). Zelfs als ik dit in de login e-mail meegeef dat klanten kunnen inlopen op imaps/pop3s/sftp op hostname : poort voor een beveiligde verbinding zie ik 99% gewoon inloggen op ftp.uweigendomein.tld omdat dit veel makkelijker is. Verder heb ik ook een secure webmail (met ssl) onder een eigen domein, maar toch zie ik nog klanten die in het buitenland op reis zijn of ergens op een hotspot zitten nog steeds gebruik maken van hun normale e-mail client zonder ssl connectie. Kortom je kan de honing wel naast de beer gaan zetten maar als die niet wil eten ben je er ook niets mee, of zoals ze ook zeggen "wat baten kaars en bril als de uil niet zien en wil."
Zakenmensen / website eigenaren die via een WIFI in een hotel op FTP inloggen bijvoorbeeld, tijdens een gesprek met een webdesigner, waarbij vervolgens jarenlang ongezien een hacker toegang heeft en bedrijfskritische informatie van klanten of het bedrijf steelt of misbruikt, met potentieel zeer ernstige schade als gevolg (de hackers plaatsen niet allemaal een grappige 'ik heb je gehacked pagina')
Zakenmensen zouden juist beter opgeleid moeten zijn door het bedrijf (ict-er) zelf om altijd buitens huis een connectie met het bedrijf vpn te maken ongeacht waar ze zijn.
Een SSL certificaat bij Comodo kost 10 euro per jaar. De inkoopprijs is wellicht 5 euro per jaar.
Rare redenering hou jij er op aan, dus al een nieuwe auto in de garage € 20.000,- kost gaan ze hem ook verkopen aan € 10.000,- omdat dit hun verkoopprijs is. Comodo is een leverancier en jij wilt dat provider er nog eens 50% van de kosten aan toe steekt ook. Naast het feit dat ik in mijn vorige bericht al aankaartte, je vergeet de prijs voor een IPv4 adres nog mee te rekenen en dan zwijg ik nog maar even over de installatie kosten.
Ok, hier heb ik geen verstand van. Het is echter niet erg moeilijk of kostbaar om klanten hoge kwaliteit beveiliging te bieden die iig. het stelen van FTP wachtwoorden voorkomt, zonder de mogelijkheden voor de klant te beperken.
Het is wel kostbaar om klanten hoge kwaliteit beveiliging te bieden, 4 sloten op je voordeur kosten ook meer dan 1 slot en dan hou je ook weer geen rekening met onderhoud, monitoring, ... in je gedachten gang.
Ik mis de belangrijkste stap. Beperkt toegang op basis van land. Bij een gemiddelde shared hosting server is geen FTP toegang van buiten Nederland nodig voor zo goed als alle klanten. Een wrapper met geoip om je FTP-deamon heen kan dus al een hoop ellende besparen met gestolen wachtwoorden. In deze wrapper kun je vervolgens per klant/land een uitzondering maken. In het verleden is deze oplossing o.a. toegepast bij een van de grootste shared hosters in Nederland waar vervolgens het aantal 'hacks' ontzettend terug liep.
Neemt niet weg dat ieder protocol dat user-credentials in plain-text over het grote boze Internet stuurt aanpassingen behoeft. SSL is een goede oplossing, evenzo geldt voor SCP. Je moet voor de grap eens een keer je Macbook open klappen in de trein en ethdump/wireshark aanzetten. Zo kwam in ik het verleden, ergens in 2010, zelfs credentials tegen van een medewerker van het Ministerie van Justitie die door de lucht gingen.
sFTP forceren en daarbij de klant informeren dat deze eenmalig een SSL certificaat dient te accepteren heeft niets te maken met gedrag aanleren.
Nee, dit is het domste wat je kunt doen. Banken investeren tonnen aan reclamecampagnes over het 'slotje' en gebruikers worden gelukkig wijzer. Laten we deze awareness beslist niet om zeep helpen!
Een SSL certificaat bij Comodo kost 10 euro per jaar. De inkoopprijs is wellicht 5 euro per jaar.
Zelfs gratis via StartSSL, uit een erkende root en prima werkend voor alle diensten die standaard aangeboden worden door een xSP, inclusief e-mail, FTP en/of WebDAV.
Nee, dit is het domste wat je kunt doen. Banken investeren tonnen aan reclamecampagnes over het 'slotje' en gebruikers worden gelukkig wijzer. Laten we deze awareness beslist niet om zeep helpen!
En laat dit nu het gene zijn dat ik hem al ettelijke keren probeer wijs te maken.
Zelfs gratis via StartSSL, uit een erkende root en prima werkend voor alle diensten die standaard aangeboden worden door een xSP, inclusief e-mail, FTP en/of WebDAV.
Het klopt dat startssl gratis is, ik maak er voor bepaalde zaken ook gebruik van, alleen ligt de kost niet zo zeer bij het ssl certificaat maar bij alle overige kosten als je dit per klant/domein wilt doen (installatie, configuratie, ip adres). Het heeft dus wel degelijk een meerkost als hoster en niet zoals TS beweert dat dit allemaal met minimale inspanningen of zelf gratis kan.
Zakenmensen zouden juist beter opgeleid moeten zijn door het bedrijf (ict-er) zelf om altijd buitens huis een connectie met het bedrijf vpn te maken ongeacht waar ze zijn.
LOL
Dan hebben vele directeuren plots een tweede secretaresse nodig ;-)
Wat ik zie, is hoe hoger op, hoe minder bereidheid om zelfs eenvoudige security maatregelen te aanvaarden. Voor 't personeel, ja, maar voor hen?
Het meeste kans heb je dan nog met iets credit-card-achtig. Dat kennen ze wel.
Het als platte tekst verzenden van het FTP wachtwoord is een ongekend ernstig risico dat via een goede versleutelde verbinding kan worden voorkomen. De extra kosten kunnen voor 10.000 hosting klanten honderden miljoenen euro's aan verlies voorkomen. Een kleine klant kan de kans verliezen om een grote klant te worden doordat slechte kwaliteit beveiliging hem ernstige schade oplevert.
Natuurlijk zijn er veel onderdelen waarop gelet moet worden voor goede beveiliging, maar dat wil niet zeggen dat je als hosting provider bij de pakken neer kunt gaan zitten en onderdelen als het als platte tekst verzenden van FTP wachtwoorden als een probleem van de klant moet beschouwen, onderwijl een grote hostingprovider van wie ik twee maanden geleden een engineer sprak er een 'dagtaak' van had gemaakt voor een personeelslid om klanten te helpen van wie hun FTP/hosting account was gehacked.
Ik ben geen specialist, maar via een geforceerde en goed opgezette versleutelde sFTP verbinding zijn veel problemen te voorkomen onderwijl de (kleine) klant dezelfde mogelijkheden en gebruiksgemak behoudt. De kosten zijn m.i. nehil en goede beveiliging vormt wellicht een marketingmiddel. Vandaag stond er een groot artikel over internet beveiliging in de Volkskrant (katern wetenschap) en een oproep van de Nederlandse politie om van Nederland het meest veilige land op het internet te maken.
... onderwijl een grote hostingprovider van wie ik twee maanden geleden een engineer sprak er een 'dagtaak' van had gemaakt voor een personeelslid om klanten te helpen van wie hun FTP/hosting account was gehacked.
En jij weet ZEKER dat al die ftp accounts zijn gehacked via platte tekst en man in the middle attacks? Er zijn vele manieren om een ftp account te verkrijgen, de "via platte tekst" versie is mijns insziens niet de meest waarschijnlijke.
Een paar andere voorbeelden (er zijn zonder veel moeite meer manieren te bedenken):
- gebruik van ftp programma dat het als platte tekst opslaat (op een PC die in een botnet terecht is gekomen)
- oude werknemers die het ftp account nog weten en misbruiken tegen hun oude bedrijf
- een email account die wordt gekraakt (wachtwoorden daarvan zijn vaak simpel) waar het wachtwoord in email staat
- een post-it met account/wachtwoord
- een besmette PC met een keylogger
- een fishing email dat je je account even moet bevestigen
- brute force attacks op ftp wachtwoord
- ..
... Ik ben geen specialist, maar Dat wisten we wel hoor :)
Als je echt serieus veiliger data voor je website of wat dan ook wil versturen dan gebruiken de meeste bedrijven een VPN met een hardware token, dat is er voor gemaakt, maar ook dat is geen "alles oplossende taktiek" en kost wel degelijk geld.
Een certificaat gaan forceren over ftp helpt misschien wel wat, maar het geeft geen garantie dat er minder klanten zullen zijn met gehackte ftp accounts.
Overigens dat is een standaard kenmerk van beveiliging, het is zo sterk als de zwakste schakel. Gewoon domweg technologie inkopen en er tegenaan gooien lost niks op als de gebruiker niet weet hoe het te gebruiken of niet de basisregels kent van hoe het werkt of die domweg negeert.
De kosten zijn m.i. nehil Straffe uitspraak van iemand die zelf toegeeft geen expert te zijn.
Nee, dit is het domste wat je kunt doen. Banken investeren tonnen aan reclamecampagnes over het 'slotje' en gebruikers worden gelukkig wijzer. Laten we deze awareness beslist niet om zeep helpen!
Ok, duidelijk, maar met vakkundige configuratie van secure FTP hoeft de klant geen certificaat te accepteren en werkt de FTP als normaal op het eenmalig selecteren van sFTP in de instellingen na?
Een certificaat gaan forceren over ftp helpt misschien wel wat, maar het geeft geen garantie dat er minder klanten zullen zijn met gehackte ftp accounts.
Overigens dat is een standaard kenmerk van beveiliging, het is zo sterk als de zwakste schakel. Gewoon domweg technologie inkopen en er tegenaan gooien lost niks op als de gebruiker niet weet hoe het te gebruiken of niet de basisregels kent van hoe het werkt of die domweg negeert.
Ik denk dat hosting bedrijven wat dat betreft meer in het belang van de klanten zouden moeten denken ipv. de verantwoordelijkheid bij de klant neer te leggen. Je hebt gelijk dat er op verschillende manieren zwakke schakels kunnen ontstaan waar de hosting provider niet of niet eenvoudig iets aan kan veranderen, maar indien via bijvoorbeeld het forceren van sFTP 1000 succesvolle hacks kunnen worden voorkomen dan is dat iets dat de hosting provider kan aanbieden zodat het internet er veiliger door wordt en klanten meer kans hebben om succesvol te worden op het internet.
Er zijn overigens ook steeds meer (opensource) diensten die de fine-tuning en monitoring van regeluliere server beveiligingssoftware, zoals Apache mod_security, watchdog, firewall en ClamAV anti virus en PHP/MySQL beveiliging automatiseren. Twee voorbeelden zijn Atomic Secured Linux (ASL) en ConfigServer Security & Firewall.
ASL kost 30 dollar per maand of 200 dollar per jaar. Het biedt real-time finetuning van mod_security als reactie op actuele bedreigingen, en verder bescherming van websites tegen spambots, phising, XSS aanvallen, mail en MySQL injectie e.d. Als hosting provider kun je hiermee optimale beveiliging bieden zonder zelf op alle gebieden specialistische kennis nodig te hebben en werk te hoeven verichten.
https://www.atomicorp.com/
http://configserver.com/cp/csf.html
Zet een wrapper om ProFTPd heen en gebruik mod_geoip. Alles buiten Nederland blokkeer je standaard. Vervolgens kun je in de configuratie per klant een uitzondering maken. Dat gaat je al 95% van de ellende die je hebt met gestolen (plain-text) wachtwoorden schelen. Dergelijke oplossing heb ik in het verleden ook toegepast voor een van de grootste shared hosters in Nederland en dit was erg succesvol.
Je redeneert hier wederom alsof alle klanten van hostingbedrijven Nederlands zijn, en ook nooit vanuit het buitenland inloggen. Deze redenatie zal alleen nuttig zijn voor partijen die zich volledig op Nederland richten. Voor hosters met buitenlandse klanten is het onbegonnen werk (en zeer onpraktisch) om talloze uitzonderingen toe te moeten voegen.
Wellicht is het een oplossing om klanten een gratis VPN inlog te bieden vanwaar de FTP en phpMyAdmin toegankelijk zijn en de toegang voor het overige verkeer af te sluiten. Een VPN server, bijvoorbeeld OpenVPN, is gratis.
Wellicht is het een oplossing om klanten een gratis VPN inlog te bieden vanwaar de FTP en phpMyAdmin toegankelijk zijn en de toegang voor het overige verkeer af te sluiten. Een VPN server, bijvoorbeeld OpenVPN, is gratis.
Zo'n soort constructie zou interessant kunnen zijn. Mogelijke problemen die ik voorzie:
- Voor niet-technische klanten kan dit mogelijk problematisch zijn. Dit zou dan weer tot gevolg kunnen hebben dat ze het "te veel gedoe" vinden (zelfs wanneer je het duidelijk documenteert) en daardoor niet bij jou kopen, of dat je er een hoop overhead aan over houdt op het gebied van het bieden van ondersteuning. Ervaring leert dat het voor digibeten al snel te ingewikkeld wordt.
- Je zou er dan ofwel voor moeten zorgen dat men alleen inlogt via de VPN voor FTP/PHPmyadmin/control panel toegang, door extern verkeer over de VPN niet toe te staan. Maar dat is niet erg praktisch wanneer men telkens de VPN aan en uit moet schakelen (zeker wanneer iemand bezig is met de ontwikkeling van een website). Het alternatief is dat je extern verkeer over de VPN ook toestaat, maar dan kan je bandbreedte rekening erg snel oplopen.
Wellicht een beter alternatief: voordat men verbinding kan maken met FTP/PHPmyadmin/control panel, moet men eerst op het klantenpaneel van de provider inloggen. Vervolgens wordt het IP waarmee de klant verbindt (tijdelijk) gewhitelist en kan er dus verbinding met FTP/PHPmyadmin/control panel gemaakt worden.
Wellicht is het bieden van een VPN exclusief voor beheer-toegang gezien de huidige media/politieke aandacht rond cybercriminaliteit en spionage te verantwoorden, en als zodanig juist als marketing middel te gebruiken.
http://www.volkskrant.nl/vk/nl/2686/Binnenland/article/detail/3430498/2013/04/23/AIVD-Cyberspionage-door-andere-landen-neemt-toe.dhtml
Secure FTP lijkt mij een betere methode om een encrypted verbinding te forceren omdat er dan een schakel minder is die problemen kan veroorzaken.
Wellicht is het bieden van een VPN exclusief voor beheer-toegang gezien de huidige media/politieke aandacht rond cybercriminaliteit en spionage te verantwoorden, en als zodanig juist als marketing middel te gebruiken.
Als je het als marketing middel zou inzetten, zou ik het enkel als optie aanbieden (en dus niet forceren).