FTP Sicherheitswarnung vom meinem Internetanbieter

[AndrewStereo]

Hallo Forum,

ich besitze eine FRITZ!Box 6490 Cable und surfe über das Kabelnetz des Anbieters Vodafone. Von diesem habe ich nun eine beunruhigende Mail erhalten. Darin lautet es:

"Es liegen uns Hinweise vor, dass an Ihrem Internetanschluss ein offener FTP Dienst aktiv ist. Diese Funktion ist für Dritte aus dem Internet öffentlich erreichbar und stellt für Sie ein Sicherheitsrisiko dar."

Weiter heißt es:
Meldende Stelle: autoreports@shadowserver.org
source_port: 21
service: ftp
TransportProtocol: tcp

Ich bin leider ein Laie was FTP und offene Ports anbelangt, habe mich aber in die FRITZ!Box eingeloggt, und den ftp-Fernzugriff auf das NAS deaktiviert. Außerdem habe ich noch zwei offene Ports (die lagen allerdings nicht bei Portnummer 21) geschlossen. Kann ich noch mehr tun? Wird das Problem evtl. gar nicht von der FRITZ!Box sondern von irgendeiner installierten Software erzeugt? Und ist der ftp-Fernzugriff auf das NAS generell ein Sicherheitsrisiko?

Bin gespannt auf eure Antworten!

 

[GwenDragon]

Den FTP-Zugang per Fernzugriff öffentlich zugänglich zu haben, ist ein Risiko. Dass bei sowas fier Router-Firmware immer aktuell gehalten werden sollte und ein sicheres Zugangspasswort für FTP verwendet wird, versteht sich da auch von selbst.

Soll der FTP-Zugang auf NAS in der Fritz!Box nur für dich da sein oder auch für andere ausgewählt Besucher oder für Alle? Wenn ja, warum?
Oder um was für ein NAS geht es? Im Router oder ein extra Gerät?

 

[AndrewStereo]

Den FTP-Zugang per Fernzugriff öffentlich zugänglich zu haben, ist ein Risiko. Dass bei sowas fier Router-Firmware immer aktuell gehalten werden sollte und ein sicheres Zugangspasswort für FTP verwendet wird, versteht sich da auch von selbst.

Soll der FTP-Zugang auf NAS in der Fritz!Box nur für dich da sein oder auch für andere ausgewählt Besucher oder für Alle? Wenn ja, warum?
Oder um was für ein NAS geht es? Im Router oder ein extra Gerät?

Selbstverständlich ist die Router-Firmware auf dem aktuellsten Stand und das Zugangspasswort ist auch sicher. Ich habe vor langer Zeit den FTP-Zugang auf mein NAS eingerichtet, damit ich per FTP-Client darauf zugreifen kann. Bei dem NAS handelt es sich um eine magnetische Platte, die per USB direkt an die FRITZ!Box angeschlossen ist. Die Frage ist, ob es jetzt wegen dieses FTP-Zugangs zu dieser Sicherheitswarnung seitens Vodafone kam, oder ob an anderer Stelle noch ein weiteres Sicherheitsleck ist, von dem ich nichts weiß. Den FTP-Zugang habe ich jetzt deaktiviert. Ich frage mich, warum AVM eine solche Option implementiert, wenn sie derart unsicher ist, dass sogar mein Provider mich kontaktiert? Oder sieht Vodafone da Gefahren, wo gar keine sind? Oder ist am Ende eine ganz andere Stelle im System betroffen, von der ich nichts weiß?

 

[greystone]

Bewertungen hinsichtlich Sicherheit ändern sich im Laufe der Zeit - mitunter auch aus leidlicher Erfahrung. Und Dein Internetanbieter kümmert sich halt darum, weil er sonst evtl. den Schaden (Übertraffic) hat.

 

[MadMakz]

Selbstverständlich ist die Router-Firmware auf dem aktuellsten Stand und das Zugangspasswort ist auch sicher. Ich habe vor langer Zeit den FTP-Zugang auf mein NAS eingerichtet, damit ich per FTP-Client darauf zugreifen kann. Bei dem NAS handelt es sich um eine magnetische Platte, die per USB direkt an die FRITZ!Box angeschlossen ist. Die Frage ist, ob es jetzt wegen dieses FTP-Zugangs zu dieser Sicherheitswarnung seitens Vodafone kam, oder ob an anderer Stelle noch ein weiteres Sicherheitsleck ist, von dem ich nichts weiß. Den FTP-Zugang habe ich jetzt deaktiviert. Ich frage mich, warum AVM eine solche Option implementiert, wenn sie derart unsicher ist, dass sogar mein Provider mich kontaktiert? Oder sieht Vodafone da Gefahren, wo gar keine sind? Oder ist am Ende eine ganz andere Stelle im System betroffen, von der ich nichts weiß?

FTP(S) wird Heutzutage generell als unsicher eingestuft. FTPS weil oft falsch eingerichtet. Darum haben alle Major-Webbrowser unterstützung für dieses Protokolls eingestellt.

Da dein Port 21 offensichtlich dem Portscanner von shadowserver.org geantwortet hat bakamst du die Warnung. Offensichtlich Scant dieser externe Dienst kontinuierlich Provideradressen nach offenen Ports (und Diensten?) dahinter.

Die Telekom tut dies z.B. auch selbst und schreibt einem auch mal gerne einen Brief wenn z.B. ein rsync Server zuhause läuft.

Wenn da nichts mehr kommt ist das Problem behoben. Wenn du dir aber nicht sicher bist dann ist das eher weniger ein Port Laien-Problem als ein "ich habe keine Ahnung welche Software in meinem Netzwerk läuft"-Problem.

Jedenfalls sollte man UPnP mMn im Router immer aus haben.

 

[d4f]

FTP(S) wird Heutzutage generell als unsicher eingestuft. FTPS weil oft falsch eingerichtet.

Das ist schlicht gesagt falsch. HTTP und SMTP sowie alle anderen TLS-aufsetzenden legacy-Protokolle sollte man damit auch abschaffen, weil alle haben das gleiche mögliche Problem unsicherer Konfigurationen. FTP wird schlicht seltener weil HTTP sich als Standard-für-alles von DNS bis zu Fileuploads etabliert hat und keine nervigen Datenports braucht.

Darum haben alle Major-Webbrowser unterstützung für dieses Protokolls eingestellt.

Nein, vernachlässigbare Benutzerzahlen für dieses Protokoll, komplett veralteter Sourcecode und fehlende Unterstützung sowie Motivation um FTPS zu implementieren haben die deprecation für sowohl Firefox als Chrome verursacht. Edge als Chrome-Abklatsch kann es damit auch nicht.

The current FTP implementation in Google Chrome has no support for encrypted connections (FTPS), nor proxies. Usage of FTP in the browser is sufficiently low that it is no longer viable to invest in improving the existing FTP client. We would like to deprecate and remove this remaining functionality rather than maintain an insecure FTP implementation.

Firefox: https://bugzilla.mozilla.org/show_bug.cgi?id=1570155#c5

Es sei an zu merken dass FTP immer nur ein "auch können sollen" Feature für Browser war. Filezilla versteht kein HTTP, Chrome soll kein FTP verstehen.

Jedenfalls sollte man UPnP mMn im Router immer aus haben

Auch wenn es sinnvoll sein kann, Upnp ist nicht in der low-port Range möglich.

ftp-Fernzugriff auf das NAS deaktiviert.

Frage: Benutzt du die Funktion? Solange anonymer Login deaktiviert und der Zugriff über FTPS erfolgt liegt hier keine Schwachstelle vor sondern ein verwendetes Feature. Ich verstehe den Sinn solcher auto-reporter aber gleichzeitig ist das ein absoluter Schmarrn.

 

[MadMakz]

Das ist schlicht gesagt falsch.

HTTP wird in allen Browsern als "insecure" getagged. Gleiches tat Google in Chrome für FTP vor abschaffung. Es geht darum das es Plain-text Protokolle sind und sensible Daten enthalten >könnten<. Im Fall FTPS explizit sind downgrade attacken möglich durch schlechte Clientimplementierungen.
FTPS impliziert lauscht normalerweise nicht an 21.

 

[Thunderbyte]

Die Frage ist hier ja erst mal ob anonymes FTP offen war, oder nur mit Benutzer. Ersteres ist definitiv ein Sicherheitsproblem, zweiteres ist ein sekundäres, wenn es der Nutzer ohne Verschlüsselung verwendet und deswegen das Passwort im Klartext übers Internet transportiert wird.

 

[AndrewStereo]

Nachdem ich den FTP-Fernzugriff auf der FRITZ!Box deaktiviert habe, hat shadowserver.org keine weiter Sicherheitswarnung mehr produziert. Ich vermute, das war die Schwachstelle. Der FTP-Fernzugriff war mit Benutzer, ob es mit Verschlüsselung war, kann ich nicht sagen, da müsste man mal bei AVM nachforschen.

 

[GwenDragon]

Ich habe vor langer Zeit den FTP-Zugang auf mein NAS eingerichtet, damit ich per FTP-Client darauf zugreifen kann.

Dann reichen doch in der Fritz!Box extra angelegte Benutzer, welche mit dem Gerät/PC lokal in deinem LAN sind und zugreifen können; ein Fernzugriff ist da unnötig.

 

[AndrewStereo]

Ich wollte meinem Bruder, der im Ausland war, Zugriff auf einige Dokumente verschaffen und habe deshalb einen User in der Fritz!Box angelegt, mit dem man per Passwort und FTP auf ein bestimmtest Verzeichnis auf dem NAS zugreifen konnte. Ich bin zwar sicherheitsbewusst, war aber der Meinung, dass dieses vom Router angebotene Feature mit gutem Gewissen genutzt werden kann. Dass ich damit meinen Internetanschluss einem Risiko ausgesetzt habe, sehe ich jetzt ein. Ich hätte die Funktion, nachdem sie nicht mehr genutzt wurde, wieder deaktivieren sollen.

 

[d4f]

HTTP wird in allen Browsern als "insecure" getagged.

Ich meinte hier HTTP im Kontext als Protokoll, also inklusive der Erweiterung HTTPS.
Genau wie bei FTPS bei implizitem TLS und SMTPS bei implizitem TLS gelten ähnliche Angriffsvektoren.

Im Fall FTPS explizit sind downgrade attacken möglich durch schlechte Clientimplementierungen.

Das stimmt, ist aber genau wie bei allen anderen expliziten TLS-Protokollen (zB SMTP-25) ein Risiko das often nicht korrigierbar ist da der Client generell nicht weiss ob FTPES möglich ist und damit MITM-Angriffe einfaches Spiel haben.

Meine Argumentation hier ist dass man nicht ein Protokoll verteufeln soll sondern seine Grenzen kennen und entsprechend verwenden.
Soll man unverschlüsseltes FTP zum Schieben kritischer Daten auf einem offenen WLAN in der Innenstadt machen? Vermutlich nicht.
Eine Übertragung von unkritischen Daten aus einem privaten Netz und bestenfalls FTPS? Sehr geringes Risiko.

Dass ich damit meinen Internetanschluss einem Risiko ausgesetzt habe, sehe ich jetzt ein

Ein Risiko durch das Anbieten des Dienstes per se gibt es nur wenn:
-anonymer Zugang aktiv ist
-das Passwort erraten oder geklaut wuirde
-eine Sicherheitslücke im FTP-Server ausgenutzt wird
Es ist best-practice unbenutzte Dienste zu schliessen, aber eine echte Sicherheitslücke stellt das blosse Bereitstellen eines Dienstes nicht dar.

 

[AndrewStereo]

Ein Risiko durch das Anbieten des Dienstes per se gibt es nur wenn:
-anonymer Zugang aktiv ist
-das Passwort erraten oder geklaut wuirde
-eine Sicherheitslücke im FTP-Server ausgenutzt wird
Es ist best-practice unbenutzte Dienste zu schliessen, aber eine echte Sicherheitslücke stellt das blosse Bereitstellen eines Dienstes nicht dar.

Dann vermute ich, dass ich nichts falsch gemacht habe. Ich habe keinen anonymen Zugang aktiviert. Und das Passwort war kompliziert und schwer zu knacken. Was kann dann so brisant sein, dass Vodafone mich sogar persönlich anschreibt?

 

[greystone]

Dann vermute ich, dass ich nichts falsch gemacht habe. Ich habe keinen anonymen Zugang aktiviert. Und das Passwort war kompliziert und schwer zu knacken. Was kann dann so brisant sein, dass Vodafone mich sogar persönlich anschreibt?

Ich denke mir, dass sich da Vodafone nicht sonderlich groß einen Kopf macht. FTP ist aktiv -> anschreiben. Fertig! Das ist alles vermutlich vollständig automatisiert und bis auf das grundsätzliche Setup für die ohne weiteren Aufwand. Wie schon geschrieben:

Und Dein Internetanbieter kümmert sich halt darum, weil er sonst evtl. den Schaden (Übertraffic) hat.

Wenn Du's ohnehin nicht brauchst, dann ist es doch gut, dass das jetzt zu ist.

 

[AndrewStereo]

Genau. Vielen Dank für eure Hilfe.