HI @ all,

habe bei mir zu hause nen kleinen FTP Client... Da ich hinter einem ADSL Router stehe musste ich den Port 21 öffnen und auf die IP des Servers "lenken". Mein Vater hat mich darauf angesprochen wie Sicher oder eben Unsicher das ganze ist.

Diese Frage möchte ich hiermit gleich öffentlich klären... Welches Risiko besteht für Zugriff auf daten des Servers oder auch der anderen PC's im Netzt von aussen? Gibt es Tools/Programme die die Sicherheit erhöhen können..?

Danke und Gruss

-michi-

Da FTP ein sehr altes Protokoll ist und sich an der grundlegenden Struktur seit den Anfaengen sehr wenig geaendert hat ist es potenziell anfaellig fuer Sicherheitsluecken.
Inwieweit sich Schwachstellen im Protokoll jedoch auf den Dienst, den Server worauf dieser laeuft und das daran angeschlossene Netzwerk auswirkt haengt von mehreren Faktoren ab.
Da waere zum einen der Dienst an sich, es gibt unmengen an FTP-Servern und jeder hat so seine Schwachstellen, insbesondere wohl der WuFTP.
Dann kommt es natuerlich auch noch auf der Server-OS an, wie weit man dort Zugriff und Berechtigungen erlangen kann und letztendlich auf die Struktur des Netzes, und auch auf das Client-OS wie weit man sich im Netzwerk bewegen kann.

zum Os des Servers: Windows Server 2003 Standard SP 1
zum OS der Cleints: Windows XP SP 2
zum FTP Server: BulletProof FTP Server
zum Netz: Normales Peer to Peer Netzwerk an einem Switch (7 Computer)
zum Inet: Zyxel ADSL Router Prestige 600 Series

Habe das Server OS nicht speziell konfiguriert... Was rätst du mir?

Wie gesagt, da ein FTP potenziell unsicher ist (z.B. durch Uebertragung der Passworte in der Regel im Klartext) wuerde ich es vorziehen einen FTP-Server in einer DMZ aufzustellen.
Jedoch ist das fuer ein Heimnetzwerk etwas uebertrieben, und das muss auch nicht unbedingt sein.
Eine Ausweichmoeglichkeit (oder kurz Alternative ) waere es vielleicht SSH zu nutzen und Dateien mittles scp zu kopieren.
Der Vorteil dabei ist, dass die ganze Geschichte verschluesselt ablaeuft und SSH auch noch ein paar andere kleine Sicherheitsmechanismen mitbringt.

tönt gut... tönt kompliziert... wie geht?

SSH ist eigentlich ziemlich einfach, OpenSSH (der SSH-Server) gibt's sogar fuer Windows.
Hier gibt's z.B. ein paar Clients.

ah so ist das... hmmm... ich möchte eigentlich nicht dass die user mit hilfe eines clients zugeiffen müssen... wäre mir viel lieber wenn sie ganz normal via IE oder einem kleinen FTP Proggy zugreifen könnten...

Eine andere Möglichkeit wäre so ein Tool wie ZoneAlarm? kennst du da was gutes, wo den Server überwacht und nur FTP anfragen zulässt?

Naja, wenn die User ein FTP-Programm einsetzen koennen sie auch ein SSH-Programm einsetzen.

Solche Tools nennt man Firewall, oder im von Dir aufgefuehrten Fall Desktop-Firewall.
Dabei oeffnest Du dann nur die benoetigten Ports und gut. Das stopft aber trotzdem nicht die Sicherheitsluecken im Protokoll und im Dienst. Es verhindert nur das Verbinden auf andere evtl. laufenden Dienste.
Du koenntest mit 2 Firewalls, keine Desktop-Firewalls, sondern dedizierte Maschinen, eine DMZ bauen. Du wuerdest eine Firewall zwischen den Server und das Internet setzen, und eine Firewall zwischen Server und LAN. So kannst Du zumindest sehr gut kontrollieren welcher Verkehr wo lang laeuft und im Falle eines Angriffes ist die Chance groesser, dass sich dieser auf den Server beschraenkt. Vernuenftige Konfiguration vorausgesetzt.

das halte ich fast für ein bisschen übertrieben...

wenn jemand den FTP hacken würde wäre das kein Problem... Um den Server wäre es auch nicht schade... Das einzie Problem wäre wenn jemand via Server auf einen Desktop im Netzt zugreifen könnte... gegen dies könnte eine Desktop Firewall schon was bringen ,oda?

Im Grunde schon. Jedoch wirst Du hier sicher auch Leute finden die Dir gern das Gegenteil behaupten.
Ich bin auch nicht wirklich Freund von Desktop-Firewalls, jedoch denk ich ist sowas immer noch besser als nix.

auch wenn du kein fan bist... kanst du mir eine empfehelen oder muss ich mich selbst auf die suche machen?

Leider kann ich Dir keine Empfehlen, da ich selbst keine nutze.
Bin in der Regel mit Linux im Netz und verlass mich da auf IPTables.

easy... trotzdem thx 4 help