742 Kapitel 14: Konfigurieren von FTP- und SMTP-Diensten
Praxistipp
Ian McLean
FTP gibt es schon seit der Steinzeit (in Computerjahren). Es wurde seit den Anfangstagen
des Arpanet eingesetzt, um Dateien über Netzwerke zu übertragen, schon lange bevor
Browser entwickelt wurden. Vielleicht waren die Zeiten damals idyllisch, vielleicht
machte sich aber auch nur niemand so viele Gedanken über Sicherheit wie heute. FTP
verwendet jedenfalls einen Sicherheitsansatz, den man nur als minimal bezeichnen kann.
Ich erinnere mich noch, wie ich zum ersten Mal den Netzwerkverkehr mit einem Proto-
koll-Sniffer untersuchte. Die eingehende Nachricht mit einem ICMP-Ping-Befehl war un-
interessant, aber FTP-Verkehr ließ meine Augen aufleuchten. War es wirklich so einfach,
so interessante Sachen abzufangen und zu lesen? Und vor allem: Wie konnte ich verhin-
dern, dass jemand anders das mit meinem Netzwerkverkehr macht? Ich probierte es mit
Standardauthentifizierung. Das musste doch sicherer sein als anonymer Zugriff. Leider
nein, die einzige Auswirkung war, dass neben dem Dateiinhalt auch noch Benutzernamen
und Kennwörter als Klartext im Netzwerk herumschwirrten.
Nach einem kurzen Blick auf das Bankkonto meines Chefs (nur ein Scherz) warnte ich
meine Kollegen, nichts Vertrauliches in Dateien auf einer FTP-Site abzulegen. Dann
machte ich mich daran, mit verschiedenen Verschlüsselungsszenarien und VPNs in feind-
seligen Umgebungen zu experimentieren. Es hat sich allerdings nichts daran geändert,
dass FTP prinzipiell unsicher war (und in gewisser Weise immer noch ist).
Glücklicherweise bessern sich die Zeiten. IPSec bietet Endpunkt-zu-Endpunkt-Verschlüs-
selung, die für den Benutzer völlig unsichtbar ist. Und wenn wir alle IPv6 benutzen (frü-
her oder später ist es so weit), ist IPSec obligatorisch. FTP7, das sicherlich in künftigen
Windows Server-Editionen enthalten sein wird, unterstützt SSL (Secure Sockets Layer)
und ermöglicht Ihnen, FTPS-Sites (FTP über SSL) zu konfigurieren. Ich bin sicher, dass
diese Entwicklungen von allen begrüßt werden.
Außer für den traurigen alten Typen mit seinem Protokoll-Sniffer: Netzwerkverkehr zu
lesen, ist dann einfach nicht mehr so interessant.