Meinung gefragt:Alternativen zu https / https vs. sFTP, SFTP, FTPS

[supersucker]

Hi zusammen,

mich würden hier eure Meinungen bzgl. folgender Situation interessieren:

Ich habe eine Point-to-Point-Verbindung zwischen 2 Rechnern über eine prinzipiell unsichere Leitung, sprich das Internet.

Die beiden Rechner kommunizieren nun über https, die Kommunikation selbst erfolgt über xml.

Die Kommunikation über https hat nun leider einige Nachteile:

- es ist nicht wirklich gut geeignet für die Übertragung größerer Datenmengen
- der Verbindungsaufbau dauert recht lange aufgrund des ständigen SSL-Handshakes

Deshalb meine Frage:

Was für Erfahrungen habt ihr mit Alternativen gemacht?

Folgendes ist mir jetzt mal so auf Anhieb eingefallen:

- SSH File Transfer Protocol
- Secure File Transfer Protocol

Nochmal die Anforderungen:

- schnelle Verbindung im Sinne von möglichst wenig Protokoll-Overhead
- wenn möglich persistente Verbindung ohne ständigen neuen Handshake
- geeignet für Filetransfer
- starke Verschlüsselung
- offener Standard

Stimmt das was in wikipedia steht, wäre SSH File Transfer Protocol schon mal nicht geeignet:

Das Protokoll beinhaltet weder die Authentifizierung noch die Verschlüsselung, diese Funktionen müssen von dem darunterliegenden Protokoll übernommen werden.

Ist mir nicht ganz klar, wo ist dann der - sicherheitstechnische - Unterschied zu reinem FTP liegt, wenn ich dann eh nochmal eine Schicht darunter brauche?

Auch Secure File Transfer Protocol klingt nicht so toll:

Und zwar wird beim Secure FTP die Authentifizierung des Clients am Server, der Wechsel und die Auflistung von Verzeichnissen über SSH getunnelt und ist daher verschlüsselt. Der eigentliche Datentransfer erfolgt wie bei FTP über einen anderen, zufälligen Port, welcher nicht per SSH getunnelt wird, und daher unverschlüsselt abläuft.

Ideen / Meinungen / Erfahrungen erbeten...

 

[Hardcoder]

Ist deine Verbindung für Datentransfer aufgebaut? Oder wozu besteht die Point-to-Point Verbindung?

Ich würde beispielsweise vorschlagen, dass du dir einfach einen kleinen Proxy (FTP oder HTTP) schreibst, der einfach allen Datenverkehr verschlüsselt. Der Schlüssel muss dann natürlich vorher beiden Rechner bekannt sein. Als Algorithmus kannst du dann ja z.B. RSA nehmen.

 

[h2owasser]

Also die einfachste, sichere Methode ist mit ssh zu realisieren. Du tunnelst deinen ganzen (http-)Traffic dadurch.

 

[supersucker]

Ne Jungs,

ihr habt mich falsch verstanden.......

Mir geht es weniger um Lösungen an sich (einige Alternativen hab ich ja schon im Eröffnungspost aufgezählt) sondern halt eben darum welche der Lösungen am besten ist in Bezug auf:

- schnelle Verbindung im Sinne von möglichst wenig Protokoll-Overhead
- wenn möglich persistente Verbindung ohne ständigen neuen Handshake
- geeignet für Filetransfer
- starke Verschlüsselung
- offener Standard

Im Moment untersuche ich eben folgende 3 Möglichkeiten:

- SSH File Transfer Protocol
- Secure File Transfer Protocol
- FTPS

Nur finde ich halt wenig vergleichende Aussagen in Bezug auf obige Punkte....

Hat da jemand vergleichende Erfahrungen gemacht?

 

[whopper]

Aber wie wärs mit OpenVPN?

 

[blur]

Moin, moin,

Im Moment untersuche ich eben folgende 3 Möglichkeiten:

- SSH File Transfer Protocol
- Secure File Transfer Protocol
- FTPS

Nur finde ich halt wenig vergleichende Aussagen in Bezug auf obige Punkte....
Hat da jemand vergleichende Erfahrungen gemacht?

Na, vergleichende Erfahrungen sind schwierig, weil sie nicht immer auf dasselbe Szenario passen. Offene Standards sind alle drei mehr oder weniger.

Wenn Du alles verschlüsseln willst, also nicht nur die Authentifizierung verschlüsselt ablaufen soll, dann fällt "Secure File Transfer Protocol" (SFTP) raus, da hierbei meist nur die Verschlüsselung bei der Kontaktaufnahme stattfindet.

SSH File Transfer Protocol würde bei mir dann rausfallen, wenn die Dateien immer ziemlich groß sind, da es Implemtierungen gibt, welche die Paketgröße auf 512 Byte fest eingestellt haben und man damit eher ein Protokolloverhead hat.

Bei FTPS kommt es auch auf die Implementation an, es gibt welche, die verschlüsseln nicht nur den Verbindungsaufbau, sondern auch den kompletten Verkehr.

Alle drei habe ich schon eingesetzt, aber dabei ging es nie um eine ständige Verbindung, sondern eher um reinen Transfer.

Falls Du aber eine ständige Verbindung haben möchtest und nicht nur ab und zu den Datentransfer anstossen möchtest, empfehle ich ein VPN aufzubauen und dann ganz normal per FTP die Daten zu versenden. Dann kümmert sich nämlich nicht das Übertragungsprotokoll darum, daß die Verbindung bestehen bleibt, sondern dies wird durch den VPN-Tunnel gewährleistet.


Gruß
Blur

 

[Keruskerfürst]

Du könntest auch srsync verwenden.
Schnell, inkrementell, mit Komprimierung, Checksumme, Verschlüsselung.
Siehe: http://samba.anu.edu.au/rsync/

Verwende ich seit einiger Zeit zum Datentransfer auf und zwischen Rechnern.

 

[Jabo]

Dann kümmert sich nämlich nicht das Übertragungsprotokoll darum, daß die Verbindung bestehen bleibt, sondern dies wird durch den VPN-Tunnel gewährleistet.

Hallo,

an VPN hatte ich beim Lesen des Threads auch schon gedacht - erstmal wegen "siehe Zitat von blur" und zweitens weil man übers Internet zu beliebigen Adressen / Ports einfach ein zweites "Netz" mit lokalen IPs aufbaut und dann *darüber* kommuniziert - und eben auch die Datenpakete verschlüsseln kann, nicht nur die Authentifizierung. Und ab da ist es ja eigentlich wurscht, was für Pakete überhaupt gesendet werden, deshalb schlägt blur dann auch einfaches FTP vor - ist ja eh in einem verschlüsselten Tunnel.