Leider benötige ich für eine Netzwerkumstellung einen leistungsfähigen
FTP Proxy. Dieser sollte, falls irgend möglich, auf einem Solaris 9
SPARC System laufen auf dem sich bereits weitere Proxyserver befinden.

In dem umzustellenden Netzwerk wird von öffentlichen zu privaten IP
Adressen umgestellt. Die meisten Verbindungen laufen problemlos über
NAT. Leider jedoch FTP nicht. Zunächst habe ich in der Checkpoint NG AI
Firewall den transparenten FTP-Proxy im Security Server eingeschaltet.
Für händische FTP Verbindungen funktioniert der Proxy wunderbar.

Es laufen allerhand Skripte mit FTP aufrufen für den externen
Dateittransfer. Beim automatischen eingeben von Userkennungen und
Passwörtern funktionieren diese Verbindungen nicht. Desweiteren gibt es
Broswerzugriffe vom Typ "ftp://<user>:<passwort>*server" die ebenfalls
nicht funktionieren.

Die Letzteren habe ich auf einen Symantec SWS Proxy umgeleitet, wo sie
mit Firefox aber nicht mit dem internet Explorer funktionieren.

MFG Stefan

Stefan Sprungk <stefan_sprungk*yahoo.de> wrote:
> Leider benötige ich für eine Netzwerkumstellung einen leistungsfähigen
> FTP Proxy. Dieser sollte, falls irgend möglich, auf einem Solaris 9
> SPARC System laufen auf dem sich bereits weitere Proxyserver befinden.

Meinst du einen FTP Bouncer, einen Socks Proxy oder einen transparenten
Proxy? DeleGate oder socks5 sollte für die ersten beiden taugen, ob es unter
Solaris freie transparente Lösungen gibt weiss ich nicht.

Gruss
Bernd

Bernd Eckenfels schrieb:
> Stefan Sprungk <stefan_sprungk*yahoo.de> wrote:
>> Leider benötige ich für eine Netzwerkumstellung einen leistungsfähigen
>> FTP Proxy. Dieser sollte, falls irgend möglich, auf einem Solaris 9
>> SPARC System laufen auf dem sich bereits weitere Proxyserver befinden.
>
> Meinst du einen FTP Bouncer, einen Socks Proxy oder einen transparenten
> Proxy? DeleGate oder socks5 sollte für die ersten beiden taugen, ob es unter
> Solaris freie transparente Lösungen gibt weiss ich nicht.
>
> Gruss
> Bernd

Ich will es mal Laienartig formulieren. Einen transparenten FTP-Proxy
benötige ich nicht unbedingt. Die Browserverbindungen kann ich über ein
Skript auf den Proxy umleiten und die betreffenden Shell und Perlskripte
lassen sich anpassen.

Wichtig ist, das der Proxy aktive und passive Verbindungen fehlerfrei
bearbeitet und mit den implizit übertragenen Authentifizierungen mittels
Userkennung und Passwort in der Kommandozeile klar kommt.

MFG Stefan

* Stefan Sprungk <stefan_sprungk*yahoo.de> schrieb:

> Wichtig ist, das der Proxy aktive und passive Verbindungen fehlerfrei
> bearbeitet und mit den implizit übertragenen Authentifizierungen mittels
> Userkennung und Passwort in der Kommandozeile klar kommt.

Schau Dir doch mal die üblichen Verdächtigen an:
<http://frox.sourceforge.net/>
<ftp://ftp.suse.com/pub/projects/proxy-suite/>
<http://www.mcknight.de/jftpgw/>
<http://www.ftpproxy.org>

Gruß, Heiko

Heiko Schlenker schrieb:
> * Stefan Sprungk <stefan_sprungk*yahoo.de> schrieb:
>
>> Wichtig ist, das der Proxy aktive und passive Verbindungen fehlerfrei
>> bearbeitet und mit den implizit übertragenen Authentifizierungen mittels
>> Userkennung und Passwort in der Kommandozeile klar kommt.
>
> Schau Dir doch mal die üblichen Verdächtigen an:
> <http://frox.sourceforge.net/>
> <ftp://ftp.suse.com/pub/projects/proxy-suite/>
> <http://www.mcknight.de/jftpgw/>
> <http://www.ftpproxy.org>
>
> Gruß, Heiko

Vielen Dank für die Infos. Leider habe ich keine Zeit mehr für weitere
Experimente. Ich werde jetzt eine fertige Proxy-Appliance testen und
diese nach erfolgreichen Test kaufen. Diese wird direkt mit der Firewall
verbunden.

MFG Stefan

Stefan Sprungk <stefan_sprungk*yahoo.de> writes:
> Heiko Schlenker schrieb:
>> * Stefan Sprungk <stefan_sprungk*yahoo.de> schrieb:
>>> Wichtig ist, das der Proxy aktive und passive Verbindungen fehlerfrei
>>> bearbeitet und mit den implizit übertragenen Authentifizierungen mittels
>>> Userkennung und Passwort in der Kommandozeile klar kommt.
>>
>> Schau Dir doch mal die üblichen Verdächtigen an:
>> <http://frox.sourceforge.net/>
>> <ftp://ftp.suse.com/pub/projects/proxy-suite/>
>> <http://www.mcknight.de/jftpgw/>
>> <http://www.ftpproxy.org>

[...]

> Vielen Dank für die Infos. Leider habe ich keine Zeit mehr für weitere
> Experimente. Ich werde jetzt eine fertige Proxy-Appliance testen und
> diese nach erfolgreichen Test kaufen.

Der Vollstaendigkeit halber: Dir ist klar, dass Du damit
hoechstwahrscheinlich lediglich eine technisch etwas veraltete
Ansammlung von Software, die Du Dir auch haettest herunterladen
koennen bekommen wirst *insofern Du Glueck hast*? Solltest Du Pech haben,
wird irgendein vendor-Clown das reimplementiert haben und als erstes
mal alle dummen Programmierfehler noch einmal gemacht, Benutzung von
select fuer tausende von Verbindungen, hartkodierte Deskriptorlimits
und versehentlich Vererbung (kein FD_CLOEXEC) von passiv geoeffneten
Sockets an Shell-Skripte inklusive[*].
[*] Das bezieht sich auf real existierende 'professionelle
High-End-Hardware'. Den Namen der Firma moechte ich jetzt
nicht nennen :->

Rainer Weikusat <rweikusat*mssgmbh.com>:
> Stefan Sprungk <stefan_sprungk*yahoo.de> writes:
>>>
>>> Schau Dir doch mal die üblichen Verdächtigen an:
>>> <http://frox.sourceforge.net/>
>>> <ftp://ftp.suse.com/pub/projects/proxy-suite/>
>>> <http://www.mcknight.de/jftpgw/>
>>> <http://www.ftpproxy.org>
>
> [...]
>
>> Vielen Dank für die Infos. Leider habe ich keine Zeit mehr für weitere
>> Experimente. Ich werde jetzt eine fertige Proxy-Appliance testen und
>> diese nach erfolgreichen Test kaufen.
>
> Der Vollstaendigkeit halber: Dir ist klar, dass Du damit
> hoechstwahrscheinlich lediglich eine technisch etwas veraltete
> Ansammlung von Software, die Du Dir auch haettest herunterladen
> koennen bekommen wirst *insofern Du Glueck hast*? Solltest Du Pech haben,
> wird irgendein vendor-Clown das reimplementiert haben und als erstes
> mal alle dummen Programmierfehler noch einmal gemacht, Benutzung von
> select fuer tausende von Verbindungen, hartkodierte Deskriptorlimits
> und versehentlich Vererbung (kein FD_CLOEXEC) von passiv geoeffneten
> Sockets an Shell-Skripte inklusive[*].

Aber das ist dann keine Appliance, und man muss doch moeglichst viel
Geld ausgeben, um auch was an Mehrwert zu bekommen!!!1elf (Steht doch
schon im Lehrbuch "Capitalism for Dummies"!)

Und ausserdem hat so eine Appliance ein tolles buntes Web-GUI zum
herumklicken (sofern man IE version 6 ohne neueste Patches und mit
weit offenstehendem Hosenstall^WActive-X verwendet, und dann nur unter
32-Bit Clients), sogar aus dem Internet heraus!!1elf

> [*] Das bezieht sich auf real existierende 'professionelle
> High-End-Hardware'. Den Namen der Firma moechte ich jetzt
> nicht nennen :->

Lass mal, wir sind alle gut im raten.

Juergen P. Meier schrieb:
> Rainer Weikusat <rweikusat*mssgmbh.com>
>> Stefan Sprungk <stefan_sprungk*yahoo.de> writes:
>>>> Schau Dir doch mal die üblichen Verdächtigen an:
>>>> <http://frox.sourceforge.net/>
>>>> <ftp://ftp.suse.com/pub/projects/proxy-suite/>
>>>> <http://www.mcknight.de/jftpgw/>
>>>> <http://www.ftpproxy.org>
>> [...]
>>
>>> Vielen Dank für die Infos. Leider habe ich keine Zeit mehr für weitere
>>> Experimente. Ich werde jetzt eine fertige Proxy-Appliance testen und
>>> diese nach erfolgreichen Test kaufen.
>> Der Vollstaendigkeit halber: Dir ist klar, dass Du damit
>> hoechstwahrscheinlich lediglich eine technisch etwas veraltete
>> Ansammlung von Software, die Du Dir auch haettest herunterladen
>> koennen bekommen wirst *insofern Du Glueck hast*? Solltest Du Pech haben,
>> wird irgendein vendor-Clown das reimplementiert haben und als erstes
>> mal alle dummen Programmierfehler noch einmal gemacht, Benutzung von
>> select fuer tausende von Verbindungen, hartkodierte Deskriptorlimits
>> und versehentlich Vererbung (kein FD_CLOEXEC) von passiv geoeffneten
>> Sockets an Shell-Skripte inklusive[*].
>
> Aber das ist dann keine Appliance, und man muss doch moeglichst viel
> Geld ausgeben, um auch was an Mehrwert zu bekommen!!!1elf (Steht doch
> schon im Lehrbuch "Capitalism for Dummies"!)

So Du Spaßvogel. Erzähle mir mal was Du tun würdest. Bislang habe ich
die folgenden Ansätze probiert.

1. In der Firewall Checkpoint NG-AI den transparenten FTP Proxy im
Security Server aktiviert. Folgende Ergebnisse.

+ Manuelle FTP Client Bedienung funktioniert bei Solaris, Linux und
Windows XP.

- Automatischer FTP Filetransfer von Programmen und Skripten auf Solaris
funktionieren durch die Bank weg nicht und das bei aktuellen Patchstanden.

- FTP Verbindungen vom Firefox oder Internet Explorer Browser
funktionieren nicht.

2. Am Checkpoint Proxy habe ich Einstellungen verändert, die verhindern
das Checkpoint Zeichen an den FTP Kommandozeilen automatisch anfügt.

- Kein Erfolg.

3. Die Browserverbindungen, die FTP verwenden, wurden auf eine squid
Proxyinstanz umgelenkt.

+/- Browser Teilerfolg. Jetzt Funktionieren die FTP Verbindungen, wenn
man Userkennung und Passwort im Befehlsstring mitliefert. Fehlt das
Passwort, wird es nicht nachgefragt und der Verbindungswunsch abgelehnt..

- Solaris Skripte keine Änderung.

4. Testweise auf einem virtualisierten Debian System FROX installiert
und konfiguriert um die Skripte zum Laufen zu bringen.

- Kein Erfolg.

5. Das gleiche mit Socks5 probiert.

- Ebenso kein Erfolg.

..... Noch irgendwelche Ideen?

Da der Termin der Adressumstellung auf den Servern näher rückt, wird die
Zeit knapp. Wir sind im Augenblick, da wir anderen Institutionen täglich
Daten via FTP liefern müssen weil wir dazu vertraglich verpflichtet
sind, auf funktionierende Verbindungen angewiesen. Als letzter Weg eben
der Test von Proxy Appliances. Sollten diese Tests ebenfalls scheitern
werden wir die fraglichen Server in ein kleines VPN bringen, welches
noch öffentliche Adressen verwendet.

Da ihr ja nun alle offensichtlich Produktkenner und absolut
unvoreingenommene Profis seit, würde mich Eure Meinung zu den Produkten
von der Firma BlueCoat interessieren.

MFG Stefan

> Da ihr ja nun alle offensichtlich Produktkenner und absolut
> unvoreingenommene Profis seit, würde mich Eure Meinung zu den Produkten
> von der Firma BlueCoat interessieren.

Leider gehoere ich ueberhaupt nicht zu den Kennern von ftp Proxies und
kann deshalb beim Ausgangsproblem nicht wirklich helfen.

Trotzdem ein paar Anmerkungen:

> +/- Browser Teilerfolg. Jetzt Funktionieren die FTP Verbindungen, wenn
> man Userkennung und Passwort im Befehlsstring mitliefert. Fehlt das
> Passwort, wird es nicht nachgefragt und der Verbindungswunsch abgelehnt.

Auf Multiuser-Umgebungen will man Userkennung und Passwort im Befehlsstring
gar nicht haben, weil dann ein anderer User diese Passwoerter ueber den
"ps"-Befehl mitlesen kann.

> ... Wir sind im Augenblick, da wir anderen Institutionen täglich
> Daten via FTP liefern müssen weil wir dazu vertraglich verpflichtet
> sind, auf funktionierende Verbindungen angewiesen.

Bei "normalem ftp" gehen die Passwoerter normalerweise unverschluesselt
ueber die Leitung. Bei einer Dauerloesung hat der, der die ftp-Verbindung
aufbaut, das Problem, dass ein Angreifer irgendwann mal im seinem lokalen
Netz so was wie tcpdump/wireshark benutzen kann und dann die Passworte
mitliest.
Wenn man die Vertragspartner einzeln kennt (und es nicht endlos viele sind),
macht es vielleicht Sinn, wenigstens die Daten, die uebertragen werden
(zum Beispiel mit sowas wie pgp) auf der Platte zu verschluesseln, damit
es ein potentieller Angreifer (der es auf die Daten und nicht so was wie
eine Denial of Service Attacke abgesehen hat) nicht allzu einfach hat.
Fuer die Vertragspartner duerfte es dagegen kaum ein Mehraufwand sein,
die Daten zu entschluesseln. Die sichere Uebertragung der Schluessel
zum Vertragspartner ist dagegen mehr Aufwand...

so long
MUFTI
--
Word 2002 löscht mich möglicherweise Tastatureingabe unter Windows 98
und Windows, führt Eingabeclients aus
Knowledge Base ID:331325 Revision:4.0

Stefan Sprungk <stefan_sprungk*yahoo.de> writes:

[...]

> Da ihr ja nun alle offensichtlich Produktkenner und absolut
> unvoreingenommene Profis seit, würde mich Eure Meinung zu den Produkten
> von der Firma BlueCoat interessieren.

Von 'allen' kann ich nicht sprechen, aber Kollegen von mir machen
'zufaellig' professionellen Support fuer solche Produkte und das war
eine kleine Auswahl von nicht mehr per GUI loesbaren Problemen damit,
die deswegen bis zu mir durchgefallen sind (ich mache eigentlich etwas
anderes). BlueCoat gehoert auch zum Zoo und die sind bis jetzt nicht
so negativ aufgefallen.