Meinung gefragt:Alternativen zu https / https vs. sFTP, SFTP, FTPS

S

supersucker

Foren Gott
Hi zusammen,

mich würden hier eure Meinungen bzgl. folgender Situation interessieren:

Ich habe eine Point-to-Point-Verbindung zwischen 2 Rechnern über eine prinzipiell unsichere Leitung, sprich das Internet.

Die beiden Rechner kommunizieren nun über https, die Kommunikation selbst erfolgt über xml.

Die Kommunikation über https hat nun leider einige Nachteile:

- es ist nicht wirklich gut geeignet für die Übertragung größerer Datenmengen
- der Verbindungsaufbau dauert recht lange aufgrund des ständigen SSL-Handshakes

Deshalb meine Frage:

Was für Erfahrungen habt ihr mit Alternativen gemacht?

Folgendes ist mir jetzt mal so auf Anhieb eingefallen:

- SSH File Transfer Protocol
- Secure File Transfer Protocol

Nochmal die Anforderungen:

- schnelle Verbindung im Sinne von möglichst wenig Protokoll-Overhead
- wenn möglich persistente Verbindung ohne ständigen neuen Handshake
- geeignet für Filetransfer
- starke Verschlüsselung
- offener Standard

Stimmt das was in wikipedia steht, wäre SSH File Transfer Protocol schon mal nicht geeignet:

Das Protokoll beinhaltet weder die Authentifizierung noch die Verschlüsselung, diese Funktionen müssen von dem darunterliegenden Protokoll übernommen werden.
Zum Vergrößern anklicken....

Ist mir nicht ganz klar, wo ist dann der - sicherheitstechnische - Unterschied zu reinem FTP liegt, wenn ich dann eh nochmal eine Schicht darunter brauche?

Auch Secure File Transfer Protocol klingt nicht so toll:

Und zwar wird beim Secure FTP die Authentifizierung des Clients am Server, der Wechsel und die Auflistung von Verzeichnissen über SSH getunnelt und ist daher verschlüsselt. Der eigentliche Datentransfer erfolgt wie bei FTP über einen anderen, zufälligen Port, welcher nicht per SSH getunnelt wird, und daher unverschlüsselt abläuft.
Zum Vergrößern anklicken....

Ideen / Meinungen / Erfahrungen erbeten...:)
 
Zuletzt bearbeitet:
Ist deine Verbindung für Datentransfer aufgebaut? Oder wozu besteht die Point-to-Point Verbindung?

Ich würde beispielsweise vorschlagen, dass du dir einfach einen kleinen Proxy (FTP oder HTTP) schreibst, der einfach allen Datenverkehr verschlüsselt. Der Schlüssel muss dann natürlich vorher beiden Rechner bekannt sein. Als Algorithmus kannst du dann ja z.B. RSA nehmen.
 
Zuletzt bearbeitet:
Also die einfachste, sichere Methode ist mit ssh zu realisieren. Du tunnelst deinen ganzen (http-)Traffic dadurch.
 
Ne Jungs,

ihr habt mich falsch verstanden.......:)

Mir geht es weniger um Lösungen an sich (einige Alternativen hab ich ja schon im Eröffnungspost aufgezählt) sondern halt eben darum welche der Lösungen am besten ist in Bezug auf:

- schnelle Verbindung im Sinne von möglichst wenig Protokoll-Overhead
- wenn möglich persistente Verbindung ohne ständigen neuen Handshake
- geeignet für Filetransfer
- starke Verschlüsselung
- offener Standard
Zum Vergrößern anklicken....

Im Moment untersuche ich eben folgende 3 Möglichkeiten:

- SSH File Transfer Protocol
- Secure File Transfer Protocol
- FTPS

Nur finde ich halt wenig vergleichende Aussagen in Bezug auf obige Punkte....

Hat da jemand vergleichende Erfahrungen gemacht?
 
Moin, moin,
supersucker schrieb:
Im Moment untersuche ich eben folgende 3 Möglichkeiten:

- SSH File Transfer Protocol
- Secure File Transfer Protocol
- FTPS

Nur finde ich halt wenig vergleichende Aussagen in Bezug auf obige Punkte....
Hat da jemand vergleichende Erfahrungen gemacht?
Zum Vergrößern anklicken....

Na, vergleichende Erfahrungen sind schwierig, weil sie nicht immer auf dasselbe Szenario passen. Offene Standards sind alle drei mehr oder weniger.

Wenn Du alles verschlüsseln willst, also nicht nur die Authentifizierung verschlüsselt ablaufen soll, dann fällt "Secure File Transfer Protocol" (SFTP) raus, da hierbei meist nur die Verschlüsselung bei der Kontaktaufnahme stattfindet.

SSH File Transfer Protocol würde bei mir dann rausfallen, wenn die Dateien immer ziemlich groß sind, da es Implemtierungen gibt, welche die Paketgröße auf 512 Byte fest eingestellt haben und man damit eher ein Protokolloverhead hat.

Bei FTPS kommt es auch auf die Implementation an, es gibt welche, die verschlüsseln nicht nur den Verbindungsaufbau, sondern auch den kompletten Verkehr.

Alle drei habe ich schon eingesetzt, aber dabei ging es nie um eine ständige Verbindung, sondern eher um reinen Transfer.

Falls Du aber eine ständige Verbindung haben möchtest und nicht nur ab und zu den Datentransfer anstossen möchtest, empfehle ich ein VPN aufzubauen und dann ganz normal per FTP die Daten zu versenden. Dann kümmert sich nämlich nicht das Übertragungsprotokoll darum, daß die Verbindung bestehen bleibt, sondern dies wird durch den VPN-Tunnel gewährleistet.


Gruß
Blur
 
Du könntest auch srsync verwenden.
Schnell, inkrementell, mit Komprimierung, Checksumme, Verschlüsselung.
Siehe: http://samba.anu.edu.au/rsync/

Verwende ich seit einiger Zeit zum Datentransfer auf und zwischen Rechnern.
 
blur schrieb:
Dann kümmert sich nämlich nicht das Übertragungsprotokoll darum, daß die Verbindung bestehen bleibt, sondern dies wird durch den VPN-Tunnel gewährleistet.
Zum Vergrößern anklicken....
Hallo,

an VPN hatte ich beim Lesen des Threads auch schon gedacht - erstmal wegen "siehe Zitat von blur" und zweitens weil man übers Internet zu beliebigen Adressen / Ports einfach ein zweites "Netz" mit lokalen IPs aufbaut und dann *darüber* kommuniziert - und eben auch die Datenpakete verschlüsseln kann, nicht nur die Authentifizierung. Und ab da ist es ja eigentlich wurscht, was für Pakete überhaupt gesendet werden, deshalb schlägt blur dann auch einfaches FTP vor - ist ja eh in einem verschlüsselten Tunnel.
 
Anmelden, um zu antworten.

Ähnliche Themen

Squid als RPCoHTTPS Proxy für Outlook Anywhere
Squid als RPCoHTTPS Proxy für Outlook Anywhere: Hallo Community, ich habe bereits versucht in einem anderen Forum Hilfe zu finden leider ohne Erfolg, darum versuche ich nochmal hier mein Glück und...

Neueste Themen

Zurück
Oben