Dieses Dokument vergleicht die folgenden Zugriffsarten miteinander: FTP, AFP-Volume, SMB/CIFS-Volume, WebDAV, Xinet WebNative, HELIOS WebShare sowie SSH FTP. Zwar gibt es weitaus mehr Lösungen, jedoch sollen hier nur die genannten mit Schwerpunkt Zugriffssicherheit verglichen werden.
Autorisierung
Autorisierung bezeichnet den Anmeldevorgang am Server. Die Tabelle führt auf, auf welche Weise die Kennwortdaten im Netzwerk übertragen werden.
Bei der Übertragung der Kennwortdaten in Klartext oder base64 zeigt ein einfacher „tcpdump“-Befehl im selben Netzwerk das ASCII-Kennwort an. Im Falle einer Apache Basic „htpasswd“-Autorisierung fügt der Browser das Klartext-Kennwort in jeder HTTP-Anfrage der Sitzung ein, was es jedermann erlaubt, Kennwörter im selben Netzwerk jederzeit ausspionieren zu können. Mehr dazu:
http://www.lists.aldigital.co.uk/apache-ssl/msg00146.html
http://httpd.apache.org/docs/howto/auth.html#basic
Standardmäßig werden Kennwörter bei SSH FTP, AFP- oder SMB/CIFS-Volumes und HELIOS WebShare verschlüsselt übertragen.
HELIOS WebShare verwendet JavaScript zum Verschlüsseln von Kennwörtern. Die Verschlüsselung von Kennwörtern ist der einzige Einsatz von JavaScript in WebShare. Ist JavaScript nicht verfügbar oder deaktiviert, wird das Anmeldekennwort unverschlüsselt übertragen.
| Dienst | Kennwortübertragung | Hinweis | |
 |
FTP | Klartext | |
 |
AFP-Volume | Verschlüsselt | Mit Zufallsziffer für den Server |
|
|
|
Verschlüsselt | Mit Zufallsziffer für den Server |
|
|
WebDAV | Verschlüsselt | |
|
|
Xinet WebNative | Klartext | Klartextübertragung (base64) in jedem Paket zum Server bis der Browser beendet wird |
|
|
HELIOS WebShare | Verschlüsselt | Mit Zufallsziffer für den Server |
|
|
SSH FTP | Verschlüsselt | Öffentliche / private Schlüssel |
Wie die sichere WebShare Autorisierung funktioniert
Während der Anmeldung an WebShare schickt der Server eine Zufallsziffer über die Anmeldeseite an den Client. Das im Browser laufende JavaScript erzeugt einen MD-5-Hashcode, der auf dem Klartext-Kennwort und der Zufallsziffer basiert. Auf dem Server wird das gleiche Verfahren angewandt – stimmt der empfangene MD-5-Hashcode mit dem auf dem Server erzeugten überein, kann sich der Benutzer am Server anmelden.
Die Zufallsziffer stellt sicher, dass der übertragene MD-5-Hash bei jeder Anmeldung anders aussieht und kein zweites Mal verwendet werden kann. Dadurch ist es unmöglich, ein gültiges Kennwort aus dem Internet, Intranet oder vom WebShare Webserver abzugreifen.
Die Autorisierung für WebShare übertrifft sogar HTTPS-verschlüsselte HTML-Formulare, da jeder einen HTTPS-Server mit einem gültigen Zertifikat aufsetzen kann, um dann die Formulare im Klartext abzugreifen, nachdem die HTTPS-Entschlüsselung stattgefunden hat.
Sicherer Dateizugriff
Die Tabelle zeigt verschiedene Arten der Sicherheit beim Zugriff auf Serverdaten.
Die von den WebNative CGI-Programmen und von Apple AFP-Server verwendeten Autorisierungsformen sind unsicher, da sie die Dateisicherheit des Betriebssystems sowie die Prozesssicherheit umgehen. Die Überwachung verschiedener Benutzerprozesse ist nicht möglich, da sämtliche Aktivitäten als Benutzer „root“ (Administrator) ausgeführt werden.
HELIOS WebShare verwendet sowohl die Datei- als auch die Prozesssicherheit des Hosts. Die Optionen „Lesezugriff immer erzwingen“ oder „Schreib- / Lesezugriff immer erzwingen“ umgehen die Sicherheitsmechanismen des Hosts und können nicht empfohlen werden.
Hinweis: Diese Optionen stehen nur nach Setzen einer bestimmten Präferenz zur Verfügung!
| Dienst | Sicherheit | Hinweis | |
|
|
FTP | Sicherheit des Dateisystems wird vom Host erzwungen | UserID bzw. Zugriffsrechte des angemeldeten Benutzers werden verwendet |
|
|
AFP über Apple File Server | Wenig Sicherheit durch Dateiserver | Apple AFP-Server läuft immer als „root“! |
|
|
AFP über HELIOS EtherShare | Sicherheit des Dateisystems wird vom Host erzwungen | UserID bzw. Zugriffsrechte des angemeldeten Benutzers werden verwendet |
|
|
SMB-/CIFS- Volume | Sicherheit des Dateisystems wird vom Host erzwungen | UserID bzw. Zugriffsrechte des angemeldeten Benutzers werden verwendet |
|
|
WebDAV | Sicherheit wird durch HTTP-Server bestimmt | |
|
|
Xinet WebNative | Wenig Sicherheit durch WebNative CGI-Programm | Alle WebNative Anwendungen laufen immer als „root“ (Administrator) |
|
|
HELIOS WebShare | Sicherheit des Dateisystems wird vom Host erzwungen | WebShare File Server verwendet UserID bzw. Zugriffsrechte des angemeldeten Benutzers |
Sicherer Dateiserver
Der direkte Zugriff auf den Dateiserver vom Internet aus sollte tunlichst vermieden werden. Folgende Dienste machen eine direkte Verbindung mit den Dateiservern (Hosts), beispielsweise über die HTTP-, FTP- oder AFP-TCP/IP-Kommunikationsports, erforderlich:
- FTP
- AFP-Volume, SMB/CIFS-Volume
- WebDAV
- Xinet WebNative
- SSH FTP
Alle webbasierten CGI-Lösungen, z. B. Xinet WebNative, welches für jede Anfrage CGI-Anwendungen aufruft, erzeugen eine enorme Datenlast auf dem Hauptserver. Dieses einfache Beispielskript simuliert externe HTTP-Anfragen, ähnlich einem Benutzer, der wiederholt auf „Neu laden“ klickt, und blockiert damit jede auf CGI basierende Serverlösung:
Bash Shell-Skript mit dem Befehl „wget“ oder „curl“
while true do curl --stderr - "http://www.samplehost.com/..." > /dev/null done # end of script
Warum eine Firewall keine ausreichende Sicherheit bietet
Bei der Konfiguration einer Firewall sollten zuerst die Ports, die für bestimmte Dienste erforderlich sind, geöffnet werden. Das bedeutet, dass die oben aufgeführten Dienste, die einen direkten Zugriff vom Internet auf den Dateiserver benötigen, für die relevanten HTTP-, FTP-, AFP- oder SMB TCP/IP-Kommunikationsports geöffnet werden müssen! Dadurch ist ein direkter Zugang aus dem Internet möglich, was den Dateiserver ungeschützt gegen jegliche Form von Attacken lässt – sei es über abgefangene Kennwörter, ausgenutzte Schwächen im Protokoll, Viren auf entfernten VPN-Clients usw. WebShares zweistufiges Serversystem isoliert den Dateiserver vom Internet und unterbricht die Kommunikationskette, selbst wenn die Attacken durch die Firewall gelangen sollten, so dass Angriffe nicht auf den Dateiserver gelangen.
So wird der Dateiserver vom Internet isoliert
Nur der HELIOS WebShare File Server hat keine direkte Verbindung zum Internet. Auf dem separaten WebShare Webserver läuft das WebShare Java. Die gesamte Kommunikation mit dem Internet wird ausschließlich über das WebShare Java abgewickelt. WebShare erlaubt weder einen direkten Zugriff auf den Fileserver noch das Tunneln von Paketen.
Das heißt, dass im Falle einer DoS-Attacke (Denial of Service) alle Dateiserver ihren Dienst einstellen – bis auf HELIOS WebShare, das ja den gesamten Datentransfer mit dem Internet über einen dedizierten WebShare Webserver abwickelt und den Dateiserver nicht dem Internet aussetzt.
Warum auch die Verwendung eines Proxyservers keinen Schutz für Ihr internes Netzwerk bietet
Ein Proxyserver hat zwei wesentliche Aufgaben:
- Speichern von Dokumenten und Bildern im Cache, so dass diese beim nächsten Aufruf sofort zur Verfügung stehen
- Direkte Internetverbindung von jenseits der Firewall
Beachten Sie bitte, dass ein Proxyserver lediglich die Daten aus dem Internet durch Ihre Firewall durchschleift; Während er andere Verbindungen abblockt, bleiben die durchgeschleiften Daten unverändert, weshalb Ihre Client-Workstations, beispielsweise gegen Angriffe auf den Webbrowser, ungeschützt sind.
Die in WebShare verwendete zweistufige Serverstruktur leitet keine Daten aus dem Internet weiter. Stattdessen wickelt der WebShare Webserver den gesamten Datenverkehr aus dem Internet ab und nutzt ein vollkommen anderes Protokoll (ein HELIOS eigenes Protokoll) zur Kommunikation mit dem WebShare File Server.
WebShare Datentransfer gegenüber VPNs
Sollen Daten von verschiedenen Orten aus gemeinsam genutzt oder verwaltet werden, kommt häufig ein VPN (Virtual Private Network) zum Einsatz. Allerdings gibt es mit VPNs viele Probleme. Die gemeinsame Nutzung von Dateien über VPNs ist aufgrund von Bandbreitenbegrenzungen beim WAN und Verzögerungen bei den Paketen sowie wegen der großen Netzwerklast, die von Windows- und Mac-Benutzern verursacht werden, langsam. Ein einfacher Klick (z. B. auf den Dialog „Datei öffnen“) kann schnell mehrere Tausend Netzwerkdatenpakete erzeugen. Wird das Netzwerk erweitert, steigt auch die Anfälligkeit des gesamten VPNs mit dem „schwächsten Glied“ – ist nur ein entfernter Benutzer betroffen, gelangen ein Virus und andere Eindringlinge ins Netzwerk .
HELIOS WebShare baut dagegen auf eine zweistufige Serverstruktur. So können Dateien ohne direkten Zugriff verwaltet und übertragen werden. Dies funktioniert nicht nach dem Prinzip eines Proxyservers, der die Pakete nur weiterleitet, sondern WebShare erlaubt angemeldeten Benutzern stattdessen, über einen beliebigen Webbrowser Dateien auf einem Host schneller und sicherer zu übertragen und zu verwalten.
Sicherer Datenaustausch
Die Datenübertragung mit FTP, AFP, SMB/CIFS, WebDAV, Xinet WebNative und HELIOS WebShare läuft unverschlüsselt. Das bedeutet, dass der Inhalt der übertragenen Daten sehr einfach mit dem Befehl „tcpdump“ ausspioniert werden kann. Aus dem heruntergeladenen Archiv ein gültiges Archiv (z. B. ein Zip- oder StuffIt-Archiv) zu bauen ist sehr komplex und kann mit konventionellen Tools nicht bewerkstelligt werden. Es ist jedoch möglich, wenn man über spezielle Tools und tiefgreifende Kenntnisse in Netzwerkprotokollen und Dateiformaten verfügt. Lediglich über SSH FTP oder HTTPS werden alle übertragenen Daten verschlüsselt. Die Verschlüsselung des HTTPS/SSL-Datenstreams kann für Xinet WebNative und HELIOS WebShare angewandt werden, da Apache SSL dies ermöglicht. Standardmäßig werden all diese Produkte ohne HTTPS-Unterstützung installiert. Der Nachteil von HTTPS ist der, dass der Webserver und Downloads aufgrund der intensiven Verschlüsselung eines jeden Pakets merklich verlangsamt werden. Da der WebShare Webserver jedoch vom WebShare File Server getrennt ist, führt die Verwendung von HTTPS hier zu keiner Verlangsamung von Programmen und lokalen Benutzern auf dem Server. Bei Xinet WebNative werden dagegen alle Serverbenutzer und -Programme bei der Verwendung von HTTPS „gebremst“.
Sicheres Dateisystem
FTP, AFP, SMB/CIFS, WebDAV, Xinet WebNative, HELIOS WebShare sowie SSH FTP erlauben das Durchsuchen von Dateien und Verzeichnissen.
Nachteil von entfernten AFP- und SMB/CIFS-Volumes:
- Die Benutzer haben im gesamten Volume Zugriff auf sämtliche Dateien und Ordner; eine Begrenzung auf bestimmte Ordner ist nicht möglich
Nachteile von FTP und SSH FTP:
- Die Benutzer haben auf dem gesamten Server Zugriff auf sämtliche Dateien und Ordner; eine Begrenzung auf bestimmte Ordner ist nicht möglich
- Einige FTP-Server erlauben das Anlegen eines „chroot“-Verzeichnisses für FTP-Benutzer. („chroot“ lässt sich nur für einen Ordner anlegen)
Lediglich Xinet WebNative und HELIOS WebShare erlauben es, Ordner anzulegen, die nur für bestimmte Benutzer oder Gruppen zugänglich sind.
Fazit
Aufgrund seiner zweistufigen Serverstruktur ist HELIOS WebShare der einzige webbasierte Dateiserver, der sich durch eine extrem sichere Datenübertragung auszeichnet und dennoch einfach zu installieren, verwalten und benutzen ist . Darüber hinaus ist WebShare heuzutage eine der schnellsten Anwendungen für den Dateizugriff über das Internet.
Glossar
AFP
AFP ist die Abkürzung für Apple File Protocol und bezeichnet in diesem Zusammenhang das Mounten bzw. die Benutzung von AFP-Volumes über die „Auswahl“ (Mac OS 9) bzw. den Dialog „Mit Server verbinden“ (Mac OS X).
SMB/CIFS
SMB/CIFS ist das Standardprotokoll für Windows Servervolumes, auf die Windows-Clients über das Netzwerk zugreifen.
Änderungen vorbehalten. Letzte Aktualisierung: 28. Januar 2004
Alle Warenzeichen in diesem Dokument gehören ihren jeweiligen Eigentümern.
- Home
- Produkte
Fileserver-Produkte
- Leistungsstark und ausfallsicher
- Ideal für gemischte Netzwerke (Mac-, Windows-, Web-Clients)
Cloud-Produkte- Immer und überall sicher auf alle Dateien zugreifen
- Keine „Cloud“-Nachteile
- für Unternehmen und IT-Dienstleister
- Für Mac, PC, iPad, iPhone, Web
Automatisierung- Serverbasierte Workflow-Automatisierung über „Hot Folder“
- Automatisierung auf entfernten Rechnern (z. B. Photoshop-Aktionen und Acrobat PDF-Erstellung)
- Skripte per Dateityp ansteuern
- Kein Polling
Marketing und Mediendienstleister- Serverbasierte Bildverarbeitung mit ICC-Farbmanagement
- Bildkonvertierungen für Internet und Druck
- Automatisierung über „Hot Folder“
- Zertifizierte Softproofs mit Anmerkungen
- Branchen
- Lösungen
- SupportSupport
Professioneller Support sowie erstklassige technische Informationen sind uns sehr wichtig. Dabei ist der HELIOS Fachhändler Ihr direkter Ansprechpartner. Unser Ziel ist es, alle Fragen zu beantworten und alle Probleme zu lösen.
Updates & Tech InfosHalten Sie Ihre HELIOS Installation immer auf einem aktuellen Stand – mit wichtigen Updates und Tech Infos zu verschiedenen Themen.
Spezifikationen für Entwicklung und mehrHELIOS Lösungen werden häufig in benutzdefinierte Prozesse integriert. Hier finden Sie weiterführende technische Informationen.
MedienDie gesamte HELIOS Produktdokumentation ist online verfügbar. Eine breite Übersicht sowie viele verschiedene Trainingsvideos machen Ihnen der Einstieg leicht.
- News
Im Bereich HELIOS News finden Sie …
Letzter Pressetext: > HELIOS Universal File Server G8 veröffentlicht … • Letzter Newsletter: > HELIOS Newsletter 02/2021 …
- Unternehmen
- Deutsch
Enterprise Fileserver
Entwickler / SDK
Handel / Industrie
Zeitungen / Verlage
Fotografen / Studios
Werbeagenturen / Mediendienst- leister / Druckereien
Video & Entertainment
Cloud-Zusammenarbeit
HD Color
Bildverarbeitung
Proofs
WebShare Portal
Automatisierung von Workflows
Fileserver
Pressetexte 
Videos 
Newsletter 
Veranstaltungen