SFTP-Serververbinung

Moderator: Blomeyer

Antworten
hupe
Beiträge: 4
Registriert: Mittwoch 16. Januar 2019, 11:30
Wohnort: Hamm
Schulform: Gymnasium

SFTP-Serververbinung

Beitrag von hupe »

Guten Tag,

wir haben Probleme mit dem XNM-Admin Tool eine SFTP-Serververbindung aufzubauen. Wir haben mit verschiedenen FTP-Client-Programmen geprüft, dass der Server SFTP Verbindungen akzeptiert. Nur mit dem XNM-Admin Tool schlägt die Verbindung fehl (error code 0). Nach Analyse mit Wireshark scheint der Schlüsselaustausch fehlzuschlagen.
FTPS ist für uns leider keine Alternative, da es von unserem FTP-Server nicht unterstützt wird.

Haben wir eventuell etwas vergessen? Oder ist das ein Fehler im XNM-Admin Tool?

Freundliche Grüße
Lars Hupe
M. Plümper
Fachberater
Beiträge: 577
Registriert: Montag 1. Oktober 2018, 20:30
Schulform: Gymnasium
Kontaktdaten:

Re: SFTP-Serververbinung

Beitrag von M. Plümper »

Funktioniert denn die normale FTP Verbindung? SFTP sollte, Herr Blomeyer möge mich bitte korrigieren, nicht unbedingt notwendig sein, weil die Dateien nur verschlüsselt übertragen werden.
hupe
Beiträge: 4
Registriert: Mittwoch 16. Januar 2019, 11:30
Wohnort: Hamm
Schulform: Gymnasium

Re: SFTP-Serververbinung

Beitrag von hupe »

Ja, unverschlüsseltes FTP funktioniert.
Ich sehe auch kein Problem, eine unverschlüsselte Verbindung zu nutzen. Durch das asymmetrische Verschlüsselungsverfahren wird ja sicher gestellt, dass niemand ohne die privaten Schlüssel im XNM Tool mit den übertragenen Daten etwas anfangen kann.
Das ganze Verfahren ist für uns sehr interessant, wir wollen alle Noten der gesamten Schule auf diesem Weg erfassen. Deshalb möchte ich alles richtig und sicher machen.
Das größte Problem stellt die Anbindung unseres Verwaltungsnetzes dar, der Port 21 für FTP ist nicht freigegeben. Eine SFTP-Verbindung auf Port 22 wäre daher sehr wünschenswert.
hupe
Beiträge: 4
Registriert: Mittwoch 16. Januar 2019, 11:30
Wohnort: Hamm
Schulform: Gymnasium

Re: SFTP-Serververbinung

Beitrag von hupe »

Die Nutzung einer unverschlüsselten FTP-Verbindung scheint mir doch sehr unsicher zu sein, aber auch mit dem XNM-Update from 19.2. kann ich keine SFTP-Verbindung aufbauen.

Ist das ein spezielles Problem bei uns? Wo könnte der Fehler liegen?
M. Plümper
Fachberater
Beiträge: 577
Registriert: Montag 1. Oktober 2018, 20:30
Schulform: Gymnasium
Kontaktdaten:

Re: SFTP-Serververbinung

Beitrag von M. Plümper »

Das wesentliche ist ja die Verschlüsselung der Daten. Da die Dateien bereits verschlüsselt sind, ist dieser Aspekt unabhängig von der Übertragungsart gewährleistet.
hupe
Beiträge: 4
Registriert: Mittwoch 16. Januar 2019, 11:30
Wohnort: Hamm
Schulform: Gymnasium

Re: SFTP-Serververbinung

Beitrag von hupe »

In einem man-in-the-middle Angriff könnte man über die unverschlüsselte Verbindung den öffentlichen Schlüssel durch einen eigenen Schlüssel ersetzen. Damit bekäme der Angreifer die Möglichkeit die von den Lehrern hochgeladenen Noten zu entschlüsseln. Ich gebe zu, das scheint aufwändig und unwahrscheinlich, aber wirklich sicher erscheint mir das Verfahren mit unverschlüsseltem FTP nicht zu sein.

Es bleibt auch immer noch das Problem, dass ich aus dem Verwaltungnetz der Schule keine unverschlüsselte FTP-Verbindung nutzen kann, da der Port von der Stadt nicht freigegeben ist. Damit das XNM-Tool für uns ohne SFTP-Verbindung nicht nutzbar.
M. Plümper
Fachberater
Beiträge: 577
Registriert: Montag 1. Oktober 2018, 20:30
Schulform: Gymnasium
Kontaktdaten:

Re: SFTP-Serververbinung

Beitrag von M. Plümper »

Herr Blomeyer möge mich korrigieren, aber das Verfahren sieht ja vor, dass die Schule auf sicherem Weg vorher Schlüssel mit dem Lehrer austauscht. Die Schule erhält den öffentlichen Schlüssel der Lehrkraft und die Lehrkraft den öffentlichen Schlüssel der Schule. Vor dem Hochladen der Dateien auf den Server werden die Dateien lokal mit dem privaten Schlüssel der Schule und dem öffentlichen Schlüssel der Lehrkraft verschlüsselt.

Wie sollen dabei nun Schlüssel geändert oder getauscht werden? Wie soll dabei die Verschlüsselung umgangen werden? Der Angreifer bekommt einen zweifach verschlüsselten Datenstrom, ohne irgend einen Schlüssel. Da kann er nichts mit anfangen außer er speichert die Daten und versucht RSA zu knacken.
Zuletzt geändert von M. Plümper am Donnerstag 7. März 2019, 10:12, insgesamt 1-mal geändert.
Benutzeravatar
Blomeyer
Beiträge: 209
Registriert: Dienstag 25. September 2018, 14:09
Wohnort: Düsseldorf
Schulform: alle Schulformen
Kontaktdaten:

Re: SFTP-Serververbinung

Beitrag von Blomeyer »

Das Problem beim Arbeiten mit verschlüsselten Dateien ist ja nicht die Verschlüsselung (RSA oder AES256 von denen XNM Gebrauch macht, gelten aus heutiger Sicht als ausreichend sicher / siehe BSI: Technische Richtlinien) sondern der sichere Austausch der Schlüssel.

Bei XNM (FTPS-/SFTP-Variante) werden nach dem Austausch der Verbindungsdateien für die Kommunikation mit dem Server die öffentlichen Schlüssel über eben diesen Server ausgetauscht. Und wenn diese FTP-Kommunikation verschlüsselt ist (also SFTP / FTPS) erscheint mir dieses Vorgehen auch unproblematisch zu sein, da ich nicht sehe, wie ein Angreifer diese Schlüssel abgreifen könnte.

Alternativ könnte man mit den Lehrkräften auch vereinbaren, seinen öffentlichen Schlüssel z.B. auch via USB-Stick oder via Mail auszutauschen. Dieser USB-Stick müsste allerdings verschlüsselt sein, wie auch die Mail. Da diese Verschlüsselung (Stick / Mail) nicht immer vorausgesetzt werden kann, scheint mir der Austausch der öffentlichen Schlüssel über den FTPS-/SFTP-Server sicherer und einfacher zu sein.

Selbst wenn eine unverschlüsselte FTP-Verbindung benutzt wird, ist es auf Grund der asymmetrischen Verschlüsselung dennoch nicht möglich, dass durch einen Angreifer, der in den Besitz einer Notendatei auf dem Server kommt, einzelne Leistungsdaten manipuliert werden. Wenn man nicht im Besitz des jeweiligen privaten Schlüssels einer Lehrkraft ist, kann diese Manipulation (nahezu) ausgeschlossen werden.
Mit freundlichen Grüßen
Im Auftrag

Ulrich Blomeyer
Referat 133
IT-gestützte Verfahren in Schulen und Schulverwaltung
Ministerium für Schule und Bildung NRW
E-Mail: ulrich.blomeyer@msb.nrw.de
Telefon: 0211 5867 3617
Benutzeravatar
Pfotenhauer
Beiträge: 2171
Registriert: Dienstag 25. September 2018, 12:53
Wohnort: Wuppertal
Schulform: Realschule
Motto: Wer schnell hilft, hilft doppelt!
Kontaktdaten:

Re: SFTP-Serververbinung

Beitrag von Pfotenhauer »

Es wäre also möglich, mit dem Tool XALKLogin.exe die komplette einrichtung von XNM auf USB-Sticks in der Schule zu machen.
Danach ist die Verteilung der Schlüssel erfolgt.

Danach könnte man das Verfahren sogar mit einer normalen FTP-Verbindung machen, wird abe rnatürlich von uns nicht empfohlen.
Oder man macht die Rückgabe auch mit XALKLogin.

Vielleicht kann Herr Blomeyer ja auch noch SFTP hinzufügen....
Mit freundlichen Grüßen
Frank Pfotenhauer
--------------------------------------------------------------------
Fachberater für die Schulverwaltungssoftware des MSB
Referat 133
Fon: 0202-2984640
E-Mail: pfotenhauer@schildnrw.de
Antworten

Zurück zu „XNM-Admin technische Fragen“