AW: AW: proftpd und mod_tls

To: "'Jan Kohnert'" <nospam001-lists@jankoh.dyndns.org>, <debian-user-german@lists.debian.org>
Subject: AW: AW: proftpd und mod_tls
From: "Miro Dietiker, MD Systems" <info@md-systems.ch>
Date: Thu, 1 Dec 2005 12:27:04 +0100
Message-id: <[🔎] 000101c5f66a$2903ac40$4001a8c0@MDSYSPORT>
In-reply-to: <200512010118.54234.nospam001-lists@jankoh.dyndns.org>

Gerne korrigiere ich ;)

Die Tatsache, dass viele Server zwei unterschiedliche Ports für
verschlüsselten und unverschlüsselten Verkehr verwenden, ist hostorisch
bedingt!

Die TLS-Serie erlaubt die Nutzung von desselben Ports wie früher, führt
jedoch zur initiierung des TLS-verschlüsselten Verkehrs ein neues
Schlüsselwort im betreffenden Protokoll ein.
Das ist bei LDAP, POP3, FTP, usw überall so und ist ein Kern des
Konzepts, da man langsam aufhören sollte pro Protokoll einen Port - und
dann noch pro Verschlüsselungsvariante des Ports einen zweiten zu
registrieren.

Ein Client welcher also TLS traffic wünscht, verbindet ganz normal zu
Port 21 und fragt den Server nach der TLS-Capability an mit "AUTH TLS".
Nachdem das gelungen ist, würde man nun denselben Port die kommunikation
TLS verschlüsseln.

Speziell bei FTP gibt es keinen "historischen verschlüsselten port" (es
war mal in einem draft der Port 990 vorgeschlagen, der wurde aber wieder
entfernt) weshalb ich davon ausgehe, dass man einfach den Transfer auf
Port 21 nach dem handshaking mit der Protokollerweiterung encryptet...

Aber ich lasse mich auch gerne korrigieren ;-)

+-------------------------------+  +-------------------------------+
| Miro Dietiker                 |  | MD Systems Miro Dietiker      |
+-------------------------------+  +-------------------------------+

-----Ursprüngliche Nachricht-----
Von: Jan Kohnert [mailto:nospam001-lists@jankoh.dyndns.org] 
Gesendet: Donnerstag, 1. Dezember 2005 01:19
An: debian-user-german@lists.debian.org
Betreff: Re: AW: proftpd und mod_tls

Miro Dietiker, MD Systems schrieb:

> Und was ist jetzt mit anonymous ftp mit ssl anders?
> Im Protokoll der Kommunikation spricht ja noch niemand von einem
> Benutzernamen, sondern das scheitert viel früher.

AFAIK ist SSL sowas wie eine "eigenes Protokoll". Es wird eine anderer 
Socket/Port benutzt, der verschlüsselt ist und auf dem setzt dann das 
jeweilige "eigentliche" Protokoll auch (Beispiele https, ftps, pop3s,
imaps). 
Machst du eine Verschlüsselung über TLS, wird der Stream selbst 
verschlüsselt, der Socket/Port bleibt derselbe, wie beim Protokoll ohne
TLS 
(Bsp smtp, pop3, imap mit TLS).

Ein Beispiel:
Du holst deine Nachrichten per pop3s ab:
Dein MUA baut eine sichere Verbindung über Port 995 zum Server auf,
diese ist 
SSL-verschlüsselt. Danach pop3-Protokoll, wie normal auch Port 110, 
allerdings über Port 995 und verschlüsselt.
Du holst deine Nachrichten per pop3 mit TLS ab:
Dein MUA baut eine "normale" Verbind zum Server auf Port 110 auf. Der
Server 
sagt, er kann TLS, worauf dein MUA mit dem Server über einen Cipher die 
Verbindung verschlüsselt. Über diese verschlüsselte Verbindung auf Port
110 
wird dann wie gehabt das weitere pop3 Protokoll abgearbeitet.

Das ist sicherlich eine viel zu einfache Erklärung (korrigiert mich
bitte), 
macht aber trotzdem deutlich, das SSL und TLS zwei ganz unterschiedliche

Sachen sind.

Ich denke, das ist mit ftp/ftps/ftp mit TLS ähnlich...

HTH, als Einleitung...

MfG Jan

-- 
OpenPGP Public-Key Fingerprint:
0E9B 4052 C661 5018 93C3 4E46 651A 7A28 4028 FF7A

Reply to:

Follow-Ups:
- Re: AW: AW: proftpd und mod_tls
  - From: "Florian (flobee)" <flobee@gmx.net>

Prev by Date: Fehler beim apt-get update
Next by Date: Re: Firefox 1.5
Previous by thread: Re: Meldung bei apt-get update
Next by thread: Re: AW: AW: proftpd und mod_tls
Index(es):
- Date
- Thread