AB 03 — Sichere Datenübertragung
SFTP – Sichere Dateiübertragung
Abschnitt betitelt „SFTP – Sichere Dateiübertragung“Aufgabe
Kopieren Sie eine beliebige Datei inklusive Original-Zeitstempel per SFTP von Ihrer Ubuntu-VM in Ihr Home-Verzeichnis auf Foxi.
Hinweisbefehle
Verbindung herstellen:
| sftp username@foxi |
|---|
Datei hochladen mit Zeitstempelübernahme:
| put -p meineDatei.txt |
|---|
Was muss dokumentiert werden?
Verbindung erfolgreich hergestellt
Datei übertragen
Zeitstempelvergleich vorher/nachher
Erklärung des Parameters -p
FTPS – vsftpd sicher konfigurieren
Abschnitt betitelt „FTPS – vsftpd sicher konfigurieren“Ziel
Installieren und konfigurieren Sie vsftpd, sodass nur FTPS (FTP über TLS/SSL) erlaubt ist.
Schritt 1 – Installation
sudo apt install vsftpdSchritt 2 – vsftpd.conf anpassen
Folgende Parameter müssen gesetzt sein (siehe Manpage):
| Parameter | Aufgabe |
|---|---|
| pasv_enable=YES | Aktiviert passiven Modus |
| pasv_min_port=40000 | Untere passive Portgrenze |
| pasv_max_port=40100 | Obere passive Portgrenze |
| require_ssl_reuse=NO | Verhindert TLS-Handshake-Probleme |
Weitere wichtige Einstellungen:
| ssl_enable=YES force_local_logins_ssl=YES force_local_data_ssl=YES ssl_tlsv1=YES ssl_sslv2=NO ssl_sslv3=NO |
|---|
Schritt 3 – TLS/SSL-Zertifikat erzeugen
sudo openssl req -x509 -nodes -days 365 </span>-newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.key </span>-out /etc/ssl/certs/vsftpd.pemIn vsftpd.conf eintragen:
| rsa_private_key_file=/etc/ssl/private/vsftpd.key rsa_cert_file=/etc/ssl/certs/vsftpd.pem |
|---|
Schritt 4 – Benutzer anlegen
sudo adduser 1TPIF_IAMSchritt 5 – Test in WinSCP
Verwenden Sie folgende Einstellungen:
Protokoll: FTP
Verschlüsselung: FTP über TLS/SSL
Passiver Modus aktiv
Portbereich: 40000–40100
SSH-Server einrichten
Abschnitt betitelt „SSH-Server einrichten“Ziel:
SSH und SFTP ermöglichen – aber root-Login verbieten.
Schritt 1 – Installation
sudo apt install openssh-serverSSH-Status prüfen:
sudo systemctl status sshSchritt 2 – Benutzer erstellen
sudo adduser 1TPIF_IAMSchritt 3 – Root-Login verbieten
Datei bearbeiten:
sudo nano /etc/ssh/sshd_configÄndern:
| PermitRootLogin no PasswordAuthentication yes |
|---|
SSH neustarten:
sudo systemctl restart sshSchritt 4 – Login testen
Verbinden Sie sich von Ihrem Host:
| ssh 1TPIF_IAM@IP_der_VM |
|---|
Managed File Transfer Server (MFT) – GoAnywhere
Abschnitt betitelt „Managed File Transfer Server (MFT) – GoAnywhere“Was ist der Zweck von MFT-Servern?
MFT-Server (Managed File Transfer) dienen dazu:
Dateiübertragungen zu automatisieren
sie verschlüsselt, nachvollziehbar und compliant zu gestalten
große Datenmengen zuverlässig zu übertragen
Logs & Audits zu führen
Schnittstellen (API, SFTP, FTPS, HTTPS) zu bündeln
Typische MFT-Funktionen
Ende-zu-Ende-Verschlüsselung
Benutzer- und Rollenverwaltung
Zeitgesteuerte Transfers (Jobs)
Monitoring & Reporting
Cloud-Integration
Praktische Aufgabe – GoAnywhere installieren
Ziele:
Installation eines MFT-Servers
Zugriff vom Mobiltelefon auf die Dateien des Servers
Die Installation erfolgt über: https://www.goanywhere.com/solutions/managed-file-transfer
Sie können:
eine Trial installieren
Benutzerkonten anlegen
mobile Verbindung über HTTPS testen
Mobile Verbindung testen
GoAnywhere im Browser Ihres Handys aufrufen
Im WebClient anmelden
Remote-Dateien betrachten oder hochladen
Screenshot als Nachweis erstellen
- Punkteverteilung
| No | Arbeit | Punkte |
|---|---|---|
| SFTP | Screenshot und verständliche Erläuterungen der Vorgehensweise | 10 |
| SFTP | Hochladen einer beliebigen Datei einschließlich der Original-Zeitstempel | 2 |
| FTPS | Installation des benötigten Softwarepakets | 2 |
| FTPS | Korrekte Anpassung der Datei /etc/vsftpd.conf | 7 |
| FTPS | Erstellung und Einbindung gültiger SSL-Zertifikate | 7 |
| FTPS | Screenshot und Erklärung eines erfolgreich aufgebauten FTPS-Logins | 5 |
| SSH | Installation und Aktivierung des SSH-Servers | 2 |
| SSH | Screenshot und Erläuterung einer erfolgreichen SSH- oder SFTP-Anmeldung | 7 |
| MFT | Erklärung der zentralen Ziele von MFT-Servern und Auflistung gängiger Lösungen am Markt | 3 |
| MFT | Installation und vollständige Konfiguration eines MFT-Servers | 12 |
| MFT | Zugriff auf die entfernten Serverdaten über ein Mobilgerät (Screenshot erforderlich) | 3 |
- Kompetenzen
| Abk. | Kompetenz | Punkte |
|---|---|---|
| K1 | Der Auszubildende ist in der Lage eine der Situation angepasste Verschlüsselungstechnik anzuwenden und Daten gesichert zu übertragen. | 6/18 |
| K2 | Der Auszubildende ist in der Lage Gegenmaßnahmen für Malware einzusetzen. | |
| K3 | Der Auszubildende ist in der Lage die Integrität der Daten und die Authentizität von Personen und Servern zu überprüfen. | |
| K4 | Der Auszubildende ist in der Lage die Grundsätze des Urheberrechts zu beschreiben. | |
| K5 | Der Auszubildende ist in der Lage die Regeln und Verhaltensweisen im Umgang mit personenbezogenen Daten zusammenzustellen. | |
| K6 | Der Auszubildende ist in der Lage und bereit, selbstständig und in einer Gemeinschaft, verantwortlich und zielführend zu handeln und sich weiterzuentwickeln. |
