home *** CD-ROM | disk | FTP | other *** search
/ Columbia Kermit / kermit.zip / newsgroups / misc.20041116-20060924 / 000287_dold@XReXXsecur.usenet.us.com_Mon Mar 27 13:33:35 2006.msg < prev    next >
Internet Message Format  |  2020-01-01  |  4KB
  1. Path: newsmaster.cc.columbia.edu!panix!newsfeed.media.kyoto-u.ac.jp!news-xfer.nntp.sonic.net!192.160.13.7.MISMATCH!wasp.rahul.net!192.160.13.20.MISMATCH!rahul.net!azure.rahul.net!dold
  2. From: dold@XReXXsecur.usenet.us.com
  3. Newsgroups: comp.protocols.kermit.misc
  4. Subject: Re: secure ftp - tls with ckermit client
  5. Date: Fri, 24 Mar 2006 20:41:50 +0000 (UTC)
  6. Organization: "a2i network"
  7. Lines: 95
  8. Message-ID: <e01lie$ujk$1@blue.rahul.net>
  9. References: <dvvju1$8cb$1@blue.rahul.net> <slrne286k3.isr.fdc@sesame.cc.columbia.edu> <e01bb8$edb$1@blue.rahul.net> <e01ftj$lmr$1@blue.rahul.net> <YBXUf.25825$nB6.5258@news-wrt-01.rdc-nyc.rr.com>
  10. NNTP-Posting-Host: azure.rahul.net
  11. X-Trace: blue.rahul.net 1143232910 31348 192.160.13.38 (24 Mar 2006 20:41:50 GMT)
  12. X-Complaints-To: support@rahul.net
  13. NNTP-Posting-Date: Fri, 24 Mar 2006 20:41:50 +0000 (UTC)
  14. User-Agent: tin/1.6.2-20030910 ("Pabbay") (UNIX) (Linux/2.6.9-34.EL (i686))
  15. X-Comment: Encoded From: line allows replies that preserve original subject
  16. Xref: newsmaster.cc.columbia.edu comp.protocols.kermit.misc:15542
  17.  
  18. Jeffrey Altman <jaltman2@nyc.rr.com> wrote:
  19. > dold@XReXXsecur.usenet.us.com wrote:
  20.  
  21. > >       ftp open /tls www.thesite.com 2121 /user:me
  22. > > fails
  23. > >       "ftp: SSL/TLS connect COMMAND error: error:1408F10B:SSL
  24. > >       routines:SSL3_GET_RECORD: wrong version number"
  25.  
  26. > The server does not support FTP over TLS.
  27.  
  28. > >       set ftp authtype tls 
  29. > >       ftp open www.thesite.com 2121 /user:me
  30.  
  31. > The server supports FTP AUTH TLS
  32.  
  33. So TLS is only being used for the login authentication, and no protection
  34. is offered for the actual data?
  35.  
  36. I do get
  37.     Connected to www.thesite.com.
  38.     TLS accepted as authentication type
  39.     [TLS - DHE-RSA-AES256-SHA  SSLv3 Kx=DH  Au=RSA  Enc=AES(256) Mac=SHA1
  40.     Compression: None
  41.     FTP Command channel is Private (encrypted)
  42.     FTP Data channel is Private (encrypted)
  43.  
  44. After I'm connected, show ftp returns, in part
  45. Available security methods:
  46.  
  47.  ftp authtype:                  TLS
  48.  ftp auto-encryption:           on
  49.  ftp credential-forwarding:     off
  50.  ftp command-protection-level:  private
  51.  ftp data-protection-level:     private
  52.  ftp secure proxy:              (not set)
  53.  
  54.  
  55. > >       "TLS accepted as authentication type
  56. > >       Warning: Server has a self-signed certificate
  57. > >       ...
  58. > >       Continue? (Y/N)"
  59. > >       "Warning: Hostname ("www.thesite.com") does not match server's
  60. > >       certificate ("ftp.thesite.com")"
  61.  
  62. > And the server's name as specified by the certificate is
  63. > "ftp.thesite.com" so you must connect to it with
  64.  
  65. >    ftp open ftp.thesite.com 2121 /user:me
  66.  
  67. Administrative error that I'd like to get fixed.  proftd is listening to
  68. the wrong IP address.  Both are on the same machine.
  69.  
  70. > and the server is using a self-signed certificate which means that
  71. > you must obtain a copy of the certificate and store it into your
  72. > certificate store.
  73.  
  74. > > How can I confirm that this is a TLS-protected connection?
  75.  
  76. > kermit tells you
  77.  
  78. That's where I have ambiguity.  It looks like TLS is there, except for the
  79. fact that I can't do /tls on the command line.  How is kermit telling me?
  80.  
  81. If I connect to the same server on the non-TLS port,
  82. I get messages
  83.     TLS accepted as authentication type
  84.     TLS authentication failed
  85. before the login prompt.  After I log in
  86.   show ftp
  87. Available security methods:
  88.  
  89.  ftp authtype:                  (none)
  90.  ftp auto-encryption:           on
  91.  ftp credential-forwarding:     off
  92.  ftp command-protection-level:  clear
  93.  ftp data-protection-level:     clear
  94.  ftp secure proxy:              (not set)
  95.  
  96. > Authentication is all about names.  If the names don't match then you
  97. > might as well assume you are communicating with an attacker who is about
  98. > to pick your pocket.
  99.  
  100. Right.  I know this server isn't configured correctly, so I can either hit
  101. "y" many times, "SET AUTHENTICATION TLS VERIFY OFF", or get the site admin
  102. to fix it.  I'll take door #2 for now, and ask for the certificate problem
  103. to be corrected.
  104.  
  105. If the ProFtpd configuration were correct, I think a TLS-client or a
  106. non-TLS client should be able to connect to the same name/IP and port
  107. number.  I don't know why it is in this awkward state now, with both the
  108. wrong IP address and the special port number.
  109.  
  110. -- 
  111. ---
  112. Clarence A Dold - Hidden Valley (Lake County) CA USA  38.8,-122.5