home *** CD-ROM | disk | FTP | other *** search

---

/ Columbia Kermit / kermit.zip / newsgroups / misc.20041116-20060924 / 000344_jaltman2@nyc.rr.com_Wed May 10 12:12:29 2006.msg

< prev

next >

Wrap

Internet Message Format  |  2020-01-01  |  4KB

---

1. Path: newsmaster.cc.columbia.edu!newsfeed.nyu.edu!news.maxwell.syr.edu!newscon02.news.prodigy.com!newscon06.news.prodigy.com!prodigy.net!news-east.rr.com!news-wrt-01.rdc-nyc.rr.com!news-feed-01.rdc-nyc.rr.com!news.rr.com!news-out.nyc.rr.com!news-wrt-01.rdc-nyc.rr.com.POSTED!53ab2750!not-for-mail
2. From: Jeffrey Altman <jaltman2@nyc.rr.com>
3. User-Agent: Thunderbird 1.5.0.2 (Windows/20060308)
4. MIME-Version: 1.0
5. Newsgroups: comp.protocols.kermit.misc
6. Subject: Re: Another Secure FTP thread -- Protection Levels
7. References: <1146861121.842424.256350@i40g2000cwc.googlegroups.com>   <Q7P6g.35918$cY3.14015@news-wrt-01.rdc-nyc.rr.com>   <1146976219.923605.52950@j33g2000cwa.googlegroups.com>   <RBl7g.53425$x97.36826@news-wrt-01.rdc-nyc.rr.com>   <1147043095.270056.69240@v46g2000cwv.googlegroups.com>   <Ygv7g.36642$cY3.34020@news-wrt-01.rdc-nyc.rr.com> <1147105376.289932.262580@j33g2000cwa.googlegroups.com>
8. In-Reply-To: <1147105376.289932.262580@j33g2000cwa.googlegroups.com>
9. Content-Type: text/plain; charset=ISO-8859-1
10. Content-Transfer-Encoding: 7bit
11. Lines: 42
12. Message-ID: <WlL7g.36675$cY3.27991@news-wrt-01.rdc-nyc.rr.com>
13. Date: Mon, 08 May 2006 17:37:58 GMT
14. NNTP-Posting-Host: 68.175.91.105
15. X-Complaints-To: abuse@rr.com
16. X-Trace: news-wrt-01.rdc-nyc.rr.com 1147109878 68.175.91.105 (Mon, 08 May 2006 13:37:58 EDT)
17. NNTP-Posting-Date: Mon, 08 May 2006 13:37:58 EDT
18. Organization: Road Runner High Speed Online http://www.rr.com
19. Xref: newsmaster.cc.columbia.edu comp.protocols.kermit.misc:15602
20.  
21. Ed Gage wrote:
22. > Your response suggests that there might be other products out there
23. > that would have this capability.  If so, what are they?  Alternatively,
24. > if we select a router that has a firewall which allows external
25. > addresses to map to an internal NAT-protected IP, would that also solve
26. > the problem?
27.  
28. Ed:
29.  
30. Didn't this thread start because you had another product that did have
31. this functionality and you wanted to know if you could replace it with
32. C-Kermit?
33.  
34. Here is your problem.  Your company wants to have secure communications
35. between a client that you control and a remote server that you do not
36. control.  In order to do this, you must create a mutually authenticated,
37. encrypted, and integrity protected channel between your client and the
38. remote server.  At no point during the communication session can you
39. allow the encryption or integrity protection to drop without becoming
40. susceptible to an active attack whereby the attacker waits until the
41. authentication has been performed and then steals the tcp session.
42.  
43. At the same time your company doesn't want to allow an communication
44. through your firewall that is not authorized.  You are enforcing that
45. policy by requiring the firewall to snoop each session and if it is
46. FTP either restrict what commands can be sent or logging each command
47. that is sent so that there would be evidence of the transfer of a trade
48. secret.  This is incompatible with the concept of a secure private
49. session between your client and the remote server.
50.  
51. You can't have it both ways.  I don't write insecure applications.
52. If you want to hire someone to make your communications insecure you
53. can by all means do so.  But if you are going to use software I wrote
54. to perform a secure communication then that communication is going to
55. be secure.
56.  
57. The whole notion of firewalls acting as the man in the middle is flawed.
58. You can't be the man in the middle when using http over ssl/tls to
59. communicate with your bank.  Why should you be able to do so when the
60. protocol is ftp?
61.  
62. Jeffrey Altman