home *** CD-ROM | disk | FTP | other *** search
/ Columbia Kermit / kermit.zip / newsgroups / misc.20041116-20060924 / 000350_john.santos@post.harvard.edu_Sat May 13 10:51:55 2006.msg < prev    next >
Internet Message Format  |  2020-01-01  |  6KB

  1. Path: newsmaster.cc.columbia.edu!panix!newsfeed.media.kyoto-u.ac.jp!border2.nntp.dca.giganews.com!nntp.giganews.com!cyclone1.gnilink.net!spamkiller2.gnilink.net!gnilink.net!trndny07.POSTED!60760995!not-for-mail
  2. From: John Santos <john.santos@post.harvard.edu>
  3. Newsgroups: comp.protocols.kermit.misc
  4. Subject: Re: Another Secure FTP thread -- Protection Levels
  5. Message-ID: <MPG.1ecf5c23dfff383a989715@news.bellatlantic.net>
  6. References: <1146861121.842424.256350@i40g2000cwc.googlegroups.com> <Q7P6g.35918$cY3.14015@news-wrt-01.rdc-nyc.rr.com> <1146976219.923605.52950@j33g2000cwa.googlegroups.com> <RBl7g.53425$x97.36826@news-wrt-01.rdc-nyc.rr.com> <1147043095.270056.69240@v46g2000cwv.googlegroups.com> <Ygv7g.36642$cY3.34020@news-wrt-01.rdc-nyc.rr.com> <1147105376.289932.262580@j33g2000cwa.googlegroups.com> <WlL7g.36675$cY3.27991@news-wrt-01.rdc-nyc.rr.com>
  7. Reply-To: john.santos@post.harvard.edu
  8. MIME-Version: 1.0
  9. Content-Type: text/plain; charset="iso-8859-15"
  10. Content-Transfer-Encoding: 7bit
  11. User-Agent: MicroPlanet-Gravity/2.60.2060
  12. Lines: 87
  13. Date: Sat, 13 May 2006 08:00:21 GMT
  14. NNTP-Posting-Host: 71.243.61.168
  15. X-Complaints-To: abuse@verizon.net
  16. X-Trace: trndny07 1147507221 71.243.61.168 (Sat, 13 May 2006 04:00:21 EDT)
  17. NNTP-Posting-Date: Sat, 13 May 2006 04:00:21 EDT
  18. Xref: newsmaster.cc.columbia.edu comp.protocols.kermit.misc:15607
  19.  
  20. In article <WlL7g.36675$cY3.27991@news-wrt-01.rdc-nyc.rr.com>, jaltman2
  21. @nyc.rr.com says...
  22. > Ed Gage wrote:
  23. > > Your response suggests that there might be other products out there
  24. > > that would have this capability.  If so, what are they?  Alternatively,
  25. > > if we select a router that has a firewall which allows external
  26. > > addresses to map to an internal NAT-protected IP, would that also solve
  27. > > the problem?
  28. > Ed:
  29. > Didn't this thread start because you had another product that did have
  30. > this functionality and you wanted to know if you could replace it with
  31. > C-Kermit?
  32. > Here is your problem.  Your company wants to have secure communications
  33. > between a client that you control and a remote server that you do not
  34. > control.  In order to do this, you must create a mutually authenticated,
  35. > encrypted, and integrity protected channel between your client and the
  36. > remote server.  At no point during the communication session can you
  37. > allow the encryption or integrity protection to drop without becoming
  38. > susceptible to an active attack whereby the attacker waits until the
  39. > authentication has been performed and then steals the tcp session.
  40. > At the same time your company doesn't want to allow an communication
  41. > through your firewall that is not authorized.  You are enforcing that
  42. > policy by requiring the firewall to snoop each session and if it is
  43. > FTP either restrict what commands can be sent or logging each command
  44. > that is sent so that there would be evidence of the transfer of a trade
  45. > secret.  This is incompatible with the concept of a secure private
  46. > session between your client and the remote server.
  47. > You can't have it both ways.  I don't write insecure applications.
  48. > If you want to hire someone to make your communications insecure you
  49. > can by all means do so.  But if you are going to use software I wrote
  50. > to perform a secure communication then that communication is going to
  51. > be secure.
  52. > The whole notion of firewalls acting as the man in the middle is flawed.
  53. > You can't be the man in the middle when using http over ssl/tls to
  54. > communicate with your bank.  Why should you be able to do so when the
  55. > protocol is ftp?
  56. > Jeffrey Altman
  57.  
  58. I think to do this, the OP's company's security people need to set up a 
  59. gateway or proxy system (not the firewall) to act as an FTP relay 
  60. between his system and the remote system.  There would then be two FTP 
  61. connections, his system to the gateway, and gateway (through the 
  62. firewall) to the remote system.  He would need to establish his FTP 
  63. session to the gateway, telling it via some magic (encoded in the 
  64. username or file specification or stored in a config file on the gateway 
  65. or ...) that he really wanted to send the file to the remote system (or 
  66. that he wanted to pull it back).  The gateway would then set up a 
  67. second (encrypted) FTP session to the remote end.  It would receive
  68. packets from the first system, decrypt them, do what ever validation
  69. and logging is needed, re-encrypt them and send them over the 2nd FTP 
  70. connection to the remote end.  The same in reverse for the reply 
  71. packets.  The encryption between your system and the gateway and the 
  72. encryption between the gateway and the remote system need not have any 
  73. connection: separate keys, certificates, algorithms, etc.  (He may not 
  74. even need any encryption between his system and the gateway; that 
  75. depends on how much the security people trust their corporate network.
  76. Most likely it will be required, though.)
  77.  
  78. The firewall would be coded to allow encrypted traffic from the gateway 
  79. server (but not his own system) to the specified remote system, and 
  80. rely on the gateway to do the necessary validation and logging.  Both 
  81. the gateway and the firewall would be under control of the security 
  82. people, not the end users.
  83.  
  84. You (the OP) could use Kermit to do the FTP client functions on your 
  85. system, just as you do (or are trying to do) now.  For that matter, you 
  86. could probably implement the gateway system as a giant Kermit macro, too 
  87. :-)
  88.  
  89. I think secure FTP gateways (not sure what they are called) are
  90. available commercially.  At least one company I know of uses one to
  91. send credit card information to the company that actually manufactures
  92. and mails the credit cards to their customers, so it must be fairly
  93. secure.  I don't know if the gateway they are using is home-brew or
  94. COTS.  Maybe the firewall people at the OP's company already have
  95. one - he should ask.
  96.  
  97.  
  98. -- 
  99. John