home *** CD-ROM | disk | FTP | other *** search
/ Columbia Kermit / kermit.zip / newsgroups / misc.20041116-20060924 / 000350_john.santos@post.harvard.edu_Sat May 13 10:51:55 2006.msg < prev    next >
Internet Message Format  |  2020-01-01  |  6KB
  1. Path: newsmaster.cc.columbia.edu!panix!newsfeed.media.kyoto-u.ac.jp!border2.nntp.dca.giganews.com!nntp.giganews.com!cyclone1.gnilink.net!spamkiller2.gnilink.net!gnilink.net!trndny07.POSTED!60760995!not-for-mail
  2. From: John Santos <john.santos@post.harvard.edu>
  3. Newsgroups: comp.protocols.kermit.misc
  4. Subject: Re: Another Secure FTP thread -- Protection Levels
  5. Message-ID: <MPG.1ecf5c23dfff383a989715@news.bellatlantic.net>
  6. References: <1146861121.842424.256350@i40g2000cwc.googlegroups.com> <Q7P6g.35918$cY3.14015@news-wrt-01.rdc-nyc.rr.com> <1146976219.923605.52950@j33g2000cwa.googlegroups.com> <RBl7g.53425$x97.36826@news-wrt-01.rdc-nyc.rr.com> <1147043095.270056.69240@v46g2000cwv.googlegroups.com> <Ygv7g.36642$cY3.34020@news-wrt-01.rdc-nyc.rr.com> <1147105376.289932.262580@j33g2000cwa.googlegroups.com> <WlL7g.36675$cY3.27991@news-wrt-01.rdc-nyc.rr.com>
  7. Reply-To: john.santos@post.harvard.edu
  8. MIME-Version: 1.0
  9. Content-Type: text/plain; charset="iso-8859-15"
  10. Content-Transfer-Encoding: 7bit
  11. User-Agent: MicroPlanet-Gravity/2.60.2060
  12. Lines: 87
  13. Date: Sat, 13 May 2006 08:00:21 GMT
  14. NNTP-Posting-Host: 71.243.61.168
  15. X-Complaints-To: abuse@verizon.net
  16. X-Trace: trndny07 1147507221 71.243.61.168 (Sat, 13 May 2006 04:00:21 EDT)
  17. NNTP-Posting-Date: Sat, 13 May 2006 04:00:21 EDT
  18. Xref: newsmaster.cc.columbia.edu comp.protocols.kermit.misc:15607
  19.  
  20. In article <WlL7g.36675$cY3.27991@news-wrt-01.rdc-nyc.rr.com>, jaltman2
  21. @nyc.rr.com says...
  22. > Ed Gage wrote:
  23. > > Your response suggests that there might be other products out there
  24. > > that would have this capability.  If so, what are they?  Alternatively,
  25. > > if we select a router that has a firewall which allows external
  26. > > addresses to map to an internal NAT-protected IP, would that also solve
  27. > > the problem?
  29. > Ed:
  31. > Didn't this thread start because you had another product that did have
  32. > this functionality and you wanted to know if you could replace it with
  33. > C-Kermit?
  35. > Here is your problem.  Your company wants to have secure communications
  36. > between a client that you control and a remote server that you do not
  37. > control.  In order to do this, you must create a mutually authenticated,
  38. > encrypted, and integrity protected channel between your client and the
  39. > remote server.  At no point during the communication session can you
  40. > allow the encryption or integrity protection to drop without becoming
  41. > susceptible to an active attack whereby the attacker waits until the
  42. > authentication has been performed and then steals the tcp session.
  44. > At the same time your company doesn't want to allow an communication
  45. > through your firewall that is not authorized.  You are enforcing that
  46. > policy by requiring the firewall to snoop each session and if it is
  47. > FTP either restrict what commands can be sent or logging each command
  48. > that is sent so that there would be evidence of the transfer of a trade
  49. > secret.  This is incompatible with the concept of a secure private
  50. > session between your client and the remote server.
  52. > You can't have it both ways.  I don't write insecure applications.
  53. > If you want to hire someone to make your communications insecure you
  54. > can by all means do so.  But if you are going to use software I wrote
  55. > to perform a secure communication then that communication is going to
  56. > be secure.
  58. > The whole notion of firewalls acting as the man in the middle is flawed.
  59. > You can't be the man in the middle when using http over ssl/tls to
  60. > communicate with your bank.  Why should you be able to do so when the
  61. > protocol is ftp?
  63. > Jeffrey Altman
  64.  
  65. I think to do this, the OP's company's security people need to set up a 
  66. gateway or proxy system (not the firewall) to act as an FTP relay 
  67. between his system and the remote system.  There would then be two FTP 
  68. connections, his system to the gateway, and gateway (through the 
  69. firewall) to the remote system.  He would need to establish his FTP 
  70. session to the gateway, telling it via some magic (encoded in the 
  71. username or file specification or stored in a config file on the gateway 
  72. or ...) that he really wanted to send the file to the remote system (or 
  73. that he wanted to pull it back).  The gateway would then set up a 
  74. second (encrypted) FTP session to the remote end.  It would receive
  75. packets from the first system, decrypt them, do what ever validation
  76. and logging is needed, re-encrypt them and send them over the 2nd FTP 
  77. connection to the remote end.  The same in reverse for the reply 
  78. packets.  The encryption between your system and the gateway and the 
  79. encryption between the gateway and the remote system need not have any 
  80. connection: separate keys, certificates, algorithms, etc.  (He may not 
  81. even need any encryption between his system and the gateway; that 
  82. depends on how much the security people trust their corporate network.
  83. Most likely it will be required, though.)
  84.  
  85. The firewall would be coded to allow encrypted traffic from the gateway 
  86. server (but not his own system) to the specified remote system, and 
  87. rely on the gateway to do the necessary validation and logging.  Both 
  88. the gateway and the firewall would be under control of the security 
  89. people, not the end users.
  90.  
  91. You (the OP) could use Kermit to do the FTP client functions on your 
  92. system, just as you do (or are trying to do) now.  For that matter, you 
  93. could probably implement the gateway system as a giant Kermit macro, too 
  94. :-)
  95.  
  96. I think secure FTP gateways (not sure what they are called) are
  97. available commercially.  At least one company I know of uses one to
  98. send credit card information to the company that actually manufactures
  99. and mails the credit cards to their customers, so it must be fairly
  100. secure.  I don't know if the gateway they are using is home-brew or
  101. COTS.  Maybe the firewall people at the OP's company already have
  102. one - he should ask.
  103.  
  104.  
  105. -- 
  106. John