WinSCP: Eine sichere Alternative zu WS_FTP

B. Brandel

Bereits in der letzten Ausgabe der INKUERZE (1/2001) wurde berichtet, dass aus Gründen der IT-Sicherheit auf den Unix-Rechnern des Universitätsrechenzentrums seit Frühjahr 2001 die unsicheren Serverdienste telnet, rlogin, rsh und rcp durch ssh ersetzt worden sind. Für den ebenso unsicheren Dienst ftp gibt es ebenfalls eine sichere Alternative, nämlich scp (secure copy), die ebenso Teil des ssh-Pakets ist. Daher wird in nächster Zeit der ftp-Serverdienst auf unseren Servern ebenso entfallen. In diesem Artikel soll nun beschrieben werden, wie Sie Ihre Filetransfers statt mit dem ftp-Client WS_FTP mit der ebenso komfortablen, aber sicheren Freeware-Software WinSCP durchführen können. WS_FTP können Sie selbstverständlich weiterhin zum Datenaustausch mit externen FTP-Servern verwenden.

Übersicht über WinSCP

WinSCP ist ein komfortabler Freeware-SCP-Client für Windows9x/NT/2000. WinSCP erledigt für Sie alle grundlegenden Dateioperationen wie Copy und Move von Ihrem lokalen PC zu unseren Servern und umgekehrt. Ebenso können sowohl auf dem Quell- wie auf dem Zielrechner Dateien und Verzeichnisse umbenannt, neue Verzeichnisse angelegt sowie Zugriffsrechte verändert werden. Fast alle Operationen (wie Copy, Move, Änderung der Zugriffsrechte) können auch rekursiv für Unterverzeichnisse vorgenommen werden.

WinSCP erlaubt Verbindungen clientseitig sowohl über das SSH2-Protokoll als auch über das (etwas unsicherere) SSH1-Protokoll, falls der Server, zu dem Sie sich verbinden, nur letzteres versteht. Ihre Authentisierung beim Server findet analog zu WS_FTP über Benutzername und Passwort statt, zur Verschlüsselung der eigentlichen Verbindung können Sie zwischen den Verschlüsselungsalgorithmen 3DES und Blowfish wählen.

Zwei Benutzeroberflächen für WinSCP stehen zur Auswahl:

• Die erste (und vom Autor präferierte) ist ähnlich wie WS_FTP (oder der Norton Commander) gestaltet. Links wird das aktuelle Verzeichnis Ihres lokalen PCs angezeigt, rechts das aktuelle Verzeichnis des Remote-Servers.

• Die andere Benutzeroberfläche ist dem Windows Explorer nachempfunden und ähnlich zu bedienen.

• Beide Oberflächen unterstützen Transfers per Drag & Drop.

Weitere Informationen zu WinSCP finden Sie unter dem URL http://winscp.vse.cz/eng/.

Downloadquellen von WinSCP:

Sie finden WinSCP auf unseren NetWare-Servern in Eichstätt und Ingolstadt im Verzeichnis I:\ARCHIV\Winnt\WinSCP unter dem Namen WinSCP2.exe (aktuelle Version: WinSCP 2.0 Beta) bzw. im Internet zum Download unter http://winscp.vse.cz/eng/ (WinSCP 2.0 beta application anklicken).

Installation von WinSCP:

• Die Installation von WinSCP ist denkbar einfach: Sie müssen lediglich die Datei WinSCP2.exe in ein passendes lokales Verzeichnis, z.B. nach C:\WinSCP kopieren.

• Um WinSCP bequem aufrufen zu können, legen Sie anschließend eine Verknüpfung zu dieser Datei auf dem Desktop an. Dazu ziehen Sie die Datei aus einem Windows-Explorer-Fenster mit gedrückter linker Maustaste heraus auf den Desktop. Aus kosmetischen Gründen sollten Sie danach über das Kontextmenü mit der rechten Maustaste das entstandene Desktop-Icon in WinSCP 2.0 beta umbenennen. Fertig!

Konfiguration von WinSCP

• Starten Sie WinSCP durch Doppelklick auf das Icon. Das Fenster WinSCP Login mit den Registern Basic, Advanced, Directories, Shell, Logging, Interface sowie Stored sessions erscheint. Nun können Sie mit den folgenden Schritten eine WinSCP-Session anlegen:

• Im Register Basic tragen Sie bitte folgendes ein:

  • Host name: <Name des Remote-Servers>
  • Port number: 22
  • User name: <Ihre Kennung>
  • Password: <leer lassen>
  • Private key file: <leer lassen>

• Gehen Sie nun in das Register Advanced und wählen folgende Optionen aus:

  • Protocol options: Enable compression
  • Preferred SSH protocol version: 2
  • Encryption algorithm: 3DES oder Blowfish
  • Die restlichen Eintragungen lassen Sie, wie sie sind.

• Im Register Directories tragen Sie nun die Verzeichnisse Ihres lokalen Rechners sowie des Zielrechners ein, von und zu denen Sie in der Regel Dateien übertragen. Zur Pflege der WWW-Seiten des Rechenzentrums wären beispielsweise folgende Eintragungen sinnvoll:

  • Remote directory (right panel) /usr/local/WWW/docs/urz/, dies entspricht dem Verzeichnis auf dem WWW-Server, das über den URL http://www.ku-eichstaett.de/urz/ erreichbar ist. Wenn Sie also nicht genau wissen, wie das von Ihnen zu pflegende remote directory lautet, nehmen Sie einfach den URL Ihres WWW-Verzeichnisses und ersetzen darin die Zeichenkette http://www.ku-eichstaett.de/ durch /usr/local/WWW/docs/.
  • Local directory (left panel): C:\WWW-Dateien (Verzeichnis vorher einrichten!)

• Im Register Shell können i.d.R. die Voreinstellungen verwendet werden.

• Das Register Logging bleibt ebenfalls unverändert, nur bei Verbindungsproblemen können Sie die Auswahlbox Enable Logging aktivieren und mit Hilfe des Logfiles Ursachenforschung betreiben.

• Im Register Interface könnnen Sie zwischen Norton Commander und Explorer-like wählen. Wenn Sie WS_FTP gewohnt sind, empfehle ich Ihnen die erstere Einstellung. Klicken Sie nun Preferences an. Ein Fenster mit den Registern Preferences und Commander öffnet sich:

  

  • Im Register Preferences deaktivieren Sie bitte die Box Copy files using double-click, damit Sie nicht aus Versehen Dateien übertragen. Die restlichen Einstellungen können Sie belassen.
  • Im Register Commander sollte die Option Delete local files to recycle bin angekreuzt bleiben. Bestätigen Sie mit OK.

• Zum Schluss speichern Sie im Register Stored sessions durch Anklicken von Save... (wenn gewünscht können Sie den Namen der Session unter Save session as: noch abändern) und OK die Zugangsdaten ab.

  

• Wenn Sie weitere WinSCP-Sessions (Zugang zu weiteren Servern) einrichten wollen, müssen Sie einfach die obigen Schritte wiederholen. Lediglich beim Abspeichern sollten Sie darauf achten, dass Sie die zusätzliche Session anders als Ihre bisher abgespeicherten benennen.

• Sie können nun mit close WinSCP verlassen oder im nächsten Abschnitt unter Login fortfahren.

Aufbau der Verbindung zwischen lokalem PC und Server

• Falls noch nicht geschehen, starten Sie bitte WinSCP durch Doppelklicken des Desktop-Icons.
• Markieren Sie im Register Stored sessions Ihre Wunsch-Session und klicken Sie auf Load. Ihre im vorigen Abschnitt erzeugte Konfiguraton wird geladen.

• Im Register Basic klicken Sie anschließend auf Login.
• Falls Sie sich zum ersten Mal mit diesem Server verbinden, erscheint nun ein Warnungs-Fenster, in dem Sie darauf hingewiesen werden, dass Sie mit einem Server Verbindung aufnehmen, dessen Identität Sie bisher noch nicht überprüft haben.

  • Um festzustellen, ob der Server am anderen Ende des Übertragungswegs wirklich der gewünschte ist, müssen Sie unbedingt den im Warnfenster angegebenen Fingerprint mit den am Ende dieses Beitrags und auf den WWW-Seiten des URZ unter http://www.ku-eichstaett.de/urz/fingerprints.html bekannt gegebenen echten Fingerprints vergleichen.
  • Falls beide übereinstimmen, können Sie mit Yes den Schlüssel als gültig akzeptieren und fortfahren.
  • Andernfalls sind Sie u.U. mit dem Server eines Hackers verbunden! Dann sollten Sie die Verbindung mit Cancel abbrechen und sich unbedingt sofort mit dem Universitätsrechenzentrum (Ansprechpartner s.u.) in Verbindung setzen!
  • Wenn Sie keine Überprüfungsmöglichkeit haben, können Sie den Schlüssel für dieses eine Mal akzeptieren und auf eigenes Risiko durch Anklicken von No mit dem Login fortfahren. Sie bauen dann aber eine verschlüsselte Verbindung zu einem Server auf, dessen Identität sie nicht überprüft haben! Beim nächsten Mal werden Sie daher wieder zur Überprüfung aufgefordert.
• Als nächstes werden Sie im Fenster Enter password zur Eingabe Ihres Passworts aufgefordert, das Sie anschließend mit OK bestätigen müssen. Damit ist selbstverständlich nicht Ihr Novell-Passwort gemeint, sondern das (hoffentlich) völlig andere Passwort, welches Sie für Ihre Kennung auf dem entsprechenden Unix-Server ausgewählt haben!

Filetransfer zwischen lokalem PC und Server

• Zum Kopieren müssen Sie lediglich Quelldatei oder Quellordner mit der Maus markieren. Anschließend drücken Sie in der Kommandoleiste unten auf F5 Copy. Diese Art des Kopierens funktioniert in beide Richtungen.

• Beim allerersten Kopiervorgang vom PC zum Server sollten Sie unbedingt auf More drücken,

  damit Sie für alle zukünftigen Dateiübertragungen die geeigneten Voreinstellungen (siehe nächstes Bild) vornehmen können. Wichtig sind vor allem:

  • Zugriffsrechte der Dateien: Auf dem WWW-Server: ''Alle'' sollen die Dateien lesen können, aber nur der Eigentümer soll sie beschreiben dürfen.
    Auf dem Computeserver wären dieselben Eigenschaften aber nicht erwünscht! Oder haben Sie Interesse daran, dass ''jeder'' Ihre geheimen Forschungsarbeiten lesen und kopieren darf?
  • richtige Wahl der Übertragungsmodi: Wählen Sie: Transfer mode: Automatic. Bei dieser Einstellung werden alle Dateien im Binärmodus übertragen außer den im darunter liegenden Eingabefeld angegebenen Dateitypen. Die voreingestellten Werte sind i.d.R. ausreichend, können aber modifiziert werden.
  • Klicken Sie nun noch Use the same settings next time an, um diese Voreinstellungen permanent zu machen. Mit Copy startet der Kopiervorgang. Fertig!
• Zukünftige Kopiervorgänge können Sie analog durchführen, Sie können aber auch per Drag & Drop Dateien oder Verzeichnisse vom Server auf Ihren PC oder umgekehrt kopieren. Sie müssen das zu kopierende Verzeichnis mit der linken Maustaste anklicken und mit gedrückter Maustaste ins andere Fenster schieben (z.B.: Kopieren des Ordners faq vom WWW-Server auf den lokalen PC).

• Nachteil bei der Drag & Drop-Methode ist jedoch, dass bei dieser Kopiermethode die oben beschriebene Änderung der Zugriffsrechte nicht als Option zur Verfügung steht! Wenn Sie die Dateirechte bereits zuvor richtig voreingestellt haben, benötigen Sie diese Option auch nur selten. Außerdem können Sie notfalls die Zugriffsrechte all Ihrer auf dem Server abgelegten Dateien jederzeit mittels F9-Properties nachbearbeiten.

Weitere Features von WinSCP

• Mit der Option F6 Move können Sie völlig analog zu F5 Copy Dateien zwischen PC und Server verschieben.
• Mit der Option F7 Create directory können Sie auf dem Client oder dem Server neue Verzeichnisse anlegen.
• Mit F2 Rename können Sie eine markierte Datei/Verzeichnis umbenennen.
• Mit F8 Delete können Sie markierte Dateien/Verzeichnisse samt Inhalt löschen.
• Die dem Windows Explorer nachempfundene Oberfläche lässt sich intuitiv per Drag & Drop bedienen, die Änderung der Zugriffsrechte steht aber beim Kopiervorgang leider nicht als Option zur Verfügung.

Beenden einer Session und Beenden von WinSCP

• Mit F10 Disconnect und OK beenden Sie Ihre aktive Verbindung und verlassen WinSCP.

Fazit: WinSCP ist eine leistungsstarke und sichere Filetransfer-Client-Software, die WS_FTP vollwertig ersetzen kann. Damit kann in naher Zukunft auf den Servern der Katholischen Universität Eichstätt-Ingolstadt der Zugang über das unsichere FTP-Protokoll gänzlich gesperrt werden, ohne Sie, liebe Benutzer, im Komfort einzuschränken.

Nutzung von WinSCP in den Computerpools in Eichstätt und Ingolstadt:

In den Computer-Pools in Eichstätt und Ingolstadt wird WinSCP in Kürze installiert; Sie können es aber schon jetzt verwenden, indem Sie es im Windows Explorer als I:\ARCHIV\Winnt\WinSCP\WinSCP2.exe starten.

Fingerprints wichtiger Server der Katholischen Universität Eichstätt-Ingolstadt:

Ein kleiner Wermutstropfen bei WinSCP ist die Tatsache, dass es die Fingerprints in Hexadezimaldarstellung angibt. Die führende Zahl 1024 bedeutet, dass es sich um einen 1024-Bit-Schlüssel handelt.

• WWW-Server: www.ku-eichstaett.de
  Fingerprint: 1024 6d:42:a5:86:a0:92:98:a2:68:13:0b:1d:7f:25:cd:5d
  Achtung! Neuer Fingerprint wegen Hardware-Wechsel
• Computeserver: compute.ku-eichstaett.de
  Fingerprint: 1024 43:d4:d1:66:00:a3:e6:54:7b:e7:7e:bb:27:41:97:95
• Mailserver: mail.ku-eichstaett.de
  Fingerprint: 1024 87:70:ca:69:93:f1:d2:da:08:9d:5a:96:14:8c:ab:b7

Literatur:

Ausführliche Informationen zu WinSCP finden Sie unter folgendem URL: http://winscp.vse.cz/eng/ (Homepage von WinSCP)