Brother Netzwerkscanner - Scan via SFTP

[123michi19]

Guten Abend,

ich bin langsam am Verzweifeln und die Google Suchergebnisse kenne ich mittlerweile auswendig.
Zum Problem:
Ich besitze einen Brother ADS-2800W und möchte per SFTP an HiDrive von Strato scannen.

Öffentlicher Schlüssel wurde am Mac Terminal erzeugt mil dem Kommando: ssh-keygen -t rsa -b 4096 und eingespielt.
Passwort habe ich mehrfach getestet, ist korrekt.

Als Gegencheck habe ich den Login über FileZilla versucht, hat beim ersten Versuch geklappt.

Fällt Euch noch eine Lösung ein?

Vielen Dank, Michael
-------
Anbei die Fehlermeldung und meine Einstellungen (Benutzername stehen anstatt der Sterne vier Zahlen).

 

[Mickey Mouse]

vorneweg: ich habe keine Ahnung von Strato!
verwechselst du "Passwort/Kennwort" (für login mit User/Password) und "Passphrase" für den private Key bei PKI?
oben in dem Bild hast du "normales" Login ausgewählt und nicht PKI und bräuchtest das Key-Paar doch gar nicht?!?
wenn du den private key mit einer passphrase versehen hast, dann klappt das i.d.R. nicht bei solchen "automatischen" Dingen, da müsstest du dann noch den ssh-agent mit entsprechend langen timeouts nutzen. Ich bin mir gar nicht sicher, ob das überhaupt klappt.

so wie ich das "Bild" oben verstehe, gibst du dort den öffentlichen Key des SERVERS an, mit dem die Daten vor dem Hochladen verschlüsselt werden, das ist NICHT DEIN key. Wie gesagt, da brauchst du gar keine eigenen Keys.

 

[BFF]

Wenn ich mir die Anleitung fuer SFTP bei Strato ansehe

https://www.strato.de/faq/cloud-speicher/wie-nutze-ich-den-strato-hidrive-ftp-sftp-zugang/

erfolgt wohl die Anmeldung per Benutzername/Passwort und die Verschluesselung mit dem Serverzertifikat (was man abnicken muss wenn man z.B. FileZilla nimmt) muss.

Waere jetzt die FRage ob der Drucker das Zertifikat "abnicken" kann, es irgendwie importiert werden kann usw.

@123michi19
Warum reichst Du das nicht an den Strato-Support weiter?

BFF

 

[Mickey Mouse]

das Bild oben kommt doch (zumindest indirekt) von einem "Drucker-Test"?
da ist ja die Drop-Down Box mit der Pub-Key Auswahl "publickey.pub" zu sehen, darüber wird das (vermutlich) auch "abgenickt", wozu sollte es sonst da sein?

meine Vermutung (nach der ssh-keygen Geschichte) ist, dass hier ganz einfach der falsche Key verwendet wird. Es muss eben nicht der eigene, selbst erstellte sein (der wird hier wie gesagt gar nicht benötigt), sondern der vom Server.

oder ist mit "einspielen" gemeint, dass man erst den eigenen privaten key zum Server hochlädt und dann den dazu gehörigen public key nutzt, der damit zum "Public Server Key" wird?!?

 

[123michi19]

@Mickey Mouse: Vielen Dank für die Antwort (und auch an die anderen für die Hilfe).

gibst du dort den öffentlichen Key des SERVERS an

Da stellt sich mir die Frage wie ich an diesen öffentlichen Key von HiDrive, bzw. Strato komme?

Das Problem habe ich sowohl an die Expertenhotline von Strato als auch an Brother weitergeleitet. Strato weiß keine Lösung und Brother reicht es von einer Instanz zur nächst höheren weiter

Hatte auch versucht über das Mac-Terminal einen private und public Key zu generieren, den private Key in ein Verzeichnis abzulegen und den public Key auf dem Scanner hinterlegt. Leider auch erfolglos.

 

[123michi19]

Ich habe noch was gefunden. STRATO schreibt auf einer seiner Seiten ganz unten öffentliche Keys.
Wie bekomme ich diese Keys in eine gültige .pub - Datei zum Upload an den Scanner?

HiDrive Public Keys

Algorithmus	Public Key
DSA1024	MD5:ff:b4:b9:d9:45:88:77:9e:0e:ca:bb:cc:cb:b0:32:fb
DSA1024	SHA256zyN6BqDI3TMaOqhujNaUXLCImMps7c3Kh6EdMw9Ky0
ECDSA256	MD5:86:19:6b:08:be:38:41:f9:de:0e:59:40:c7:bc:28:9b
ECDSA256	SHA256:nMzqtMicxgSJMPkDASkKzWebzGNnT200ipaAxwER03k
ECDSA384	MD5:f7:87:6d:19:a1:1a:1c:87:26:15:6e:ac:9d:43:93:38
ECDSA384	SHA256:/1JwbRlNG+5+qUC/GYDoh6DbLH+7qr4WnbmsL9W8oXc
ECDSA521	MD5:b5:d8:3e:eb:f0:d4:93:e4:92:76:99:90:fc:8f:b9:2e
ECDSA521	SHA256:ZHIGecNpRMQzdO5gDnO2FPM3YM9H+PAkPFn/+28nnKc
ED25519	MD5:bb:67:bc:c8:ba:80:ba:a3:04:b3:f6:7c:82:82:7d:2a
ED25519	SHA256:RZwN5ypH59Jssd3qVhuAnCn3fEtveYCrF24igD8QDBs
RSA1024	MD5:2a:7d:3a:04:bd:df:02:7f:05:4b:ea:8b:32:00:47:91
RSA1024	SHA256:FEq+NKLciheDUUoeKGUxofLtx59sHMdxNai/I2zwBOk

 

[Mickey Mouse]

das sind die Fingerprints, um zu überprüfen, ob du den richtigen public key hast...

woher kommt denn der screenshot (oben mit Profil 2)???
das ist etwas verwirrend, warum wird da nach einem public key gefragt, wenn oben password login ausgewählt ist?

 

[123michi19]

Der Screenshot ist aus der Benutzeroberfläche des Netzwerkscanners.

Ergänzung (10. März 2020)

Hinterlege ich keinen Schlüssel kommt folgende Fehlermeldung:

 

[madmax2010]

Brudi..
https://www.computerbase.de/forum/threads/public-key-in-datei-speichern.1929467/

Dein ernst?

 

[123michi19]

Verzweiflungstat, sorry

 

[madmax2010]

das sind die Fingerprints, um zu überprüfen, ob du den richtigen public key hast...

woher kommt denn der screenshot (oben mit Profil 2)???
das ist etwas verwirrend, warum wird da nach einem public key gefragt, wenn oben password login ausgewählt ist?

Nicht ganz. Das sind Checksummen / Hashes welche mathematisch nicht umkehrbar & Kollisionsresistent sind. Bei vielen Fingerprint Algorithmen ist das nicht der Fall


@123michi19 pack halt einfach alle infos zusammen in einen Thread und nicht gestueckelt ueber mehrere verteilt. Dann wird dir schon geholfen

 

[Mickey Mouse]

Nicht ganz. Das sind Checksummen / Hashes welche mathematisch nicht umkehrbar & Kollisionsresistent sind. Bei vielen Fingerprint Algorithmen ist das nicht der Fall

wird aber "landläufig" so genannt
guckst du z.B. bei Wikipedia: Public Key Fingerprint

konstruktiverer Beitrag:
ssh-keyscan

ssh-keyscan -t dsa sftp.hidrive.strato.com > strato_dsa.pub

ssh-keyscan -t dsa sftp.hidrive.strato.com # sftp.hidrive.strato.com:22 SSH-2.0-OpenSSH-7.5p1 sftp.hidrive.strato.com ssh-dss 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

vergessen:
ssh-keygen -l -f strato_dsa.pub 1024 SHA256:PzyN6BqDI3TMaOqhujNaUXLCImMps7c3Kh6EdMw9Ky0 sftp.hidrive.strato.com (DSA)

 

[h00bi]

Stimmt der Zielordner so?
Du loggst dich ja mit disk-***** ein, dann solltest du mit diesem Login auch dort landen und nicht 2 Ebenen höher dass du erst /users/disk-**** angeben musst.

Ansonsten kann ich dir nur - so blöd das klingt - dazu raten das ganze mal aus einem völlig anderen Netzwerk zu testen. Ich bin an dem ADS-3600W fast verzweifelt:
https://www.computerbase.de/forum/t...r-kommt-nach-2-min-nicht-mehr-online.1894896/

 

[123michi19]

Vielen Dank Euch für die Antworten.
Mittlerweile habe ich Rückmeldung von Brother - es scheint mit HiDrive nicht zu funktionieren, eine richtige Lösung haben sie nicht parat.

Ich bin jetzt auf ein NAS-System (WD My Cloud EX2 Ultra) umgestiegen. Das Scannen via FTP funktioniert problemlos. Dazu hätte ich zwei Fragen:
1) Wie sicher ist Eurer Einschätzung nach das Scannen via FTP an das NAS-System im Heimnetzwerk?
2) Was ist Eurer Meinung nach die sicherste Variante zur Übertragung (Möglichkeiten im angehängten Bild), vielen Dank.

 

[t-6]

1) Wie sicher ist Eurer Einschätzung nach das Scannen via FTP an das NAS-System im Heimnetzwerk?

Sicher genug. Ist zwar unverschlüsselt (daher nix für Übertragung übers Internet), aber wir befinden uns hier in einem flachen Heimnetz.
Wobei du hier auch einfach SMB nutzen kannst und nicht extra FTP hernehmen musst.

 

[Mickey Mouse]

es ist halt die Frage, was du genau erreichen möchtest?!?
bei "nackten" ftp werden die Daten (inkl. login/password!) unverschlüsselt übertragen, prinzipiell nicht gut...

wobei ich das alles "etwas anders" einschätze, als viele "Experten" die sich hier üblicherweise tummeln und bei unverschlüsselt, ftp, telnet usw. sofort aufschreien
I.d.R. handelt es sich ja um ein geswitchtes Netzwerk. Ohne weitere Tricks, die normalerweise physikalische Umbauten erfordern, kommst du ja so einfach gar nicht an die Datenpakete ran, die für einen anderen Adressaten bestimmt sind und somit an einem anderen Switch Port landen. D.h. die laufen unverschlüsselt zwischen Scanner und NAS durch die Patchkabel und den Switch, aber dein PC "sieht" die gar nicht. Selbst wenn darauf jemand einen Sniffer installieren würde, könnte er die Daten gar nicht abgreifen.

Es sei denn es handelt sich um Broadcasts und da sind wir bei der obersten Einstellung: DHCP!
die ist viel kritischer als unverschlüsselte Passworte (an die man eben gar nicht so leicht ran kommt, s.o.).
darüber könnte nämlich jeder, der es irgendwie schafft einen DHCP Server in deinem Netz zu installieren (das muss ja nicht "physikalisch" sein, es reicht ja eine Software auf einem x-beliebigen Gerät), der schneller antwortet als der echte, dem Scanner ein gefaktes Netzwerk Profil unterjubeln. DNS Antworten entsprechend modifizieren und schon sendet der die Daten "freiwillig" an einen beliebigen Server, sogar außerhalb deines Netzwerkes.

 

[123michi19]

Vielen Dank Euch beiden.
@Mickey Mouse: Das ist ein interessanter Ansatz mit DHCP und lasse ich mir mal durch den Kopf gehen.

VG Michael

 

[Raijin]

Unverschlüsseltes FTP ist im Heimnetz kein allzu großes Problem. Um dort anzugreifen, muss sich der Eindringling bereits im Netzwerk befinden und dann kann er sowieso beliebig viel Unfug treiben...

Bei nacktem FTP muss man nur beachten, dass man es auf keinen Fall über Portweiterleitungen aus dem Internet erreichbar machen darf! Selbst der Login erfolgt nämlich unverschlüsselt und in Klartext. Nutzt man FTP nur lokal im Heimnetzwerk und nur für den Scanner, ist es halb so wild. Das komplette NAS würde ich aber nicht mit FTP bedienen, sondern wirklich nur den Scan-Ordner.

 

[Mickey Mouse]

bei IT Sicherheit ist es halt wie bei einer "stinknormalen" Kette auch: ausschließlich das schwächste Glied bestimmt die Gesamtbelastbarkeit!
ein 32 stelliges Passwort aus dem gesamten Zeichensatz nutzt gar nichts, wenn der Gast Account ohne PWD auch den Ordner lesen kann

 

[123michi19]

Guten Abend,
abschließend möchte ich Euch meine finale Lösung noch schildern. Habe an der Fritzbox einen NAS-Speicher eingerichtet und in der Benutzeroberfläche den Onlinespeicher zu HIDrive aktiviert. Scan erfolgt per FTP an den NAS-Speicher und wird dann auf den Webspeicher hochgeladen. Funktioniert ausgezeichnet
Vielen Dank für Eure Hilfe und einen schönen Abend,