Filetransfer-Clients Handbuch File Delivery Services

Transkript

1 Filetransfer-Clients Handbuch File Delivery Services

2 Herausgeber Post CH AG Informationstechnologie Webergutstrasse 12 CH-3030 Bern (Zollikofen) Kontakt Post CH AG Informationstechnologie Webergutstrasse 12 CH-3030 Bern (Zollikofen) IT261 FDS Betrieb Version 3.0 / Mai 2014 Download der aktuellen Version: Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 2/31

3 Inhaltsverzeichnis 1. Allgemeines Zweck Definitionen, Akronyme und Abkürzungen Namen, Preise, Versionen, etc FTP Kurzübersicht Aktives FTP Passives FTP (empfohlen!) Der FTP-Befehl : SITE Datenübertragungen in ASCII und/oder BINARY-Mode SFTP Einleitung Public-, und Private Key Erstellen eines SSH-Schlüssel-Paares mit PuTTY Erstellen eines SSH-Schlüssel-Paares mit OpenSSH Verbindung zu FDS Einleitung Test der Verbindung FileZilla Key Importieren mit FileZilla Automatisches Importieren mit PuTTY s Pageant Hinweise zu FileZilla CuteFTP Key Importieren mit CuteFTP WS_FTP Professional Key Importieren mit WS_FTP Professional WinSCP Key Importieren mit WinSCP Hinweise zu WinSCP Total Commander Microsoft Dos-Client Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 3/31

4 1. Allgemeines 1.1 Zweck FDS Kunden benutzen für den Transfer von Daten sehr unterschiedliche Software Clients und Skripte. Um der Flut von Clients entgegen zu wirken haben wir uns entschlossen, die meist benutzten zu testen und die wichtigsten (!) Funktionen zu beschreiben und den Einsatz und Support auf diese zu beschränken Definitionen, Akronyme und Abkürzungen Wort ftp ssh scp sftp PuTTY Definition File Transfer Protocol (engl. für Dateiübertragungsverfahren ) SSH oder Secure Shell bezeichnet sowohl ein Netzwerkprotokoll als auch entsprechende Programme, mit deren Hilfe man auf eine sichere Art und Weise eine verschlüsselte Netzwerkverbindung mit einem entfernten Computer herstellen kann. Secure Copy oder SCP ist ein Protokoll zur verschlüsselten Übertragung von Daten zwischen zwei Computern über ein Rechnernetz. SFTP oder SSH File Transfer Protocol ist eine Weiterentwicklung von SCP und erlaubt sichere Datenübertragung auf entfernte Systeme. PuTTY ist ein von Simon Tatham entwickelter freier SSH-Client für Microsoft Windows. 1.3 Namen, Preise, Versionen, etc. Software Preis Version* (5 2014) ftp sftp URL FileZilla (filezillaproject) gratis ja ja ( empfohlen ) CuteFTP Professional kostenpflichtig 9.0 ja ja (globalscape) WS_FTP Professional kostenpflichtig 12.4 ja ja (Ipswitch) WinSCP gratis ja Ja Total Commander gratis 8.50 ja nur mit Plugin *Obwohl vorherige und zukünftige Software Versionen wie auch andere sftp- und ftp-clients grundsätzlich mit FDS einwandfrei funktionieren sollten, kann Informationstechnologie Post bei Problemen nur beschränkt Unterstützung bieten. Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 4/31

5 2. FTP 2.1 Kurzübersicht Das FTP Protokoll stammt aus der Zeit, als es das Internet in der heutigen Form noch nicht gab. Zu dieser Zeit ging es um das Übertragen von Daten von einem Computer auf einen anderen. Dabei kam man noch ohne Virenscanner und Firewall aus. Daher mag es auch kommen, dass das ursprüngliche FTP Protokoll eine Besonderheit aufweist, mit der einige Firewalls nicht klarkommen. Um die typischen FTP Probleme zu beseitigen, wurde ein modifiziertes FTP Protokoll entwickelt, das "Passive FTP". Das Thema tritt vor allem im Zusammenhang mit Firewalls und Internet-Zugang auf. Klassischerweise benutzt der FTP-Dienst zwei statt einem Port: den Port 21 für die Steuerung (Control Port) und den Port 20 für die Daten (Data Port). Das Hauptproblem von FTP liegt aber bei der Sicherheit, da alles (inklusiv Benutzername und Passwort) im Klartext übermittelt wird. Deshalb darf FTP beim Austausch von sensiblen Daten nicht eingesetzt werden. Der FDS FTP Server unterstützt: Übertragungen von Dateien bis 10 Gigabytes Grösse. 30 gleichzeitige Verbindungen vom gleichen Account Account Sperrung für 30 Minuten nach 5 fehlerhaften Login Versuchen Änderung von Passwörter mittels SITE Befehl Der FDS FTP Server unterstützt nicht: Wiederaufnahme von Übermittlungen die Änderungen von Dateiattributen die Manipulation der Verzeichnisstruktur Aktives FTP Active FTP ist das originale FTP Protokoll. Es bekam den Namen "Active" erst, nachdem das "Passive FTP" entwickelt wurde. FTP ist ein auf TCP basierender Service und zeichnet sich durch eine Besonderheit aus: FTP verwendet zwei Ports! Der eine Port ist der "command" Port und der andere der "data" Port. Dabei wird Port 21 für die Steuerung (command) und der Port 20 für die Daten (data) verwendet. Möchte sich ein Client mit einem FTP Server verbinden, so öffnet der Client einen beliebigen unpriviligierten Port (= alle Ports >1024) zum "command" Port 21 des Servers und sendet diesem die Portnummer auf dem er die Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 5/31

6 Daten empfangen will. Dies ist in der Regel die Portnummer N+1. Beispiel: Client öffnet Port 1226 und sendet dem Server auf dessen Port 21 die Information "Ich erwarte Daten auf Port 1227". Der Server bestätigt den Empfang (acknowledge) und der Client öffnet den Port 1227 und lauscht (listening). Nun öffnet der Server seinen Daten Port 20 und sendet Daten zum Port 1227 des Clients. Der Client bestätigt den Empfang jedes TCP Packetes, ganz so, wie es sich gehört. Für eine Firewall sieht die Sache aber sehr suspekt aus. Firewalls blockieren jede Anfrage von aussen. Firewalls akzeptieren nur TCP Pakete von aussen, wenn diese vom empfangenden Port angefordert wurden. Aber bei FTP sieht das anders aus. Erstens hat sich plötzlich ein Port geöffnet (1227) der keine Anfrage gestellt hat und auch noch im "listening mode" ist, und dann sendet ein Port 20 Daten, die von diesem Port nicht angefordert wurden (die Anforderung stammte ja von Port 1226). In diesem Moment macht die Firewall die Klappe zu. Das ist das Problem, wenn man hinter einem Proxy oder einer Firewall sitzt. Gute Firewalls erkennen einen FTP Transfer und behindern diesen nicht. Bei Proxys treten da schon häufiger Probleme auf. Um diese Probleme zu umgehen wurde eine alternative Form des FTP Transfers entwickelt, das "Passive FTP" Passives FTP (empfohlen!) Dieser Mode wird auch PASV-Mode genannt, weil der FTP Befehl PASV dem Server mitteilt, das der passive Mode gewünscht ist. Im Gegensatz zum aktiven Mode eröffnet der Client beide Verbindungen zum Server. Damit wird das Firewall Problem gelöst, da damit die Firewall über beide clientseitige Verbindungen Kenntnis erhält. Der Ablauf einer solchen, passiven Verbindung, wird im Folgenden beschrieben. Wenn der Client eine Verbindung zu einem FTP Server wünscht, so öffnet er zwei unpriviligierte Ports > 1024, z.b. Port 1026 und Nun kontaktiert der erste Port den Server auf dessen "command" Port 21. Aber anstelle dem Server mit dem "Port" Kommando mitzuteilen auf welchem Port die Daten vom Daten Port 20 erwartet werden, sendet der Client den Befehl PASV. Der Server weiss nun nicht auf welchem Port der Client die Daten empfangen will, hat aber die Information, dass der Client eine passive Verbindung wünscht. Hier erklärt sich nun auch der Begriff "passive". Passive bedeutet aus der Sicht des Servers, dass er nicht aktiv anfangen kann auf den, vom Client geöffneten Port die Daten zu senden. Der Server sendet nun keine Daten über seinen Port 20, sondern öffnet seinerseits einen Port > 1024 und sendet die Portnummer mittels des FTP Befehls PORT an den Client. Nun kann der Client aktiv das Geschehen lenken. Er kennt den unpriviligierten Port, den der Server anstelle des Ports 20 für den Datenverkehr geöffnet hat und fordert nun von seinem Port 1027 (in unserm Beispiel) die Daten an. Die Firewall kann dies nicht in Verlegenheit bringen, da ein Datenverkehr erfolgt, der vom Client selbst über den Port 1027 gesteuert wird. Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 6/31

7 2.2 Der FTP-Befehl : SITE Mit dem SITE-Befehl (site parameters) kann der Server nicht im FTP Protokoll eingebettete Sonderdienste anbieten, dies wird z.b. für Passwortänderungen (cpwd) benötigt : Beispiel : site cpwd <neues-passwort> Je nach Client müssen Sie den Befehl folgendermassen eintippen: quote site cpwd <neues-passwort> ACHTUNG : Funktioniert nur mit ftp - nicht mit sftp!! 2.3 Datenübertragungen in ASCII und/oder BINARY-Mode Beim Filetransfer werden zwei Modi unterschieden: der ASCII-Mode für reine Text-Dateien und der Binary- Mode für alle anderen Dateien. ASCII BINARY Im ASCII-Mode wird die Zeilenstruktur des Quellrechners auf die Zeilenstruktur des Zielrechners umgesetzt, es kann eine Umcodierung stattfinden (z.b. EBCDIC --> ASCII). Im Binary-Mode wird die Datei byte-weise transferiert, was für Archiv-Dateien unbedingt erforderlich ist. Binärdateien müssen in diesem Modus transferiert werden, damit nicht versehentlich zufällige Bytekombinationen, die die zu konvertierenden Zeilenumbruch-Bytes darstellen (wie im ASCII-Mode), verändert werden und damit die Binärdatei im schlimmsten Fall unbrauchbar gemacht wird. Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 7/31

8 3. SFTP 3.1 Einleitung SFTP (SSH Secure File Transfer Protocol) ist ein Filetransferprotokoll und eine sichere Alternative für FTP. Zwischen Client und Server wird eine ununterbrochene, verschlüsselte Verbindung hergestellt, welche die Daten und Benutzernamen für einen Angreifer unlesbar machen. Mit der Public-Key-Authentifizierung ist die Integrität und Vertraulichkeit der ausgetauschten Daten gewährleistet. SSH garantiert das vollständige und unveränderte Übertragen der Daten vom Absender zum Empfänger. Achtung: SFTP ist nicht mit FTPS (FTP über SSL) oder mit FTP über SSH (manchmal Secure FTP genannt) zu verwechseln. Der FDS SFTP Server unterstützt: Version 2 SSH Version 3 SFTP Protokoll eingehende SCP Befehle mittels SSH/SCP Protokoll. Zur Beachtung: SCP unterstützt list, rename und delete nicht. Übertragungen von Dateien bis 10 Gigabytes Grösse. 30 gleichzeitige Verbindungen vom gleichen Account Account Sperrung für 30 Minuten nach 5 fehlerhaften Login Versuche Unterstützt sind Keys im openssh, ssh.com und PuTTY-Format Pro Account kann 1 oder mehrere Keys konfiguriert werden Der FDS SFTP Server unterstützt nicht: Version 1 SSH interaktive Shell-Sitzungen Wiederaufnahme von Übermittlungen Änderung von Passwörter die Änderungen von Dateiattributen die Manipulation der Verzeichnisstruktur 3.2 Public-, und Private Key Mit Hilfe eines Verschlüsselungssystems können Nachrichten in einem Netzwerk digital signiert und verschlüsselt werden und bei geeigneter Wahl der Parameter (z. B. der Schlüssellänge) nicht in kurzer Zeit geknackt werden. Ein asymmetrisches Kryptosystem ist eine Verschlüsselungsvariante, bei dem jede der kommunizierenden Parteien ein Schlüsselpaar besitzt. Dieses besteht aus einem geheimen Teil (private Key) und einem nicht geheimen Teil (public Key). Der öffentliche Schlüssel ermöglicht es jedem, Daten für den Inhaber des privaten Schlüssels zu verschlüsseln, dessen digitale Signaturen zu prüfen oder ihn zu authentifizieren. Der private Schlüssel ermöglicht es seinem Inhaber, mit dem öffentlichen Schlüssel verschlüsselte Daten zu entschlüsseln, digitale Signaturen zu erzeugen oder sich zu authentisieren. Für jede verschlüsselte Übermittlung benötigt der Sender allerdings den öffentlichen Schlüssel (Public-Key) des Empfängers. Dieser könnte z. B. per versendet oder von einer Web-Seite heruntergeladen werden. - Der PUBLIC-Key muss uns gemäss Anleitung des FDS-Handbuchs zugestellt werden und wird auf dem FDS-Server der Post gespeichert - Der Private-Key muss immer auf Ihrem PC bleiben und darf NIE weiter gegeben werden! - Das Schlüssel-Paar muss durch den FDS-Kunden generiert werden Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 8/31

9 - FDS unterstützt sowohl das RSA (Rivest-Shamir-Adleman) als auch das DSA ( Digital Signature Algorithm ) Kryptosystem - Die Länge des generierten Keys muss mindestens 2048 bits sein. HINWEIS : Damit der Private-Key vor unberechtigten Gebrauch geschützt wird, ist seine Generierung mit einer Passphrase empfohlen. Man muss aber beachten, dass je nach eingesetzter Software eine Automatisierung der Anmeldung dadurch erschwert werden kann Erstellen eines SSH-Schlüssel-Paares mit PuTTY PuTTY ist eine Open Source Software für Microsoft Windows. Sie kann unter heruntergeladen werden Neben einen SSH/SFTP-Client (putty.exe) gibt es mit PUTTYGEN die Möglichkeit, Schlüssel-Paare zu generieren PUTTYGEN starten Kontrolle ob SSH2 und mindestens 2048 (bits) angewählt ist, nachher : Generate anklicken 2048 Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 9/31

10 Maus-Cursor über die Fläche unter dem blauen Balken bewegen Wenn fertig, erscheint die Maske mit den Keys. Save public key anwählen 2048 Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 10/31

11 Dem Public Key einen sinnvollen Namen geben und speichern Save private key anwählen ACHTUNG : Der Private-Key muss immer auf Ihrem PC bleiben und darf NIE weiter gegeben werden! Damit der Private-Key vor unberechtigten Gebrauch geschützt wird, ist seine Generierung mit einem Passphrase empfohlen. Man muss aber beachten, dass je nach eingesetzte Software eine Automatisierung der Anmeldung dadurch erschwert werden kann. In diesem Beispiel wird ohne Passphrase weitergefahren 2048 Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 11/31

12 Dem Private Key einen sinnvollen Namen geben und speichern Erstellen eines SSH-Schlüssel-Paares mit OpenSSH OpenSSH steht als Programmpaket auf allen Unix-Plattformen zur Verfügung. Weitere Informationen über OpenSSH sind auf erhältlich. Das Schlüssel-Paar kann zum Beispiel mit dem folgenden Befehl generiert werden: ssh-keygen -b t rsa -f /tmp/demo_key -C "Kommentar fuer Demo Key" Hier ein Beispiel vom Private Key: # cat /tmp/demo_key -----BEGIN RSA PRIVATE KEY----- MIIJKAIBAAKCAgEAybf8vCaIZc8pSTgpbVUD3aBVC1AnKfBHIqGZA9E7w/TMcs9p meou4nfb9vhqbxptwlg/qftg6xrcxhlcjwfe3rv5eq3sbj3tvlqiz89sh/gg21si < --- SNIP --- > ACdBLStDxIURm03gmMcBhKHDq4owQlDyESva0LWhIaxFwHpzamOAbPYVqBMbqT38 Bc1eGl0EE4d3yyWoMLOpwbsbhbmjSUjVV4JeDpNciqADBK5mQ3HNGNyKNqQ= -----END RSA PRIVATE KEY----- Hier ein Beispiel vom Public Key (dieser wird automatisch mit dem Suffix.pub generiert): # cat /tmp/demo_key.pub ssh-rsa AAAAB3NzaC1yc2EAAAADAQABA < --- SNIP --- > 6mEO5Gh28Vw== Kommentar fuer Demo Key Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 12/31

13 4. Verbindung zu FDS 4.1 Einleitung Die FDS-Benutzer dürfen den Filetransfer-Client ihrer Wahl einsetzen. Bei Problemen mit Versionen/Softwares, die in diesem Dokument nicht aufgeführt sind, sowie bei der Implementierung von Filetransfer-Lösungen kann Informationstechnologie Post nur beschränkt Unterstützung bieten. Der FDS-Server ist über die Adresse fds.post.ch (Internet), fdsp.post.ch (Mietleitungen/IPSS) oder fds.pnet.ch (Postnetz/DMZ der Post) erreichbar. Die FDS Protokolle laufen auf die Standard-Ports (21 für FTP und 22 für SFTP). Der Benutzername sowie Details über Verzeichnisnamen, Dateinamen, Übermittlungszeiten, usw. wird im Rahmen der Service Bestellung kommuniziert. Die geplanten Wartungsfenster werden auf publiziert. 4.2 Test der Verbindung Die Verbindung zu FDS kann mittels telnet überprüft werden: # telnet fds.post.ch 22 Trying fds.post.ch... Connected to fds.post.ch. Escape character is '^]'. SSH-2.0-SFTP Server # telnet fds.post.ch 21 Trying fds.post.ch... Connected to fds.post.ch. Escape character is '^]' Welcome to Swiss Post FDS FTP Server 220 Server ready for new user. Falls der FDS Server nicht erreicht werden kann, muss überprüft werden, ob Ihr Firewall die Verbindung blockt. Damit Informationstechnologie Post effizient helfen kann, ist es wichtig, die benötigten Informationen bereitzustellen (Benutzername, Fehlermeldung, genaue Zeit des Versuches, File- und Verzeichnisnamen) Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 13/31

14 5. FileZilla 5.1 Key Importieren mit FileZilla Es können sowohl Keys in PUTTY- wie auch in OpenSSH-Format im FileZilla importiert werden. FileZilla starten 1) Bearbeiten 2) Einstellungen (Fenster geht auf) => SFTP => Schlüsseldatei hinzufügen (dann die korrekte Private-Key-Datei auswählen) Diese (gelbe) Zeile zeigt dass der Key erfolgreich importier wurde. Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 14/31

15 5.2 Automatisches Importieren mit PuTTY s Pageant Der Pageant (PuTTY authentication agent) ist ein SSH-Agent mit dem SSH-Authentifizierungen weitergereicht werden können. Pageant kann Schlüssel laden und lokalen Programmen auf Anfrage zur Verfügung stellen. Die Schnittstelle ist offen, so dass sich weitere Programme an diesen Service von Pageant anbinden können. Hinweis über PuTTY s Pageant im FileZilla Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 15/31

16 PAGEANT.EXE starten Pageant nistet sich im System-Tray rechts unten in der Schnellstart-Leiste ein und zeigt alle in Pageant gespeicherten Sessions an. Dieses Icon erscheint in der Task-Bar : Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 16/31

17 Doppelklick auf Hut im System-Tray : Nach dem öffnen erscheint das (noch) leere Pageant-Key-List Fenster : Mit Add Key den Private-Key auswählen und mit Öffnen bestätigen. Hier wird nur das PuTTY-Format akzeptiert. Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 17/31

18 Zeigt sich der Key wie folgendes Beispiel, wurde er korrekt geladen und ist nun im Memory des PCs. Aus dem Memory haben diverse SSH-Programme und vor allem FileZilla direkt Zugriff zum Key Hinweise zu FileZilla Die Post CH AG hat als eines seiner Schutzmechanism en auch ein IDS/IPS-System im Einsatz. Um nicht ausgesperrt zu werden empfehlen wir, die Anzahl gleichzeitiger Übertragungen auf eine oder maximal 3 zu begrenzen!!! Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 18/31

19 6. CuteFTP 6.1 Key Importieren mit CuteFTP => Tools => Global Options Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 19/31

20 Bei Security : SSH2 Security anwählen! Das : Use public key authentication - Feld aktivieren Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 20/31

21 Bei Public key path auf den Folder klicken : und den korrekten Key (.pub) auswählen. Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 21/31

22 Bei Private key path auf den Folder klicken : und den korrekten private Key (.ppk) auswählen. Hier die korrekt importierten Keys : und für automatisiertes Login ohne Passwort das : Use password authentication- Feld inaktiv setzen! Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 22/31

23 7. WS_FTP Professional 7.1 Key Importieren mit WS_FTP Professional => Options => SSH und => Client Keys anwählen Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 23/31

24 => Import => Public Key auswählen Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 24/31

25 => hier : MUSTER.pub : Auswählen und Öffnen => weiter Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 25/31

26 => Private Key auswählen => hier : MUSTER.ppk : Auswählen und Öffnen Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 26/31

27 => weiter. und : Fertig stellen Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 27/31

28 8. WinSCP 8.1 Key Importieren mit WinSCP 1) WinSCP starten 2) auf Session (Sitzung) klicken Öffnen Feld [ ] anklicken und den private Key auswählen! Die (gelbe) Zeile Privat Key File zeigt an, dass der Key erfolgreich importiert wurde und die Anmeldung am FDS-System funktioniert! Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 28/31

29 8.2 Hinweise zu WinSCP Sollten Sie Probleme mit Berechtigungen nach dem Übertragen der Dateien haben, so können Sie diese unter Preferences / Einstellungen und hier auch nochmals Preferences / Einstellungen Transfer / Übertragung beheben. => inaktivieren Sie die Set permission Option und aktivieren Sie die Ignore permissions errors Felder. Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 29/31

30 9. Total Commander Um ein einwandfreies Funktionierten des Total Commander s zu gewährleisten darf die Einstellung : Komprimieren während des Transfers nicht aktiv sein! Konfigurieren Einstellungen FTP Komprimieren während des Transfers inaktiv setzen und Einstellungen speichern! Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 30/31

31 10. Microsoft Dos-Client Natürlich kann auch ein ftp (kein sftp!) aus dem DOS-Fenster gemacht werden der Passive-Mode ist jedoch nicht implementiert! Filetransfer-Clients Handbuch Version 3.0 / Mai 2014 / Post CH AG 31/31