El documento describe cómo instalar y configurar un servicio FTP en Windows Server 2008. Incluye instrucciones para instalar los componentes adicionales de FTP, crear un sitio FTP anónimo y otro con autenticación básica, configurar el firewall para permitir el tráfico FTP, limitar los puertos FTP pasivos y agregar usuarios autorizados. También cubre los archivos de configuración de IIS necesarios para crear sitios FTP y problemas conocidos al instalar este servicio en Windows Server 2008.
TALLER DE DEMOCRACIA Y GOBIERNO ESCOLAR-COMPETENCIAS N°3.docx
Ftp
1. FTP – WINDOWS 2008 SERVER SP2
Servicio de Transferencia de Ficheros: FTP – Instalación del Servicio
El protocolo de transferencia de ficheros (FTP), es un estándar para el envío o recepción de
archivos entre clientes y servidores a través de la red.
Podemos integrar la administración de FTP en la nueva consola de IIS 7.0 pero exige la
instalación de elementos adicionales a los que vienen con el sistema operativo Windows
Server 2008.
Hay una diferencia importante con respecto a la administración de FTP en comparación con los
sitios web en IIS, no existe el concepto de encabezado de host FTP y por tanto para crear sitios
virtuales, únicamente se pueden combinar dos datos: dirección IP y puerto.
Teniendo en cuenta que el puerto suele ser el estándar (TCP/21) y que puede ser un
despilfarro utilizar múltiples IP para un solo servicio, debemos buscar alguna alternativa para
que cada usuario disponga de su propio FTP.
Mejoras con Respecto a IIS6
Nueva interfaz de administración y almacén de configuración.
Soporte FTP sobre SSL
Posibilidad de albergar contenido FTP y Web desde el mismo sitio con sólo añadir un
enlace a un sitio web existente FTP. Además, el servidor FTP tiene el respaldo al
nombre de host virtual, lo que permite albergar varios sitios FTP en la misma dirección
IP. Es posible aislar los usuarios a través de directorios virtuales por usuario.
El servidor admite la autenticación.
…
Instalación
a) Descargar el software adecuado para nuestro Servidor:
32-bits ¡Error! Referencia de hipervínculo no válida. para IIS 7.0 (x86)
b) Abrimos el paquete de instalación:
2. c) Aceptamos los términos de licencia
d) Opciones de Instalación:
Archivos comunes: esta opción incluye el archivo de esquema.
Servicio de Publicación FTP: esta opción incluye los componentes básicos del servicio
FTP.
Gestionado Support Código: componente opcional, para las características que utilizan
la autenticación de administrador IIS.
Características de administración: esta opción instala la interfaz de usuario FTP7.
4. Problemas conocidos de esta versión
Los siguientes problemas son conocidos en esta versión:
1.
Mientras que las características basadas en Web se pueden delegar a los administradores remotos y se añaden a los archivos web.config utilizando la
infraestructura de configuración de IIS, FTP características no pueden ser delegadas o almacenan en archivos web.config.
2.
El icono de un sitio Web / FTP combinada puede ser marcado con un signo de interrogación a pesar de que el sitio se ha iniciado en la actualidad con ningún
error. Esto ocurre cuando un sitio tiene una mezcla de HTTP / FTP enlaces.
3.
Después de añadir una publicación FTP a un sitio Web, haga clic nodo del sitio en la vista de árbol de la herramienta de administración de IIS no se muestren los
iconos de FTP. Para evitar este problema, utilice uno de los siguientes:
Pulse F5 para actualizar la herramienta de administración de IIS.
Haga clic en el nodo Sitios y, a continuación, haga doble clic en el nombre del sitio.
Cierre y vuelva a abrir la herramienta de administración de IIS.
Cuando se agrega un proveedor personalizado de los valores por defecto del sitio, que se muestra en cada sitio. Sin embargo, si se intenta eliminar o modificar la
configuración de un proveedor personalizado a nivel de sitio, IIS crea un <providers vacíos /> sección para el sitio, pero la configuración resultante para cada sitio no
cambia. Por ejemplo, si el proveedor personalizado está habilitado en los valores por defecto del sitio, no se puede deshabilitar en el nivel de sitio. Para evitar este problema,
abra el archivo applicationHost.config como administrador y añadir un elemento <clear/> a la lista de proveedores de autenticación personalizadas, el añadir manualmente el
proveedor personalizado para su configuración. Por ejemplo, para agregar el proveedor de autenticación personalizado Administrador de IIS, debe agregar la configuración
como el siguiente ejemplo:
<ftpServer>
<security>
<authentication>
<customAuthentication>
<providers>
<clear />
<add name="IisManagerAuth" enabled="true" />
</ Providers>
</ CustomAuthentication>
</ Authentication>
</ Seguridad>
</ FtpServer>
Los siguientes problemas son específicos de la versión IIS 7.0:
El servicio FTP que se incluye en el DVD de Windows 2008 Server no debe instalarse después de instalar el nuevo servicio FTP. El antiguo servicio FTP no detecta
que el nuevo servicio FTP se ha instalado y en funcionamiento dos servicios FTP al mismo puede causar conflictos en el puerto.
IIS 7 se puede desinstalar después de que se ha instalado el nuevo servicio FTP, y esto hará que el nuevo servicio FTP al fracaso. Si se vuelve a instalar IIS, se
crearán nuevas copias de los archivos de configuración de IIS y el nuevo servicio FTP se siguen fracasando porque la información de configuración para el nuevo
servicio FTP ya no está en los archivos de configuración de IIS. Para solucionar este problema, vuelva a ejecutar la instalación del nuevo servicio FTP y seleccione
"Reparar".
Servicio de Transferencia de Ficheros: FTP – Creación de una Conexión Anónima
a) Creamos la carpeta ftp en el lugar físico que nos dé la gana y establecemos los permisos de
usuario anónimo (IUSR).
b) Abrimos el Panel de IIS
c) Pulsamos sobre Sitio con Derecho y Agregar Sitio Web
5. d) Introducimos nombre representativo para el Sitio FTP e indicamos el directorio físico que
contiene la información.
6. e) Ahora se nos solicita la siguiente información:
Seleccionar IP para el sitio FTP: dirección o direcciones desde las que será accesible el
FTP, para realizar la prueba crear un sitio FTP con la IP asignada que nos ofrece el
desplegable y comprobar que desde nuestra IP externa no podemos conectarnos.
Introducir puerto TCP/IP el predeterminado para este Servicio 21
Habilitar el Nombre Virtual: será utilizado posteriormente y se puede editar desde la
opción de enlaces del Sitio FTP.
Permitir o No el SSL y requerirlo si lo consideramos necesario.
f) Seleccionamos anónimo en los parámetros de autenticación
g) En el campo Autorización seleccionamos Usuarios Anónimos
h) Y seleccionamos los permisos de los Usuarios.
Práctica: Crearnos una cuenta FTP Anónima con el Filezilla y comprobar que se listan los
objetos de la misma.
Nota1: Ver que permisos imperan en caso de contradicción entre el Usuario IUSR y los
seleccionados en esta cuenta, para luego comentarlo.
Nota2: Al realizar la conexión con el Filezilla debemos de seleccionar la opción de Modo Activo
para poder listar los contenidos del Directorio. Por defecto el Filezilla trabaja en Modo Pasivo y
vamos a tener que cambiar esta configuración.
7. Servicio de Transferencia de Ficheros: FTP – Firewall
Creo que ya viene por defecto pero en caso contrario habilitar Regla de Entrada para puerto
21.
Servicio de Transferencia de Ficheros: FTP – Modo (Activo – Pasivo)
Modo Activo:
En modo Activo, el servidor siempre crea el canal de datos en su puerto 20, mientras que en el
lado del cliente el canal de datos se asocia a un puerto aleatorio mayor que el 1024. Para ello,
el cliente manda un comando PORT al servidor por el canal de control indicándole ese número
de puerto, de manera que el servidor pueda abrirle una conexión de datos por donde se
transferirán los archivos y los listados, en el puerto especificado.
Problema: si el cliente se encuentra detrás de un cortafuegos la conexión no será posible y
fallará. Aquí es donde está el matiz entre un tipo de conexión y otro, en el modo activo es el
cliente el encargado de recibir el canal de datos en el puerto que el especifiqué y si hay un
Firewall actuando hay un alto porcentaje de fallo.
Modo Pasivo:
Cuando el cliente envía un comando PASV sobre el canal de control, el servidor FTP le indica
por el canal de control, el puerto (mayor a 1023 del servidor. Ejemplo:2040) al que debe
conectarse el cliente. El cliente inicia una conexión desde el puerto siguiente al puerto de
control (Ejemplo: 1036) hacia el puerto del servidor especificado anteriormente (Ejemplo:
2040).
Importante: en el modo pasivo todas las conexiones son del cliente al servidor, por lo que no
hay problemas con el cortafuegos en el lado del cliente, y es el modo más habitual de
funcionar. Será el Servidor el encargado de controlar el canal de datos por el que se va a
transmitir.
Problema: en el caso de las conexiones pasivas es el cortafuegos del servidor el que debe
permitir las conexiones externas a través de ciertos puertos a los que se pueden conectar los
clientes.
Nota: Antes de cada nueva transferencia tanto en el modo Activo como en el Pasivo, el cliente
debe enviar otra vez un comando de control (PORT o PASV, según el modo en el que se haya
conectado), y el servidor recibirá esa conexión de datos en un nuevo puerto aleatorio (si está
en modo pasivo) o por el puerto 20 (si está en modo activo).
Solución: Para configurar el FTP del Servidor aceptando el modo pasivo de funcionamiento de
los clientes FTP, existe una forma de limitar y restringir el rango de puertos en el FTP de IIS ya
que para la utilización de los clientes FTP podría ser cualquier puerto comprendido entre el
1024 y el 65535 y si los abrimos todos pues ya si eso quitamos el Firewall.
a) Seleccionamos la Raiz del Servidor
b) Entramos en Opción FTP Firewall Support
8. c) Indicamos rango de puertos de uso de FTP Pasivo. Ejemplo: 5000-5050.
Nota: ¿Por qué un Rango de puertos? Respuesta para dar flexibilidad al número de
conexiones.
La opción de IP External la usaríamos en caso que tuviéramos otro servidor haciendo de
Firewall.
d) Añadir estos ajustes al Firewall, como hacerlo 1 a 1 podría resultar un coñazo utilizamos la
siguiente instrucción.
FOR /L %I IN (5000,1,5050) DO
portopening TCP %I "FTP pasivo "%I
netsh
firewall
add
9. Es posible que el Servidor se quede flipado unos segundos y pasados estos la conexión
FTP sea satisfactoria.
Servicio de Transferencia de Ficheros: FTP – Agregar Otras Cuentas o Grupos
Vamos a realizar una adición de usuarios que se conectan a esta carpeta pública Ftp,
agregando al usuario Administrador con permisos de Lectura y Escritura.
a) En el Administrador de IIS seleccionamos el Sitio FTP creado y entramos en opción FTP
Authentication.
b) Cuando la página de autenticación de FTP se muestra, seleccionamos la Autenticación
Básica y la Habilitamos.
10. c) Volvemos a la raíz del Sitio FTP
d) Para que el administrador pueda entrar debemos añadir una regla de autorización.
Entramos en la opción reglas de autorización FTP.
e) Al entrar en la página Reglas de Autorización FTP, hacemos click en Agregar regla en Panel
de Acciones.
11. f) Elementos a completar:
Seleccionamos Usuarios Especificados (Administrator), me recuerdo a mi mismo que la
contraseña es la misma que suministró la Empresa STRATO para la conexión remota.
Asignamos Permisos (Lectura y Escritura)
Aceptamos
12. Práctica: llegado este punto solo tenemos que configurar otro acceso FTP a través de Filezilla y
darnos cuenta mediante pruebas que con el usuario Anónimo podemos descargar pero no
podemos subir nada y con el usuario Administrador podemos descargar y subir, eliminar,…
Servicio de Transferencia de Ficheros: FTP – Archivos de Configuración de IIS para la Creación
del Sitio FTP.
También puede crear sitios FTP para el nuevo servicio FTP mediante la edición de los archivos de configuración de IIS.
Nota: Editar el archivo ApplicationHost.config requiere permisos administrativos. Esto se logra mejor usando uno de dos métodos:
Ingrese a su ordenador utilizando la cuenta "administrador" local.
Si ha iniciado sesión con una cuenta con permisos administrativos que no es la cuenta local de "administrador", el Bloc de notas abierto utilizando la opción
"Ejecutar como Administrador".
Nota: Se requieren los pasos anteriores ya que el control de cuentas (UAC) componente de seguridad del usuario en los sistemas operativos Windows Server 2008 Windows
Vista y evitar el acceso a su archivo ApplicationHost.config. Para obtener más información acerca de UAC, consulte la siguiente documentación:
http://go.microsoft.com/fwlink/?LinkID=113664
Los pasos siguientes lo llevan a través de todos los ajustes necesarios para crear un nuevo sitio FTP desde el principio.
1.
Con un editor de texto como el Bloc de notas de Windows, abre el archivo ApplicationHost.config, que se encuentra en la carpeta% SystemRoot% System32
carpeta inetsrv configuración por defecto.
2.
Busque la sección <sites>. Este apartado contiene el sitio Web predeterminado y debe comenzar con algo como la siguiente:
<sites>
sitio> name="Default Web Site" id="1">
path="/"> <application
<virtualDirectory path="/" physicalPath="%SystemDrive%inetpubwwwroot" />
</ Application>
<bindings>
<Binding protocol="http" bindingInformation="*:80:" />
</ Bindings>
</ Web>
3.
Copie toda la sección para el sitio Web predeterminado y pegarlo en una nueva línea justo debajo del cierre </ site> tag.
4.
Cambiar la configuración del sitio para crear un sitio FTP único:
Modifique el nombre y atributos id para el nuevo sitio para contener respectivamente "Sitio FTP predeterminado" y "2".
Nota: Es posible que tenga que elegir un número diferente de "2" para el ID de sitio si cualquier sitio está utilizando el identificador sitio.
Cambie el valor del atributo protocolo sobre el elemento de unión a contener "ftp".
Cambie el atributo physicalPath a "% SystemDrive% inetpub ftproot".
Cambie el valor del puerto del atributo bindingInformation para contener "21".
Añadir una sección <ftpServer> bajo la etiqueta de fijaciones de cierre que contendrá la configuración de autenticación.
<ftpServer>
<security>
<authentication>
<anonymousAuthentication enabled="true" userName="IUSR" />
<basicAuthentication enabled="true" />
</ Authentication>
SSL> controlChannelPolicy="SslAllow" dataChannelPolicy="SslAllow" />
</ Seguridad>
</ FtpServer>
Nota: La configuración de autenticación para sitios FTP se configuran a nivel de sitio, a diferencia de la autenticación de sitios Web, que pueden ser configurados por URL.
Su sección <sites> ahora debería contener algo similar al siguiente ejemplo:
<sites>
sitio> name="Default Web Site" id="1">
path="/"> <application
<virtualDirectory path="/" physicalPath="%SystemDrive%inetpubwwwroot" />
</ Application>
<bindings>
<Binding protocol="http" bindingInformation="*:80:" />
</ Bindings>
</ Site>
sitio> name="Default FTP Site" id="2">
path="/"> <application
<virtualDirectory path="/" physicalPath="%SystemDrive%inetpubftproot" />
</ Application>
<bindings>
<Binding protocol="ftp" bindingInformation="*:21:" />
13. </ Bindings>
<ftpServer>
<security>
<authentication>
<anonymousAuthentication enabled="true" userName="IUSR" />
<basicAuthentication enabled="true" />
</ Authentication>
SSL> controlChannelPolicy="SslAllow" dataChannelPolicy="SslAllow" />
</ Seguridad>
</ FtpServer>
</ Site>
Desplácese hasta el final de su archivo ApplicationHost.config y añadir una sección ubicación para su sitio FTP predeterminado que contendrá la configuración
de autorización.
<ubicación path="Your FTP Site Name">
<system.ftpServer>
<security>
<authorization>
<add accessType="Allow" users="*" permissions="Read" />
<add accessType="Allow" users="administrator" permissions="Read, Write" />
</ Authorization>
</ Seguridad>
</ System.ftpServer>
</ Location>
Nota: En este ejemplo, los valores de autorización para sitios FTP están configurados por URL, y esta configuración permite específicamente permisos de lectura para todos
los usuarios, y lectura / escritura permisos para la cuenta del administrador.
Guarde el archivo ApplicationHost.config.
Ahora debería ser capaz de acceder a su sitio FTP recién creado usando un cliente FTP. Para utilizar Internet Explorer anónima en el servidor IIS, introduzca ftp://localhost en la
barra de dirección de Internet Explorer. Usted debe estar conectado y ver sus archivos de forma anónima, no se debería introducir las credenciales del usuario.
Práctica: Echarle un vistazo al archivo ApplicationHost.config de configuración implicado, ver
su dirección física y comentar su composición C:WindowsSystem32inetsrvconfig.
Servicio de Transferencia de Ficheros: FTP – Agregar una Publicación FTP a un Sitio Web
Existente:
Se permite la adición de publicación FTP a Sitios Webs Existentes
Esta posibilidad está pensada para la subida y modificación de los archivos de tu Sitio Web.
a) Abrimos el Administrador de IIS y expandimos el árbol de Sitios para seleccionar el Sitio Web
seleccionado para la publicación.
b) Pulsamos con botón derecho sobre el Sitio y pulsamos sobre Agregar Publicación FTP.
14. c) Las opciones de configuración son exactamente igual que en los pasos anteriores, excepto lo
que se describe a continuación.
d) En la pantalla de Autenticación y Autorización, seleccionamos:
Autenticación: Básica
Autorización: Specified roles or user groups Administrator o si tuvieramos un
Servicio de Hosting el usuario asociado al Sitio seleccionado.
Especificamos los permisos.
15. Nota: Para la realización de la prueba por Sitio si no se para automáticamente debemos de
parar el Sitio Público creado anteriormente ya que entra en conflictos de Puertos. Mencionar
que más adelante resolveremos estas posibles posibilidades.
SUPER-NOTA: Tanto en la Creación de un Sitio Web como en la Publicación de un Sitio Web la
Raiz del Sitio FTP es la raíz del documento físico.
Nota2: Comprobar que podemos realizar el acceso con otros usuarios creados. OK
Servicio de Transferencia de Ficheros: FTP – Archivos de Configuración de IIS para la
Publicación del Sitio FTP.
También puede agregar publicación FTP a un sitio web existente mediante la edición de los archivos de configuración de IIS.
Nota: Editar el archivo applicationHost.config requiere permisos administrativos. Esto se logra mejor usando uno de dos métodos:
Inicie sesión en su ordenador con la cuenta "administrador" local.
Si ha iniciado sesión con una cuenta con permisos administrativos que no es la cuenta local de "administrador", el Bloc de notas abierto utilizando la opción
"Ejecutar como Administrador".
Nota: Se requieren los pasos anteriores porque el control de cuentas (UAC) componente de seguridad de usuario en los sistemas operativos Windows Server 2008 Windows
Vista y evitar el acceso a su archivo applicationHost.config. Para obtener más información acerca de UAC, consulte la siguiente documentación:
http://go.microsoft.com/fwlink/?LinkID=113664
Los pasos siguientes le guiarán a través de todos los ajustes necesarios para agregar publicación FTP para el sitio Web predeterminado.
1.
Con un editor de texto como el Bloc de notas de Windows, abre el archivo applicationHost.config, que se encuentra en la carpeta% SystemRoot% System32
carpeta inetsrv configuración por defecto.
2.
Busque la sección de su sitio Web predeterminado. Esto debe ser similar al siguiente ejemplo:
16. sitio> name="Default Web Site" id="1">
path="/"> <application
<virtualDirectory path="/" physicalPath="%SystemDrive%inetpubwwwroot" />
</ Application>
<bindings>
<Binding protocol="http" bindingInformation="*:80:" />
</ Bindings>
</ Site>
3.
Crear un nuevo elemento obligatorio en la colección de enlaces, y establecer el valor del atributo de protocolo en el nuevo elemento de enlace para contener
"ftp", a continuación, cambiar el valor del puerto del atributo bindingInformation para contener "21".
Configuración de su sitio Web predeterminado ahora debe ser similar al siguiente ejemplo:
sitio> name="Default Web Site" id="1">
path="/"> <application
<virtualDirectory path="/" physicalPath="%SystemDrive%inetpubwwwroot" />
</ Application>
<bindings>
<Binding protocol="http" bindingInformation="*:80:" />
<Binding protocol="ftp" bindingInformation="*:21:" />
</ Bindings>
</ Site>
4.
Añadir una sección FtpServer bajo la etiqueta de fijaciones de cierre que contendrá la configuración de autenticación.
Nota: Las opciones de autenticación para sitios FTP se configuran a nivel de sitio, a diferencia de la autenticación de sitios web, que pueden ser configurados por URL.
<ftpServer>
<security>
<authentication>
<anonymousAuthentication enabled="false" />
<basicAuthentication enabled="true" />
</ Authentication>
<Ssl controlChannelPolicy = dataChannelPolicy "SslAllow" = "SslAllow" />
</ Seguridad>
</ FtpServer>
Su sección <sites> ahora debería contener algo como el siguiente ejemplo:
<sites>
sitio> name="Default Web Site" id="1">
path="/"> <application
<virtualDirectory path="/" physicalPath="%SystemDrive%inetpubwwwroot" />
</ Application>
<bindings>
<Binding protocol="http" bindingInformation="*:80:" />
<Binding protocol="ftp" bindingInformation="*:21:" />
</ Bindings>
<ftpServer>
<security>
<authentication>
<anonymousAuthentication enabled="false" />
<basicAuthentication enabled="true" />
</ Authentication>
<Ssl controlChannelPolicy = dataChannelPolicy "SslAllow" = "SslAllow" />
</ Seguridad>
</ FtpServer>
</ Site>
5.
Desplácese hasta el final de su archivo applicationHost.config y añadir una sección ubicación para el sitio Web predeterminado que contendrá la configuración
de autorización.
Nota: Como se muestra en este ejemplo, los valores de autorización para los sitios FTP están configurados por URL.
<ubicación path="Default Web sitio">
<system.ftpServer>
<security>
<authorization>
<add accessType="Allow" users="administrator" permissions="Read, Write" />
</ Authorization>
</ Seguridad>
17. </ System.ftpServer>
</ Location>
6.
Guarde el archivo applicationHost.config.
Servicio de Transferencia de Ficheros: FTP – FTP sobre SSL
FTPS:
TPS (comúnmente referido como FTP/SSL) es un nombre usado para abarcar un número de
formas en las cuales el software FTP puede realizar transferencias de ficheros seguras. Cada
forma conlleva el uso de una capa SSL/TLS (Seguridad para la Capa de Transporte) debajo del
protocolo estándar FTP para cifrar los canales de control y/o datos. No debería confundirse
con el protocolo de transferencia de ficheros SFTP, el cual suele ser usado con SSH.
El uso más común de FTP y SSL es:
AUTH TLS o FTPS Explicito, nombrado por el comando emitido para indicar que la
seguridad TLS es obligatoria. Este es el método preferido de acuerdo al RFC que define
FTP sobre TLS. El cliente se conecta al puerto 21 del servidor y comienza una sesión sin
cifrar FTP como normal, pero pide que la seguridad TLS sea usada y realiza la
negociación apropiada antes de enviar cualquier dato sensible. cualquier dato
sensible.
a) Nos situamos en la raíz del Servidor
b) Entramos en Certificados de Servidor
18. c) Creamos Certificado Autofirmado en el Panel de Acciones
d) Especificamos un Nombre para el Certificado “Mi Certificado FTP”, Aceptamos
19. e) Seleccionamos el Sitio FTP
f) Entramos en FTP SSL Settings
g) Seleccionamos el Certificado Creado anteriormente, seleccionamos Custom y pulsamos en
Avanced.
h) Configuración:
20. Control Channel: Seleccionamos Require only for credentials este ajuste requiere
que todos los nombres de usuarios y contraseñas estén cifradas mediante SSL.
Data Channel: Seleccionamos Permitir este ajuste permite al cliente elegir si desea
cifrar cualquier actividad del canal de datos.
Nota: para mí hay que ampliar esta información para una buena explicación.
ACCEDER A SU SITIO FTP
En el paso 1, que ha creado un sitio FTP que se puede acceder mediante la cuenta de administrador. En el paso 2, se ha configurado la política de SSL canal de control para
exigir que todas las credenciales de usuario se cifran tiempo que permite los clientes FTP para elegir o no el resto de canal de control y la actividad de los canales de datos se
cifren.
Al iniciar la sesión en el servidor FTP usando un cliente FTP con capacidad SSL, el servidor FTP soporta las siguientes opciones de seguridad explícitas:
TLS-C/TLS - Utilice TLS para la conexión con RFC2228 predeterminados. Esto significa que no hay protección implícita de la conexión de datos.
TLS-P/SSL - Utilice TLS para la conexión. Esto significa que la conexión de datos está protegido implícitamente.
Nota: para la prueba con el Filezilla debo seleccionar un cifrado FTP Explícito sobre TLS, este
tipo de cifrado usa el modo Pasivo por lo tanto debo de configurar el Servidor Ftp en Windows
2008 server para que actúe con el modo Pasivo.
Servicio de Transferencia de Ficheros: FTP – Aislamiento de Usuarios FTP
El aislamiento de usuarios FTP es una solución que permite a los proveedores de servicios de
Internet (ISP) y proveedores de servicios de aplicaciones ofrecer a sus clientes directorios FTP
individuales para cargar archivos y contenido Web. El aislamiento de usuarios FTP impide que
los usuarios vean o sobreescriban el contenido web de otros usuarios limitando a sus usuarios
a sus propios directorios. Los usuarios no pueden navegar al directorio superior ya que el
directorio de nivel superior del usuario aparece como raíz del servicio FTP. En el sitio específico
del usuario, el usuario aún tiene la capacidad de crear, modificar y eliminar archivos y
carpetas.
El aislamiento de usuarios FTP es una propiedad del Sitio, no del servidor. Es posible activarlo o
desactivarlo para cada Sitio FTP.
Nombre de
Descripción
21. elemento
No aislar usuarios. Los
Seleccione esta opción para especificar que no desea aislar a los usuarios.
usuarios comienzan en:
Todas las sesiones FTP empezarán en el directorio raíz del sitio FTP.
Directorio raíz de FTP
Precaución
Si un usuario de FTP dispone de permisos suficientes, puede tener acceso al contenido de cualquier otro
usuario de FTP.
No aislar usuarios. Los usuarios
comienzan en: Directorio de
nombres de usuario
Seleccione esta opción para especificar que no desea aislar a los usuarios.
Todas las sesiones FTP comenzarán en el directorio físico o virtual que tiene el mismo nombre que el usuario que ha iniciado sesión si existe la
carpeta; de lo contrario, la sesión FTP comenzará en el directorio raíz del sitio FTP.
Nota
Para especificar el directorio de inicio para el acceso anónimo, cree una carpeta de directorios físicos o virtuales denominada
predeterminada en el directorio raíz del sitio FTP.
Precaución
Si un usuario de FTP dispone de permisos suficientes, puede tener acceso al contenido de cualquier otro usuario de FTP.
Ejemplo: Directorio FTP con una carpeta para cada uno de los usuarios (pedro – juan)
a) Creamos en el interior del directorio FTP Base una carpeta con el nombre de cada uno de los
Usuarios.
b) Entramos en la opción de Aislar Usuarios y marcamos No aislar Usuarios. Los usuarios
comienzan en: Directorio de nombres de usuario.
c) Situarnos en la Raiz del Sitio FTP y agregar las Reglas de Autorización de Lectura y Escritura
para los 2 usuarios.
d) Agregar los Permisos de Acceso a la Carpeta sólo al usuario en cuestión:
Botón Derecho sobre el Directorio / Editar Permisos / Pestaña Seguridad
Añadir al Usuario ( En el ejemplo de clase esto mismo lo hacemos con el segundo
usuario y nos damos cuenta que podemos acceder igualmente a cualquiera de los
directorios), tenemos que quitar el Usuario del Sistema Users:
o
Si intentamos hacer esto de la forma usual el sistema no nos deja, debemos de
ir a las Opciones Avanzadas de Seguridad Desmarcamos la opción de Incluir
todos los Permisos Heredables Eliminamos los Usuarios Users de las
carpetas de los usuarios Volvemos a probar la conexión y todo como la
seda.
22. Nota: podemos realizar la misma operación creando un Directorio Virtual si no queremos
sentirnos en la obligación de nombrar los directorios de FTP con los mismos nombres que los
usuarios y conseguir una fase extra de ocultamiento:
a) Botón Derecho sobre el Sitio FTP Agregar Directorio Virtual…
b) Alias Mismo nombre que el Usuario
c) Seleccionar el Directorio Físico Asociado Como podemos ver este puede tener cualquier
nombre.
Aislar usuarios. Restringir usuarios al siguiente directorio: Directorio de nombres de usuario (deshabilitar los directorios virtuales globales
Seleccione esta opción para especificar que desea aislar las sesiones de usuario FTP en el directorio físico o virtual que tiene el mismo nombre que la
cuenta de usuario FTP. El usuario únicamente ve la ubicación raíz de FTP que le corresponde y no puede navegar al directorio superior.
Nota
Si desea crear directorios particulares para cada usuario, en primer lugar debe crear un directorio físico o virtual bajo la carpeta raíz del servidor FTP
que tiene el nombre del dominio o LocalUser para las cuentas de usuario local. A continuación, debe crear un directorio físico o virtual para cada
cuenta de usuario que tendrá acceso al sitio FTP. En la tabla siguiente se muestra la sintaxis del directorio particular para los proveedores de
autenticación que se incluyen con el servicio FTP:
Tipos de cuentas de usuario
Sintaxis del directorio particular
Usuarios anónimos
%%FtpRoot%LocalUserPublic
Cuentas de usuario de Windows local
%%FtpRoot%LocalUser%nombreDeUsuario%
(requiere autenticación básica)
Cuentas de dominio de Windows
%%FtpRoot%%UserDomain%%nombreDeUsuario%
(requiere autenticación básica)
Cuentas de usuario de autenticación personalizada de Administrador de IIS o ASP.NET
%%FtpRoot%LocalUser%nombreDeUsuario%
Nota
%%FtpRoot% es el directorio raíz del sitio FTP: por ejemplo, C:InetpubFtproot.
Importante
Se omiten los directorios virtuales globales. Ningún usuario FTP puede tener acceso a los directorios virtuales
configurados en el nivel de raíz del sitio FTP. Todos los directorios virtuales deben definirse explícitamente en la ruta de acceso del directorio
particular físico o virtual del usuario.
23. Nota Importante: para realizar el ejemplo debemos de crear la Carpeta LocalUser (para las
cuentas de usuario) o Domain (para utilizar como referencia el nombre dominio).
islar usuarios. Restringir usuarios al siguiente directorio: Directorio físico de nombres de usuario (habilitar los directorios virtuales
globales
Seleccione esta opción para especificar que desea aislar las sesiones de usuario FTP en el directorio físico que tiene el mismo nombre que la
cuenta de usuario FTP. El usuario únicamente ve la ubicación raíz de FTP que le corresponde y no puede navegar al directorio superior.
Nota
Si desea crear directorios particulares para cada usuario, en primer lugar debe crear un directorio físico bajo la
carpeta raíz del servidor FTP que tiene el nombre del dominio o LocalUser para las cuentas de usuario local. A
continuación, debe crear un directorio físico para cada cuenta de usuario que tendrá acceso al sitio FTP. En la
tabla siguiente se muestra la sintaxis del directorio particular para los proveedores de autenticación que se
incluyen con el servicio FTP:
Tipos de cuentas de usuario
Sintaxis del directorio particular
Usuarios anónimos
%%FtpRoot%LocalUserPublic
Cuentas de usuario de Windows local
(requiere autenticación básica)
%%FtpRoot%LocalUser%nombreDeUsuario%
Cuentas de dominio de Windows
(requiere autenticación básica)
%%FtpRoot%%UserDomain%%nombreDeUsuario%
Cuentas de usuario de autenticación personalizada
de Administrador de IIS o ASP.NET
%%FtpRoot%LocalUser%nombreDeUsuario%
Nota
%%FtpRoot% es el directorio raíz del sitio FTP; por ejemplo, C:InetpubFtproot.
Importante
Se habilitan los directorios virtuales globales. Todos los usuarios de FTP pueden tener acceso a todos los
directorios virtuales configurados en el nivel de raíz del sitio FTP, si esos usuarios disponen de permisos
suficientes.
Precaución
Cuando los directorios virtuales globales están habilitados, todos los usuarios FTP pueden tener acceso al
contenido de otros usuarios FTP si disponen de permisos suficientes.
Ejemplo2: Directorio FTP con una carpeta Publico en C: y dentro una llamada LocalUser y
dentro para cada uno de los usuarios (pedro – juan).
El objetivo es la activación del aislamiento de Usuarios en las condiciones óptimas con la
preparación de los directorios adecuados. Para el funcionamiento de esta opción podemos
utilizar tanto la primera opción de aislamiento como la segunda.
24. Ejemplo3: Directorio FTP con un Directorio Virtual llamado “LocalUser” y dentro para cada uno
de los usuarios (pedro – juan).
El objetivo es la activación del aislamiento de Usuarios en las condiciones óptimas con la
preparación de los directorios adecuados. Para el funcionamiento de esta opción la segunda
posibilidad del aislamiento no funciona (solo directorios físicos).
Servicio de Transferencia de Ficheros: FTP – Creación de Cuotas
El Objetivo es controlar el contenido a almacenar en cada una de las cuentas FTP creadas. Para
ello vamos a utilizar una Herramienta Administrador de Servidor de Archivos (FSRM) es una
función que debemos instalar para poder acceder a ella y nos permite:
Administración de Cuotas.
Filtrado de Archivos.
Creación de Informes de Almacenamiento.
a) Administrador del Servidor.
b) Características / Agregar Características
c) Marcamos Administrador de Recursos del Servidor de Archivos / Instalarlo
d) Para acceder al Administrador / Herramientas Administrativas / Administrador de Recursos
del Servidor de Archivos
e) Vamos a Crear una Cuota Administración de Cuotas / Cuotas / Crear Cuota
Ruta de Acceso Directorio Físico a Limitar
Configurar Propiedades de la Cuota Establecer los tamaños de Cuota – Advertencias
…
Servicio de Transferencia de Ficheros: FTP – Otras Configuraciones
Desde esta sección podemos definir la configuración del filtrado de solicitudes para su sitio
FTP. El filtrado de solicitudes FTP es una característica de seguridad que permite a los
25. proveedores de acceso a Internet (ISP) y a los proveedores de servicios de aplicaciones
restringir el comportamiento de los protocolos y del contenido.
Extensiones de nombre de archivo:
Especifica una lista de extensiones de nombre de archivo para los que el Servicio FTP
permitirá o denegará el acceso. Los oculta del listado de FTP.
a) En el Panel de Acciones agregar regla de prohibición o denegación.
b) Introducir la extensión a tratar.
Segmentos Ocultos:
Especificamos un directorio o fichero en concreto al que denegamos acceso o
permisos de descarga, este directorio o fichero no aparecerá en las listas de FTP.
Secuencias de dirección URL denegadas:
El directorio o fichero aparece en el listado de objetos pero no se puede acceder a
ellos.
Comandos:
Prohibición de comandos de FTP.
Ejemplo1: Realizar un restricción por extensión .txt Cerrar y Abrir Filezilla.
Ejemplo2: Realizar una restricción por Segmento Oculto en Directorio
Ejemplo3: Realizar una restricción por URL Denegada en Directorio.
Práctica1: Realizar un FTP por cmd
a) ftp
b) open syliconct.es
c) Usuario y Password
d) Algún Dir para listar y recv para recibir y send para enviar y aconsejable hacer un help para
ver los comandos.
Práctica2: Realizar un FTP en el navegador:
26. a) ftp://syliconct.es
b) Pide datos de acceso
NOTA SOBRE USO DE HOST VIRTUALES FTP:
Por lo tanto, esto es lo que pasa con los hosts virtuales y FTP - la especificación del protocolo de transferencia de archivos no proporciona ningún mecanismo para especificar
varios nombres de host en la misma dirección IP como encabezados de host fueron diseñados para trabajar para HTTP. Discuto este problema en profundidad en mis máquinas
virtuales y Nombres en FTP7 Host blog. Esta es una limitación que estoy trabajando con Paul Hethmon resolver con la siguiente propuesta de Internet:
Protocolo de transferencia de mando del archivo HOST
http://datatracker.ietf.org/drafts/draft-hethmon-mcmurray-ftp-hosts/
La propuesta añade un nuevo comando HOST al vocabulario de comandos FTP, e implementamos esto como una característica de FTP 7.0 y 7.5 FTP. Pero dicho esto, el
problema es siempre la compatibilidad con los clientes más antiguos. Tuvimos el mismo problema cuando los encabezados de host se introdujeron por primera vez para HTTP muchos navegadores anteriores no apoyaron encabezados de host, así que necesitábamos algún tipo de compatibilidad con versiones anteriores, mientras que los clientes
adoptaron lentamente la nueva tecnología. Algunos clientes FTP como Core FTP y MOVEit libremente permiten agregar comandos personalizados a su nombre de usuario, y si
nos fijamos en mi Core FTP LE y MOVEit libremente blog posts se pueden encontrar detalles adicionales sobre el uso de un cliente de FTP con el comando actual HOST.
Pero el problema original sigue siendo - ¿qué se puede hacer acerca de los clientes FTP que no admiten el comando HOST o comandos personalizados? Lo que (Microsoft)
decidimos hacer era permitir que se especifique el nombre de host como parte del inicio de sesión, por ejemplo, "nombre de usuario | ftp.example.com" o "Nombre de usuario
ftp.example.com" Si se establece la
useDomainNameAsHostName
atribuir a la verdad. (Ver Jaroslav de abordar el "|" problema separador para sitios FTP virtuales . entrada de blog para conocer los detalles sobre eso) Especificar el
nombre de host virtual como parte del nombre de usuario de inicio de sesión resuelve la compatibilidad con versiones anteriores para los clientes que no
pueden enviar el comando HOST, sin dejar de apoyar clientes que pueden enviar el comando HOST.
He aquí algunos ejemplos:
Si inicia la sesión utilizando el cliente FTP Core, especifique "ftp.example.com HOST" como parte de los comandos pre-inicio de sesión, entonces se puede usar
solo el nombre de usuario al iniciar sesión
Si inicia la sesión utilizando el cliente FTP Filezilla, es necesario utilizar el "ftp.example.com | nombre de usuario" o "ftp.example.com nombre de usuario"
como nombre de usuario.
Si utiliza el cliente FTP.EXE de línea de comandos que se incluye con Windows o el MOVEit libremente cliente de línea de comandos, puede especificar "HOST
ftp.example.com cita" cuando se conecta por primera vez a un sitio FTP para especificar el nombre de host antes introduzca su nombre de usuario, entonces usted puede
utilizar solamente su nombre de usuario para iniciar sesión
Finalmente - (¡espero!) - El comando HOST FTP se darán cuenta como encabezados de host hicieron por HTTP y clientes FTP comenzará a enviar el comando HOST como
parte del proceso de conexión. Al igual que con encabezados de host, todo esto se llevará a cabo detrás de las escenas entre el cliente y el servidor FTP para que no siquiera
saben que está sucediendo - usted simplemente conecta al sitio FTP correcta y publicar los archivos.
Espero que esto ayuda a explicar las cosas un poco. ; -]
Configuración de hosts virtuales en IIS FTP
1.
Inicie sesión en el servidor mediante una conexión de escritorio remoto
2.
En el menú Inicio, haga clic en Herramientas administrativas y, a continuación, haga clic en Servicios de Internet Information Server (IIS). En el
panel Conexiones, expanda el nodo Sitios del árbol haciendo clic en él.
3.
Haz clic derecho en el sitio que desea instalar el servicio FTP y seleccionar Añadir publicación FTP
27. 4.
Seleccione una dirección IP para su sitio FTP desde la dirección IP desplegable o seleccione para aceptar la selección predeterminada "Todos
sin asignar".
5.
Introduzca el puerto TCP / IP para el sitio FTP en el cuadro Puerto.
6.
Escriba "www.example.com" en el cuadro Host Virtual.
7.
Seleccione No botón de SSL a menos que tenga un certificado que desea conectarse de forma segura
8.
Haga clic en Siguiente
9.
En los entornos de autenticación, seleccione Basic
10.
Seleccione la opción "usuarios específicos" en el acceso Dejar desplegables
11.
Tipo <your_username> para el nombre de usuario en el campo de abajo
12.
Si usted no tiene un usuario de este sitio, por favor después de este artículo <URL del
artículohttp://www.hosting.com/support/dedicated/general/user/ > para crear una
13.
Esto otorgará sólo para este acceso de los usuarios en el directorio especificado, también puede permitir que el anonimato o todos los
usuarios el acceso a este directorio.
o
En caso de ser la misma que la entrada del sitio de IIS
con.
28. 14.
En la
opción Permisos, seleccione leer y escribir.
15.
Haga clic en Finalizar
Pruebe su conexión FTP
Puede probar la conexión utilizando los siguientes credenciales en el cliente FTP:
Host: domain.com o dirección IP (por ejemplo, www.example.com)
Nombre de usuario: domain.com | <username> (por ejemplo www.example.com|your_username )
Contraseña: <contraseña>
Propuesta1:
Preparar una Zona donde los usuarios de vuestro servidor puedan subir información y bajar
información.
Crear una cuenta ftp para el usuario fran con las siguientes características:
Al conectarme con mi usuario y contraseña me conecto a un directorio preparado por
vosotros para el intercambio de información donde solo yo puedo acceder (Mi
Directorio Personal).
Puedo subir de nivel y conectarme a una carpeta “Intercambio” donde pueden acceder
también el resto de usuarios FTP.
Yo puedo acceder al resto de carpetas de usuarios.
29. Crear un segundo usuario FTP del que me proporcionaréis los datos de acceso para probar la
configuración FTP establecida.
Todas las zonas tienen un tamaño máximo de 50 MG.
Propuesta2:
Crear un Sitio FTP adicional conectando en otro puerto diferente (cuidado que el puerto no
esté en uso por otro proceso ¡Será por puertos!), con una conexión Segura que me lleve a la
Raiz de vuestro Sitio.
Propuesta3:
Dejar preparada una zona en Mi Panel Privado donde introduciendo la ruta del fichero y
pulsando al botón “Subir”, pueda transferir a mi zona FTP ficheros y directorios de hasta 20MG
(quizás tengáis que cambiar la configuración del php.ini).
Propuesta4 (Opcional):
Cuando pulso a un botón en mi Panel Privado la carpeta intercambio se vuelve “Privada” y si
vuelvo a pulsar “Pública”.