FTP – WINDOWS 2008 SERVER SP2

Servicio de Transferencia de Ficheros: FTP – Instalación del Servicio

El protocolo de transferencia de ficheros (FTP), es un estándar para el envío o recepción de archivos entre clientes y servidores a través de la red.

Podemos integrar la administración de FTP en la nueva consola de IIS 7.0 pero exige la instalación de elementos adicionales a los que vienen con el sistema operativo Windows Server 2008.

Hay una diferencia importante con respecto a la administración de FTP en comparación con los sitios web en IIS, no existe el concepto de encabezado de host FTP y por tanto para crear sitios virtuales, únicamente se pueden combinar dos datos: dirección IP y puerto.

Teniendo en cuenta que el puerto suele ser el estándar (TCP/21) y que puede ser un despilfarro utilizar múltiples IP para un solo servicio, debemos buscar alguna alternativa para que cada usuario disponga de su propio FTP.

Mejoras con Respecto a IIS6

Nueva interfaz de administración y almacén de configuración. Soporte FTP sobre SSL Posibilidad de albergar contenido FTP y Web desde el mismo sitio con sólo añadir un

enlace a un sitio web existente FTP. Además, el servidor FTP tiene el respaldo al nombre de host virtual, lo que permite albergar varios sitios FTP en la misma dirección IP. Es posible aislar los usuarios a través de directorios virtuales por usuario.

El servidor admite la autenticación. …

Instalación

a) Descargar el software adecuado para nuestro Servidor:

32-bits ¡Error! Referencia de hipervínculo no válida. para IIS 7.0 (x86)

b) Abrimos el paquete de instalación:

c) Aceptamos los términos de licencia

d) Opciones de Instalación:

Archivos comunes: esta opción incluye el archivo de esquema. Servicio de Publicación FTP: esta opción incluye los componentes básicos del servicio

FTP. Gestionado Support Código: componente opcional, para las características que utilizan

la autenticación de administrador IIS. Características de administración: esta opción instala la interfaz de usuario FTP7.

e) Instalamos:

f) Finalizamos

Problemas conocidos de esta versiónLos siguientes problemas son conocidos en esta versión:

1.  Mientras que las características basadas en Web se pueden delegar a los administradores remotos y se añaden a los archivos

web.config utilizando la infraestructura de configuración de IIS, FTP características no pueden ser delegadas o almacenan en archivos

web.config.

2.  El icono de un sitio Web / FTP combinada puede ser marcado con un signo de interrogación a pesar de que el sitio se ha

iniciado en la actualidad con ningún error. Esto ocurre cuando un sitio tiene una mezcla de HTTP / FTP enlaces.

3.  Después de añadir una publicación FTP a un sitio Web, haga clic nodo del sitio en la vista de árbol de la herramienta de

administración de IIS no se muestren los iconos de FTP. Para evitar este problema, utilice uno de los siguientes:

 Pulse F5 para actualizar la herramienta de administración de IIS.

 Haga clic en el nodo Sitios y, a continuación, haga doble clic en el nombre del sitio.

 Cierre y vuelva a abrir la herramienta de administración de IIS.

 Cuando se agrega un proveedor personalizado de los valores por defecto del sitio, que se muestra en cada sitio.  Sin embargo,

si se intenta eliminar o modificar la configuración de un proveedor personalizado a nivel de sitio, IIS crea un <providers

vacíos /> sección para el sitio, pero la configuración resultante para cada sitio no cambia.  Por ejemplo, si el proveedor

personalizado está habilitado en los valores por defecto del sitio, no se puede deshabilitar en el nivel de sitio.  Para evitar este

problema, abra el archivo applicationHost.config como administrador y añadir un elemento <clear/> a la lista de proveedores

de autenticación personalizadas, el añadir manualmente el proveedor personalizado para su configuración. Por ejemplo, para

agregar el proveedor de autenticación personalizado Administrador de IIS, debe agregar la configuración como el siguiente

ejemplo: 

<ftpServer>

<security>

<authentication>

<customAuthentication>

<providers>

<clear />

<add name="IisManagerAuth" enabled="true" />

</ Providers>

</ CustomAuthentication>

</ Authentication>

</ Seguridad>

</ FtpServer>

 Los siguientes problemas son específicos de la versión IIS 7.0:

El servicio FTP que se incluye en el DVD de Windows 2008 Server no debe instalarse después de instalar el nuevo servicio FTP.  El

antiguo servicio FTP no detecta que el nuevo servicio FTP se ha instalado y en funcionamiento dos servicios FTP al mismo puede

causar conflictos en el puerto.

IIS 7 se puede desinstalar después de que se ha instalado el nuevo servicio FTP, y esto hará que el nuevo servicio FTP al fracaso.  Si

se vuelve a instalar IIS, se crearán nuevas copias de los archivos de configuración de IIS y el nuevo servicio FTP se siguen

fracasando porque la información de configuración para el nuevo servicio FTP ya no está en los archivos de configuración de

IIS. Para solucionar este problema, vuelva a ejecutar la instalación del nuevo servicio FTP y seleccione "Reparar".

Servicio de Transferencia de Ficheros: FTP – Creación de una Conexión Anónima

a) Creamos la carpeta ftp en el lugar físico que nos dé la gana y establecemos los permisos de usuario anónimo (IUSR).

b) Abrimos el Panel de IIS

c) Pulsamos sobre Sitio con Derecho y Agregar Sitio Web

d) Introducimos nombre representativo para el Sitio FTP e indicamos el directorio físico que contiene la información.

e) Ahora se nos solicita la siguiente información:

Seleccionar IP para el sitio FTP: dirección o direcciones desde las que será accesible el FTP, para realizar la prueba crear un sitio FTP con la IP asignada que nos ofrece el desplegable y comprobar que desde nuestra IP externa no podemos conectarnos.

Introducir puerto TCP/IP el predeterminado para este Servicio 21 Habilitar el Nombre Virtual: será utilizado posteriormente y se puede editar desde la

opción de enlaces del Sitio FTP. Permitir o No el SSL y requerirlo si lo consideramos necesario.

f) Seleccionamos anónimo en los parámetros de autenticación

g) En el campo Autorización seleccionamos Usuarios Anónimos

h) Y seleccionamos los permisos de los Usuarios.

Práctica: Crearnos una cuenta FTP Anónima con el Filezilla y comprobar que se listan los objetos de la misma.

Nota1: Ver que permisos imperan en caso de contradicción entre el Usuario IUSR y los seleccionados en esta cuenta, para luego comentarlo.

Nota2: Al realizar la conexión con el Filezilla debemos de seleccionar la opción de Modo Activo para poder listar los contenidos del Directorio. Por defecto el Filezilla trabaja en Modo Pasivo y vamos a tener que cambiar esta configuración.

Servicio de Transferencia de Ficheros: FTP – Firewall

Creo que ya viene por defecto pero en caso contrario habilitar Regla de Entrada para puerto 21.

Servicio de Transferencia de Ficheros: FTP – Modo (Activo – Pasivo)

Modo Activo:

En modo Activo, el servidor siempre crea el canal de datos en su puerto 20, mientras que en el lado del cliente el canal de datos se asocia a un puerto aleatorio mayor que el 1024. Para ello, el cliente manda un comando PORT al servidor por el canal de control indicándole ese número de puerto, de manera que el servidor pueda abrirle una conexión de datos por donde se transferirán los archivos y los listados, en el puerto especificado.

Problema: si el cliente se encuentra detrás de un cortafuegos la conexión no será posible y fallará. Aquí es donde está el matiz entre un tipo de conexión y otro, en el modo activo es el cliente el encargado de recibir el canal de datos en el puerto que el especifiqué y si hay un Firewall actuando hay un alto porcentaje de fallo.

Modo Pasivo:

Cuando el cliente envía un comando PASV sobre el canal de control, el servidor FTP le indica por el canal de control, el puerto (mayor a 1023 del servidor. Ejemplo:2040) al que debe conectarse el cliente. El cliente inicia una conexión desde el puerto siguiente al puerto de control (Ejemplo: 1036) hacia el puerto del servidor especificado anteriormente (Ejemplo: 2040).

Importante: en el modo pasivo todas las conexiones son del cliente al servidor, por lo que no hay problemas con el cortafuegos en el lado del cliente, y es el modo más habitual de funcionar. Será el Servidor el encargado de controlar el canal de datos por el que se va a transmitir.

Problema: en el caso de las conexiones pasivas es el cortafuegos del servidor el que debe permitir las conexiones externas a través de ciertos puertos a los que se pueden conectar los clientes.

Nota: Antes de cada nueva transferencia tanto en el modo Activo como en el Pasivo, el cliente debe enviar otra vez un comando de control (PORT o PASV, según el modo en el que se haya conectado), y el servidor recibirá esa conexión de datos en un nuevo puerto aleatorio (si está en modo pasivo) o por el puerto 20 (si está en modo activo).

Solución: Para configurar el FTP del Servidor aceptando el modo pasivo de funcionamiento de los clientes FTP, existe una forma de limitar y restringir el rango de puertos en el FTP de IIS ya que para la utilización de los clientes FTP podría ser cualquier puerto comprendido entre el 1024 y el 65535 y si los abrimos todos pues ya si eso quitamos el Firewall.

a) Seleccionamos la Raiz del Servidor

b) Entramos en Opción FTP Firewall Support

c) Indicamos rango de puertos de uso de FTP Pasivo. Ejemplo: 5000-5050.

Nota: ¿Por qué un Rango de puertos? Respuesta para dar flexibilidad al número de conexiones.

La opción de IP External la usaríamos en caso que tuviéramos otro servidor haciendo de Firewall.

d) Añadir estos ajustes al Firewall, como hacerlo 1 a 1 podría resultar un coñazo utilizamos la siguiente instrucción.

FOR /L %I IN (5000,1,5050) DO netsh firewall add portopening TCP %I "FTP pasivo "%I

Es posible que el Servidor se quede flipado unos segundos y pasados estos la conexión FTP sea satisfactoria.

Servicio de Transferencia de Ficheros: FTP – Agregar Otras Cuentas o Grupos

Vamos a realizar una adición de usuarios que se conectan a esta carpeta pública Ftp, agregando al usuario Administrador con permisos de Lectura y Escritura.

a) En el Administrador de IIS seleccionamos el Sitio FTP creado y entramos en opción FTP Authentication.

b) Cuando la página de autenticación de FTP se muestra, seleccionamos la Autenticación Básica y la Habilitamos.

c) Volvemos a la raíz del Sitio FTP

d) Para que el administrador pueda entrar debemos añadir una regla de autorización. Entramos en la opción reglas de autorización FTP.

e) Al entrar en la página Reglas de Autorización FTP, hacemos click en Agregar regla en Panel de Acciones.

f) Elementos a completar:

Seleccionamos Usuarios Especificados (Administrator), me recuerdo a mi mismo que la contraseña es la misma que suministró la Empresa STRATO para la conexión remota.

Asignamos Permisos (Lectura y Escritura) Aceptamos

Práctica: llegado este punto solo tenemos que configurar otro acceso FTP a través de Filezilla y darnos cuenta mediante pruebas que con el usuario Anónimo podemos descargar pero no podemos subir nada y con el usuario Administrador podemos descargar y subir, eliminar,…

Servicio de Transferencia de Ficheros: FTP – Archivos de Configuración de IIS para la Creación del Sitio FTP.

También puede crear sitios FTP para el nuevo servicio FTP mediante la edición de los archivos de configuración de IIS.

Nota: Editar el archivo ApplicationHost.config requiere permisos administrativos. Esto se logra mejor usando uno de dos métodos:

Ingrese a su ordenador utilizando la cuenta "administrador" local.

Si ha iniciado sesión con una cuenta con permisos administrativos que no es la cuenta local de "administrador", el Bloc de notas

abierto utilizando la opción "Ejecutar como Administrador".

Nota: Se requieren los pasos anteriores ya que el control de cuentas (UAC) componente de seguridad del usuario en los sistemas

operativos Windows Server 2008 Windows Vista y evitar el acceso a su archivo ApplicationHost.config. Para obtener más información acerca

de UAC, consulte la siguiente documentación:

http://go.microsoft.com/fwlink/?LinkID=113664

Los pasos siguientes lo llevan a través de todos los ajustes necesarios para crear un nuevo sitio FTP desde el principio.

1.  Con un editor de texto como el Bloc de notas de Windows, abre el archivo ApplicationHost.config, que se encuentra en la carpeta%

SystemRoot% \ System32 \ carpeta \ inetsrv configuración por defecto.

2.  Busque la sección <sites>. Este apartado contiene el sitio Web predeterminado y debe comenzar con algo como la siguiente: 

<sites>

sitio> name="Default Web Site" id="1">

path="/"> <application

<virtualDirectory path="/" physicalPath="%SystemDrive%\inetpub\wwwroot" />

</ Application>

<bindings>

<Binding protocol="http" bindingInformation="*:80:" />

</ Bindings>

</ Web>

3.  Copie toda la sección para el sitio Web predeterminado y pegarlo en una nueva línea justo debajo del cierre </ site> tag.

4.  Cambiar la configuración del sitio para crear un sitio FTP único:

 Modifique el nombre y atributos id para el nuevo sitio para contener respectivamente "Sitio FTP predeterminado" y "2". 

Nota: Es posible que tenga que elegir un número diferente de "2" para el ID de sitio si cualquier sitio está utilizando el identificador

sitio.

 Cambie el valor del atributo protocolo sobre el elemento de unión a contener "ftp".

 Cambie el atributo physicalPath a "% SystemDrive% \ inetpub \ ftproot".

 Cambie el valor del puerto del atributo bindingInformation para contener "21".

 Añadir una sección <ftpServer> bajo la etiqueta de fijaciones de cierre que contendrá la configuración de autenticación. 

<ftpServer>

<security>

<authentication>

<anonymousAuthentication enabled="true" userName="IUSR" />

<basicAuthentication enabled="true" />

</ Authentication>

SSL> controlChannelPolicy="SslAllow" dataChannelPolicy="SslAllow" />

</ Seguridad>

</ FtpServer>

Nota: La configuración de autenticación para sitios FTP se configuran a nivel de sitio, a diferencia de la autenticación de sitios Web, que

pueden ser configurados por URL. 

Su sección <sites> ahora debería contener algo similar al siguiente ejemplo: 

<sites>

sitio> name="Default Web Site" id="1">

path="/"> <application

<virtualDirectory path="/" physicalPath="%SystemDrive%\inetpub\wwwroot" />

</ Application>

<bindings>

<Binding protocol="http" bindingInformation="*:80:" />

</ Bindings>

</ Site>

sitio> name="Default FTP Site" id="2">

path="/"> <application

<virtualDirectory path="/" physicalPath="%SystemDrive%\inetpub\ftproot" />

</ Application>

<bindings>

<Binding protocol="ftp" bindingInformation="*:21:" />

</ Bindings>

<ftpServer>

<security>

<authentication>

<anonymousAuthentication enabled="true" userName="IUSR" />

<basicAuthentication enabled="true" />

</ Authentication>

SSL> controlChannelPolicy="SslAllow" dataChannelPolicy="SslAllow" />

</ Seguridad>

</ FtpServer>

</ Site>

 Desplácese hasta el final de su archivo ApplicationHost.config y añadir una sección ubicación para su sitio FTP predeterminado que

contendrá la configuración de autorización. 

<ubicación path="Your FTP Site Name">

<system.ftpServer>

<security>

<authorization>

<add accessType="Allow" users="*" permissions="Read" />

<add accessType="Allow" users="administrator" permissions="Read, Write" />

</ Authorization>

</ Seguridad>

</ System.ftpServer>

</ Location>

Nota: En este ejemplo, los valores de autorización para sitios FTP están configurados por URL, y esta configuración permite

específicamente permisos de lectura para todos los usuarios, y lectura / escritura permisos para la cuenta del administrador.

 Guarde el archivo ApplicationHost.config.

Ahora debería ser capaz de acceder a su sitio FTP recién creado usando un cliente FTP. Para utilizar Internet Explorer anónima en el servidor

IIS, introduzca ftp://localhost en la barra de dirección de Internet Explorer. Usted debe estar conectado y ver sus archivos de forma

anónima, no se debería introducir las credenciales del usuario.

Práctica: Echarle un vistazo al archivo ApplicationHost.config de configuración implicado, ver su dirección física y comentar su composición C:\Windows\System32\inetsrv\config.

Servicio de Transferencia de Ficheros: FTP – Agregar una Publicación FTP a un Sitio Web Existente:

Se permite la adición de publicación FTP a Sitios Webs Existentes

Esta posibilidad está pensada para la subida y modificación de los archivos de tu Sitio Web.

a) Abrimos el Administrador de IIS y expandimos el árbol de Sitios para seleccionar el Sitio Web seleccionado para la publicación.

b) Pulsamos con botón derecho sobre el Sitio y pulsamos sobre Agregar Publicación FTP.

c) Las opciones de configuración son exactamente igual que en los pasos anteriores, excepto lo que se describe a continuación.

d) En la pantalla de Autenticación y Autorización, seleccionamos:

Autenticación: Básica Autorización: Specified roles or user groups Administrator o si tuvieramos un

Servicio de Hosting el usuario asociado al Sitio seleccionado. Especificamos los permisos.

Nota: Para la realización de la prueba por Sitio si no se para automáticamente debemos de parar el Sitio Público creado anteriormente ya que entra en conflictos de Puertos. Mencionar que más adelante resolveremos estas posibles posibilidades.

SUPER-NOTA: Tanto en la Creación de un Sitio Web como en la Publicación de un Sitio Web la Raiz del Sitio FTP es la raíz del documento físico.

Nota2: Comprobar que podemos realizar el acceso con otros usuarios creados. OK

Servicio de Transferencia de Ficheros: FTP – Archivos de Configuración de IIS para la Publicación del Sitio FTP.

También puede agregar publicación FTP a un sitio web existente mediante la edición de los archivos de configuración de IIS.

Nota: Editar el archivo applicationHost.config requiere permisos administrativos. Esto se logra mejor usando uno de dos métodos:

Inicie sesión en su ordenador con la cuenta "administrador" local.

Si ha iniciado sesión con una cuenta con permisos administrativos que no es la cuenta local de "administrador", el Bloc de notas

abierto utilizando la opción "Ejecutar como Administrador".

Nota: Se requieren los pasos anteriores porque el control de cuentas (UAC) componente de seguridad de usuario en los sistemas operativos

Windows Server 2008 Windows Vista y evitar el acceso a su archivo applicationHost.config. Para obtener más información acerca de UAC,

consulte la siguiente documentación:

http://go.microsoft.com/fwlink/?LinkID=113664

Los pasos siguientes le guiarán a través de todos los ajustes necesarios para agregar publicación FTP para el sitio Web predeterminado.

1.  Con un editor de texto como el Bloc de notas de Windows, abre el archivo applicationHost.config, que se encuentra en la carpeta%

SystemRoot% \ System32 \ carpeta \ inetsrv configuración por defecto.

2.  Busque la sección de su sitio Web predeterminado. Esto debe ser similar al siguiente ejemplo:

sitio> name="Default Web Site" id="1">

path="/"> <application

<virtualDirectory path="/" physicalPath="%SystemDrive%\inetpub\wwwroot" />

</ Application>

<bindings>

<Binding protocol="http" bindingInformation="*:80:" />

</ Bindings>

</ Site>

3.  Crear un nuevo elemento obligatorio en la colección de enlaces, y establecer el valor del atributo de protocolo en el nuevo elemento de

enlace para contener "ftp", a continuación, cambiar el valor del puerto del atributo bindingInformation para contener "21". 

Configuración de su sitio Web predeterminado ahora debe ser similar al siguiente ejemplo:

sitio> name="Default Web Site" id="1">

path="/"> <application

<virtualDirectory path="/" physicalPath="%SystemDrive%\inetpub\wwwroot" />

</ Application>

<bindings>

<Binding protocol="http" bindingInformation="*:80:" />

<Binding protocol="ftp" bindingInformation="*:21:" />

</ Bindings>

</ Site>

4.  Añadir una sección FtpServer bajo la etiqueta de fijaciones de cierre que contendrá la configuración de autenticación. 

Nota: Las opciones de autenticación para sitios FTP se configuran a nivel de sitio, a diferencia de la autenticación de sitios web, que

pueden ser configurados por URL.

<ftpServer>

<security>

<authentication>

<anonymousAuthentication enabled="false" />

<basicAuthentication enabled="true" />

</ Authentication>

<Ssl controlChannelPolicy = dataChannelPolicy "SslAllow" = "SslAllow" />

</ Seguridad>

</ FtpServer>

Su sección <sites> ahora debería contener algo como el siguiente ejemplo:

<sites>

sitio> name="Default Web Site" id="1">

path="/"> <application

<virtualDirectory path="/" physicalPath="%SystemDrive%\inetpub\wwwroot" />

</ Application>

<bindings>

<Binding protocol="http" bindingInformation="*:80:" />

<Binding protocol="ftp" bindingInformation="*:21:" />

</ Bindings>

<ftpServer>

<security>

<authentication>

<anonymousAuthentication enabled="false" />

<basicAuthentication enabled="true" />

</ Authentication>

<Ssl controlChannelPolicy = dataChannelPolicy "SslAllow" = "SslAllow" />

</ Seguridad>

</ FtpServer>

</ Site>

5.  Desplácese hasta el final de su archivo applicationHost.config y añadir una sección ubicación para el sitio Web predeterminado que

contendrá la configuración de autorización. 

Nota: Como se muestra en este ejemplo, los valores de autorización para los sitios FTP están configurados por URL.

<ubicación path="Default Web sitio">

<system.ftpServer>

<security>

<authorization>

<add accessType="Allow" users="administrator" permissions="Read, Write" />

</ Authorization>

</ Seguridad>

</ System.ftpServer>

</ Location>

6.  Guarde el archivo applicationHost.config.

Servicio de Transferencia de Ficheros: FTP – FTP sobre SSL

FTPS:TPS (comúnmente referido como FTP/SSL) es un nombre usado para abarcar un número de formas en las cuales el software FTP puede realizar transferencias de ficheros seguras. Cada forma conlleva el uso de una capa SSL/TLS (Seguridad para la Capa de Transporte) debajo del protocolo estándar FTP para cifrar los canales de control y/o datos. No debería confundirse con el protocolo de transferencia de ficheros SFTP, el cual suele ser usado con SSH.

El uso más común de FTP y SSL es:

AUTH TLS o FTPS Explicito, nombrado por el comando emitido para indicar que la seguridad TLS es obligatoria. Este es el método preferido de acuerdo al RFC que define FTP sobre TLS. El cliente se conecta al puerto 21 del servidor y comienza una sesión sin cifrar FTP como normal, pero pide que la seguridad TLS sea usada y realiza la negociación apropiada antes de enviar cualquier dato sensible. cualquier dato sensible.

a) Nos situamos en la raíz del Servidor

b) Entramos en Certificados de Servidor

c) Creamos Certificado Autofirmado en el Panel de Acciones

d) Especificamos un Nombre para el Certificado “Mi Certificado FTP”, Aceptamos

e) Seleccionamos el Sitio FTP

f) Entramos en FTP SSL Settings

g) Seleccionamos el Certificado Creado anteriormente, seleccionamos Custom y pulsamos en Avanced.

h) Configuración:

Control Channel: Seleccionamos Require only for credentials este ajuste requiere que todos los nombres de usuarios y contraseñas estén cifradas mediante SSL.

Data Channel: Seleccionamos Permitir este ajuste permite al cliente elegir si desea cifrar cualquier actividad del canal de datos.

Nota: para mí hay que ampliar esta información para una buena explicación.

ACCEDER A SU SITIO FTP

En el paso 1, que ha creado un sitio FTP que se puede acceder mediante la cuenta de administrador. En el paso 2, se ha configurado la

política de SSL canal de control para exigir que todas las credenciales de usuario se cifran tiempo que permite los clientes FTP para elegir o

no el resto de canal de control y la actividad de los canales de datos se cifren.

Al iniciar la sesión en el servidor FTP usando un cliente FTP con capacidad SSL, el servidor FTP soporta las siguientes opciones de seguridad

explícitas:

TLS-C/TLS - Utilice TLS para la conexión con RFC2228 predeterminados. Esto significa que no hay protección implícita de la

conexión de datos.

TLS-P/SSL - Utilice TLS para la conexión. Esto significa que la conexión de datos está protegido implícitamente.

Nota: para la prueba con el Filezilla debo seleccionar un cifrado FTP Explícito sobre TLS, este tipo de cifrado usa el modo Pasivo por lo tanto debo de configurar el Servidor Ftp en Windows 2008 server para que actúe con el modo Pasivo.

Servicio de Transferencia de Ficheros: FTP – Aislamiento de Usuarios FTP

El aislamiento de usuarios FTP es una solución que permite a los proveedores de servicios de Internet (ISP) y proveedores de servicios de aplicaciones ofrecer a sus clientes directorios FTP individuales para cargar archivos y contenido Web. El aislamiento de usuarios FTP impide que los usuarios vean o sobreescriban el contenido web de otros usuarios limitando a sus usuarios a sus propios directorios. Los usuarios no pueden navegar al directorio superior ya que el directorio de nivel superior del usuario aparece como raíz del servicio FTP. En el sitio específico del usuario, el usuario aún tiene la capacidad de crear, modificar y eliminar archivos y carpetas.

El aislamiento de usuarios FTP es una propiedad del Sitio, no del servidor. Es posible activarlo o desactivarlo para cada Sitio FTP.

Nombre de elemento

Descripción

No aislar usuarios. Los

usuarios comienzan

en: Directorio raíz de

FTP

Seleccione esta opción para especificar que no desea aislar a los usuarios.

Todas las sesiones FTP empezarán en el directorio raíz del sitio FTP.

Precaución

Si un usuario de FTP dispone de permisos suficientes, puede tener acceso al contenido de cualquier otro usuario de FTP.

No aislar usuarios. Los usuarios comienzan en: Directorio de nombres de usuario

Seleccione esta opción para especificar que no desea aislar a los usuarios.Todas las sesiones FTP comenzarán en el directorio físico o virtual que tiene el mismo nombre que el usuario que ha iniciado sesión si existe la carpeta; de lo contrario, la sesión FTP comenzará en el directorio raíz del sitio FTP.

Nota

Para especificar el directorio de inicio para el acceso anónimo, cree una carpeta de directorios físicos o virtuales denominada predeterminada en el directorio raíz del sitio FTP.

Precaución

Si un usuario de FTP dispone de permisos suficientes, puede tener acceso al contenido de cualquier otro usuario de FTP.

Ejemplo: Directorio FTP con una carpeta para cada uno de los usuarios (pedro – juan)

a) Creamos en el interior del directorio FTP Base una carpeta con el nombre de cada uno de los Usuarios.

b) Entramos en la opción de Aislar Usuarios y marcamos No aislar Usuarios. Los usuarios comienzan en: Directorio de nombres de usuario.

c) Situarnos en la Raiz del Sitio FTP y agregar las Reglas de Autorización de Lectura y Escritura para los 2 usuarios.

d) Agregar los Permisos de Acceso a la Carpeta sólo al usuario en cuestión:

Botón Derecho sobre el Directorio / Editar Permisos / Pestaña Seguridad

Añadir al Usuario ( En el ejemplo de clase esto mismo lo hacemos con el segundo usuario y nos damos cuenta que podemos acceder igualmente a cualquiera de los directorios), tenemos que quitar el Usuario del Sistema Users:

o Si intentamos hacer esto de la forma usual el sistema no nos deja, debemos de ir a las Opciones Avanzadas de Seguridad Desmarcamos la opción de Incluir todos los Permisos Heredables Eliminamos los Usuarios Users de las carpetas de los usuarios Volvemos a probar la conexión y todo como la seda.

Nota: podemos realizar la misma operación creando un Directorio Virtual si no queremos sentirnos en la obligación de nombrar los directorios de FTP con los mismos nombres que los usuarios y conseguir una fase extra de ocultamiento:

a) Botón Derecho sobre el Sitio FTP Agregar Directorio Virtual…

b) Alias Mismo nombre que el Usuario

c) Seleccionar el Directorio Físico Asociado Como podemos ver este puede tener cualquier nombre.

Aislar usuarios. Restringir usuarios al siguiente directorio: Directorio de nombres de usuario (deshabilitar los

directorios virtuales globales

Seleccione esta opción para especificar que desea aislar las sesiones de usuario FTP en el directorio físico o virtual que tiene el

mismo nombre que la cuenta de usuario FTP. El usuario únicamente ve la ubicación raíz de FTP que le corresponde y no puede

navegar al directorio superior.

Nota

Si desea crear directorios particulares para cada usuario, en primer lugar debe crear un directorio físico o virtual bajo la carpeta raíz del servidor FTP

que tiene el nombre del dominio o LocalUser para las cuentas de usuario local. A continuación, debe crear un directorio físico o virtual para cada

cuenta de usuario que tendrá acceso al sitio FTP. En la tabla siguiente se muestra la sintaxis del directorio particular para los proveedores de

autenticación que se incluyen con el servicio FTP:

 

Tipos de cuentas de usuario Sintaxis del directorio particular

Usuarios anónimos %%FtpRoot%\LocalUser\Public

Cuentas de usuario de Windows local

(requiere autenticación básica)

%%FtpRoot%\LocalUser\%nombreDeUsuario

Cuentas de dominio de Windows

(requiere autenticación básica)

%%FtpRoot%\%UserDomain%\%nombreDeUsuario

Cuentas de usuario de autenticación personalizada de Administrador de IIS o ASP.NET %%FtpRoot%\LocalUser\%nombreDeUsuario

Nota

%%FtpRoot% es el directorio raíz del sitio FTP: por ejemplo, C:\Inetpub\Ftproot.

Importante

Se omiten los directorios virtuales globales. Ningún usuario FTP puede tener acceso a los directorios virtuales

configurados en el nivel de raíz del sitio FTP. Todos los directorios virtuales deben definirse explícitamente en la ruta de acceso del directorio

particular físico o virtual del usuario.

Nota Importante: para realizar el ejemplo debemos de crear la Carpeta LocalUser (para las cuentas de usuario) o Domain (para utilizar como referencia el nombre dominio).

islar usuarios. Restringir usuarios al siguiente directorio: Directorio físico de nombres de usuario (habilitar los directorios virtuales globalesSeleccione esta opción para especificar que desea aislar las sesiones de usuario FTP en el directorio físico que tiene el mismo nombre que la cuenta de usuario FTP. El usuario únicamente ve la ubicación raíz de FTP que le corresponde y no puede navegar al directorio superior.

Nota

Si desea crear directorios particulares para cada usuario, en primer lugar debe crear un directorio físico bajo la carpeta raíz del servidor FTP que tiene el nombre del dominio o LocalUser para las cuentas de usuario local. A continuación, debe crear un directorio físico para cada cuenta de usuario que tendrá acceso al sitio FTP. En la tabla siguiente se muestra la sintaxis del directorio particular para los proveedores de autenticación que se incluyen con el servicio FTP:

 

Tipos de cuentas de usuario Sintaxis del directorio particular

Usuarios anónimos %%FtpRoot%\LocalUser\Public

Cuentas de usuario de Windows local(requiere autenticación básica)

%%FtpRoot%\LocalUser\%nombreDeUsuario%

Cuentas de dominio de Windows(requiere autenticación básica)

%%FtpRoot%\%UserDomain%\%nombreDeUsuario%

Cuentas de usuario de autenticación personalizada de Administrador de IIS o ASP.NET

%%FtpRoot%\LocalUser\%nombreDeUsuario%

Nota

%%FtpRoot% es el directorio raíz del sitio FTP; por ejemplo, C:\Inetpub\Ftproot.

Importante

Se habilitan los directorios virtuales globales. Todos los usuarios de FTP pueden tener acceso a todos los directorios virtuales configurados en el nivel de raíz del sitio FTP, si esos usuarios disponen de permisos suficientes.

Precaución

Cuando los directorios virtuales globales están habilitados, todos los usuarios FTP pueden tener acceso al contenido de otros usuarios FTP si disponen de permisos suficientes.

Ejemplo2: Directorio FTP con una carpeta Publico en C: y dentro una llamada LocalUser y dentro para cada uno de los usuarios (pedro – juan).

El objetivo es la activación del aislamiento de Usuarios en las condiciones óptimas con la preparación de los directorios adecuados. Para el funcionamiento de esta opción podemos utilizar tanto la primera opción de aislamiento como la segunda.

Ejemplo3: Directorio FTP con un Directorio Virtual llamado “LocalUser” y dentro para cada uno de los usuarios (pedro – juan).

El objetivo es la activación del aislamiento de Usuarios en las condiciones óptimas con la preparación de los directorios adecuados. Para el funcionamiento de esta opción la segunda posibilidad del aislamiento no funciona (solo directorios físicos).

Servicio de Transferencia de Ficheros: FTP – Creación de Cuotas

El Objetivo es controlar el contenido a almacenar en cada una de las cuentas FTP creadas. Para ello vamos a utilizar una Herramienta Administrador de Servidor de Archivos (FSRM) es una función que debemos instalar para poder acceder a ella y nos permite:

Administración de Cuotas. Filtrado de Archivos. Creación de Informes de Almacenamiento.

a) Administrador del Servidor.

b) Características / Agregar Características

c) Marcamos Administrador de Recursos del Servidor de Archivos / Instalarlo

d) Para acceder al Administrador / Herramientas Administrativas / Administrador de Recursos del Servidor de Archivos

e) Vamos a Crear una Cuota Administración de Cuotas / Cuotas / Crear Cuota

Ruta de Acceso Directorio Físico a Limitar Configurar Propiedades de la Cuota Establecer los tamaños de Cuota – Advertencias

…

Servicio de Transferencia de Ficheros: FTP – Otras Configuraciones

Desde esta sección podemos definir la configuración del filtrado de solicitudes para su sitio FTP. El filtrado de solicitudes FTP es una característica de seguridad que permite a los proveedores de acceso a Internet (ISP) y a los proveedores de servicios de aplicaciones restringir el comportamiento de los protocolos y del contenido.

Extensiones de nombre de archivo:Especifica una lista de extensiones de nombre de archivo para los que el Servicio FTP permitirá o denegará el acceso. Los oculta del listado de FTP.

a) En el Panel de Acciones agregar regla de prohibición o denegación.b) Introducir la extensión a tratar.

Segmentos Ocultos:Especificamos un directorio o fichero en concreto al que denegamos acceso o permisos de descarga, este directorio o fichero no aparecerá en las listas de FTP.

Secuencias de dirección URL denegadas:El directorio o fichero aparece en el listado de objetos pero no se puede acceder a ellos.

Comandos:Prohibición de comandos de FTP.

Ejemplo1: Realizar un restricción por extensión .txt Cerrar y Abrir Filezilla.

Ejemplo2: Realizar una restricción por Segmento Oculto en Directorio

Ejemplo3: Realizar una restricción por URL Denegada en Directorio.

Práctica1: Realizar un FTP por cmd

a) ftp

b) open syliconct.es

c) Usuario y Password

d) Algún Dir para listar y recv para recibir y send para enviar y aconsejable hacer un help para ver los comandos.

Práctica2: Realizar un FTP en el navegador:

a) ftp://syliconct.es

b) Pide datos de acceso

NOTA SOBRE USO DE HOST VIRTUALES FTP:

Por lo tanto, esto es lo que pasa con los hosts virtuales y FTP - la especificación del protocolo de transferencia de archivos no proporciona

ningún mecanismo para especificar varios nombres de host en la misma dirección IP como encabezados de host fueron diseñados para

trabajar para HTTP. Discuto este problema en profundidad en mis máquinas virtuales y Nombres en FTP7 Host blog. Esta es una limitación

que estoy trabajando con Paul Hethmon resolver con la siguiente propuesta de Internet:

Protocolo de transferencia de mando del archivo HOST 

http://datatracker.ietf.org/drafts/draft-hethmon-mcmurray-ftp-hosts/

La propuesta añade un nuevo comando HOST al vocabulario de comandos FTP, e implementamos esto como una característica de FTP 7.0 y

7.5 FTP. Pero dicho esto, el problema es siempre la compatibilidad con los clientes más antiguos. Tuvimos el mismo problema cuando los

encabezados de host se introdujeron por primera vez para HTTP - muchos navegadores anteriores no apoyaron encabezados de host, así

que necesitábamos algún tipo de compatibilidad con versiones anteriores, mientras que los clientes adoptaron lentamente la nueva

tecnología. Algunos clientes FTP como Core FTP y MOVEit libremente permiten agregar comandos personalizados a su nombre de usuario, y

si nos fijamos en mi Core FTP LE y MOVEit libremente blog posts se pueden encontrar detalles adicionales sobre el uso de un cliente de FTP

con el comando actual HOST.

Pero el problema original sigue siendo - ¿qué se puede hacer acerca de los clientes FTP que no admiten el comando HOST o comandos

personalizados? Lo que (Microsoft) decidimos hacer era permitir que se especifique el nombre de host como parte del inicio de sesión, por

ejemplo, "nombre de usuario | ftp.example.com" o "Nombre de usuario \ ftp.example.com" Si se establece la

  useDomainNameAsHostName atribuir a la verdad. (Ver Jaroslav de abordar el "|" problema separador para sitios FTP virtuales . entrada de blog para conocer los detalles sobre eso) Especificar el nombre de host virtual como parte del nombre de usuario de inicio de sesión resuelve la compatibilidad con versiones anteriores para los clientes que no pueden enviar el comando HOST, sin dejar de apoyar clientes que pueden enviar el comando HOST.

He aquí algunos ejemplos:

Si inicia la sesión utilizando el cliente FTP Core, especifique "ftp.example.com HOST" como parte de los comandos pre-inicio de sesión,

entonces se puede usar solo el nombre de usuario al iniciar sesión

Si inicia la sesión utilizando el cliente FTP Filezilla, es necesario utilizar el "ftp.example.com | nombre de usuario" o "ftp.example.com \

nombre de usuario" como nombre de usuario.

Si utiliza el cliente FTP.EXE de línea de comandos que se incluye con Windows o el MOVEit libremente cliente de línea de comandos,

puede especificar "HOST ftp.example.com cita" cuando se conecta por primera vez a un sitio FTP para especificar el nombre de

host antes introduzca su nombre de usuario, entonces usted puede utilizar solamente su nombre de usuario para iniciar sesión

Finalmente - (¡espero!) - El comando HOST FTP se darán cuenta como encabezados de host hicieron por HTTP y clientes FTP comenzará a

enviar el comando HOST como parte del proceso de conexión. Al igual que con encabezados de host, todo esto se llevará a cabo detrás de

las escenas entre el cliente y el servidor FTP para que no siquiera saben que está sucediendo - usted simplemente conecta al sitio FTP

correcta y publicar los archivos.

Espero que esto ayuda a explicar las cosas un poco. ; -]

Configuración de hosts virtuales en IIS FTP1. Inicie sesión en el servidor mediante una conexión de escritorio remoto

2. En el menú Inicio, haga clic en Herramientas administrativas y, a continuación, haga clic en Servicios de Internet Information Server (IIS). En el panel Conexiones, expanda el nodo Sitios del árbol haciendo clic en él.

3. Haz clic derecho en el sitio que desea instalar el servicio FTP y seleccionar Añadir publicación FTP

4. Seleccione una dirección IP para su sitio FTP desde la dirección IP desplegable o seleccione para aceptar la selección predeterminada "Todos sin asignar".

5. Introduzca el puerto TCP / IP para el sitio FTP en el cuadro Puerto.

6. Escriba "www.example.com" en el cuadro Host Virtual.

o En caso de ser la misma que la entrada del sitio de IIS

7. Seleccione No botón de SSL a menos que tenga un certificado que desea conectarse de forma segura

con. 

8. Haga clic en Siguiente

9. En los entornos de autenticación, seleccione Basic

10. Seleccione la opción "usuarios específicos" en el acceso Dejar desplegables

11. Tipo <your_username> para el nombre de usuario en el campo de abajo

12. Si usted no tiene un usuario de este sitio, por favor después de este artículo <URL del artículohttp://www.hosting.com/support/dedicated/general/user/ > para crear una

13. Esto otorgará sólo para este acceso de los usuarios en el directorio especificado, también puede permitir que el anonimato o todos los usuarios el acceso a este directorio.

14. En la opción Permisos, seleccione leer y escribir. 

15. Haga clic en Finalizar

Pruebe su conexión FTPPuede probar la conexión utilizando los siguientes credenciales en el cliente FTP:

Host: domain.com o dirección IP (por ejemplo, www.example.com)

Nombre de usuario: domain.com | <username> (por ejemplo www.example.com|your_username )

Contraseña: <contraseña>

Propuesta1:

Preparar una Zona donde los usuarios de vuestro servidor puedan subir información y bajar información.

Crear una cuenta ftp para el usuario fran con las siguientes características:

Al conectarme con mi usuario y contraseña me conecto a un directorio preparado por vosotros para el intercambio de información donde solo yo puedo acceder (Mi Directorio Personal).

Puedo subir de nivel y conectarme a una carpeta “Intercambio” donde pueden acceder también el resto de usuarios FTP.

Yo puedo acceder al resto de carpetas de usuarios.

Crear un segundo usuario FTP del que me proporcionaréis los datos de acceso para probar la configuración FTP establecida.

Todas las zonas tienen un tamaño máximo de 50 MG.

Propuesta2:

Crear un Sitio FTP adicional conectando en otro puerto diferente (cuidado que el puerto no esté en uso por otro proceso ¡Será por puertos!), con una conexión Segura que me lleve a la Raiz de vuestro Sitio.

Propuesta3:

Dejar preparada una zona en Mi Panel Privado donde introduciendo la ruta del fichero y pulsando al botón “Subir”, pueda transferir a mi zona FTP ficheros y directorios de hasta 20MG (quizás tengáis que cambiar la configuración del php.ini).

Propuesta4 (Opcional):

Cuando pulso a un botón en mi Panel Privado la carpeta intercambio se vuelve “Privada” y si vuelvo a pulsar “Pública”.