Funcionalidad del servicio de transferencia de archivos.
description
Transcript of Funcionalidad del servicio de transferencia de archivos.
Jesús Torres Cejudo 1
Funcionalidad del servicio de transferencia de archivos.
Jesús Torres Cejudo 2
Funcionalidad del servicio de transferencia de archivos. Características. Componentes y funcionamiento. Es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red
TCP (TransmissionControl Protocol), basado en la arquitectura cliente-servidor. Desde un equipo cliente se
puede conectar a unservidor para descargar archivos desde él o para enviarle archivos, independientemente del
sistema operativoutilizado en cada equipo.El servicio FTP es ofrecido por la capa de aplicación del modelo de capas de red TCP/IP al
usuario, utilizandonormalmente el puerto de red 20 y el 21. Un problema básico de FTP es que está pensado
para ofrecer la máximavelocidad en la conexión, pero no la máxima seguridad, ya que todo el intercambio de
información, desde el login ypassword del usuario en el servidor hasta la transferencia de cualquier archivo, se realiza en
texto plano sin ningúntipo de cifrado, con lo que un posible atacante puede capturar este tráfico, acceder al
servidor y/o apropiarse de losarchivos transferidos.Para solucionar este problema son de gran utilidad aplicaciones como scp y sftp, incluidas en
el paquete SSH, quepermiten transferir archivos pero cifrando todo el tráfico.
Jesús Torres Cejudo 3
Funcionalidad del servicio de transferencia de archivos. Funcionamiento:En el modelo, el intérprete de protocolo (IP) de usuario inicia la conexión de control en el
puerto 21. Las órdenesFTP estándar las genera el IP de usuario y se transmiten al proceso servidor a través de la
conexión de control. Lasrespuestas estándar se envían desde la IP del servidor la IP de usuario por la conexión de
control como respuesta alas órdenes.Estas órdenes FTP especifican parámetros para la conexión de datos (puerto de datos, modo
de transferencia, tipode representación y estructura) y la naturaleza de la operación sobre el sistema de archivos
(almacenar, recuperar,añadir, borrar, etc.). El proceso de transferencia de datos (DTP) de usuario u otro proceso en
su lugar, debe esperara que el servidor inicie la conexión al puerto de datos especificado (puerto 20 en modo activo
o estándar) ytransferir los datos en función de los parámetros que se hayan especificado.
Jesús Torres Cejudo 4
Funcionalidad del servicio de transferencia de archivos. - Protocolo FTP:El protocolo FTP (File Transfer Protocol) es una de las herramientas mas usadas entorno a la administración deportales web y tiene como principal función la transferencia de archivos. Esta transacción puede ser efectuada
desdeuna LAN (Red de área local) o en una WAN (Red de Área Amplia). El protocolo FTP esta basado principalmente enla arquitectura Cliente-Servidor el cual consiste básicamente en un programa “Cliente” que realiza peticiones a otroprograma “Servidor” el cual responde a su petición. Visto de otra forma podemos entenderlo como el equipo clienteque se conecta al servidor para descargar archivos desde el o para enviarle archivos. FTP hace uso del modeloTCP/IP y trabaja directamente sobre la capa de aplicación del antes mencionado. Así mismo el protocolo FTP haceuso de los puertos 20 y 21 para la comunicación y control de datos. - Tipos de usuarios y accesos al servicio: Acceso anónimo y acceso autorizado. Usuarios FTP: Aquellos que disponen de una cuenta en la máquina que ofrece el servicio FTP.Usuarios Anónimos: usuarios cualesquiera, que al conectarse al servidor FTP, solo deben introducir una contraseñaSimbólica. Solo tienen acceso a una parte limitada del sistema de archivos. Acceso anónimoLos servidores FTP anónimos ofrecen sus servicios libremente a todos los usuarios, permiten acceder a sus archivosSin necesidad de tener un 'USER ID' o una cuenta de usuario. Es la manera más cómoda fuera del servicio web depermitir que todo el mundo tenga acceso a cierta información sin que para ello el administrador de un sistema
tengaque crear una cuenta para cada usuario.
Jesús Torres Cejudo 5
Funcionalidad del servicio de transferencia de archivos. Si un servidor posee servicio 'FTP anonymous' solamente con teclear la palabra
«anonymous», cuando pregunte portu usuario tendrás acceso a ese sistema. No se necesita ninguna contraseña preestablecida,
aunque tendrás queintroducir una sólo para ese momento,normalmente se suele utilizar la dirección de correo
electrónico propia.Solamente con eso se consigue acceso a los archivos del FTP, aunque con menos privilegios
que un usuario normal.Normalmente solo podrás leer y copiar los archivos que sean públicos, así indicados por el
administrador delservidor al que nos queramos conectar. Acceso de usuarioSi se desea tener privilegios de acceso a cualquier parte del sistema de archivos del servidor
FTP, de modificación dearchivos existentes, y de posibilidad de subir nuestros propios archivos, generalmente se
suele realizar mediante unacuenta de usuario. En el servidor se guarda la información de las distintas cuentas de usuario
que pueden acceder aél, de manera que para iniciar una sesión FTP debemos introducir una autentificación y una
contraseña que nosidentifica unívocamente.
Jesús Torres Cejudo 6
Funcionalidad del servicio de transferencia de archivos. - Configuración del servicio de transferencia de archivos. Permisos y cuotas. El protocolo FTP se desarrolló en entornos de tipo UNIX similares a los populares GNU/Linux. Por eso tenemos los permisos de ejecución, lectura y escritura, estableciendose tres tipos de usuarios: Propietario: Es normalmente la persona que ha creado o que ha subido el archivo al servidor FTP. Grupo: Se refiere a un grupo de usuarios al que probablemente pertenece el propietario. Otros: Son todos los demás usuarios anónimos o que no pertenecen al grupo indicado. Para establecer los permisos de escritura existe un algoritmo, el cual asigna valores al tipo de acceso
que se quiereotorgar a cada tipo de usuario. 4=lectura 2= escritura 1= ejecución Los permisos se asignan acorde con la suma de los tipos ya descritos. Por ejemplo:
6 (4+2) = lectura y escritura 5 (4+1) = lectura y ejecución 3 (2+1) = escritura y ejecución 7 (4+2+1) = lectura, escritura y ejecución Las combinaciones se dan en el siguiente orden: propietario, grupo y usuarios.
Por ejemplo: 755, otorga lectura,escritura y ejecución al propietario, y al grupo y otros le otorga los permisos de ejecución y lectura.
Jesús Torres Cejudo 7
Funcionalidad del servicio de transferencia de archivos. Podemos establecer varios tipos de cuotas:Limite de velocidad: Básicamente podemos establecer el Ancho de Banda permitido para
Descargas de Archivosalojados en el Servidor, El Ancho de banda Usado siempre Será El nuestro, y es lo que nos
permite poder Descargaro Subir Archivos desde Internet a determinadas Velocidades Límite de conexiones: Límite de descarga/subida:Número de transferencias Simultáneas: Aquí es donde podemos establecer cual será la
máxima cantidad de archivosque se estarán transfiriendo a la vez, se pueden transferir hasta 10 archivos al mismo tiempo.Limite de Descargas Simultaneas: Aquí estableceremos cuantas descargas son permitidas
desde el Servidor, Siingresamos el Número 0 no existirán límites (Número de descarga Ilimitadas), podemos
ingresar cualquier otronúmero pero dejaremos el valor predeterminado, que es 0. • Límite para Subidas Simultaneas:
Aquí básicamente sepuede hacer lo mismo que en la anterior opción, salvo que en vez de configurar el Número
Máximo de Descargasconfiguramos el de Subida, aquí tambien ingresamos el valor 0. Así no existirán límites a la
hora de subir archivos.
Jesús Torres Cejudo 8
Funcionalidad del servicio de transferencia de archivos. Conexiones y modos: Conexión de control y conexión de datos. Modos activo y pasivo. Conexión de control:Para comenzar una sesión se debe utilizar un cliente FTP al cual se le mandan el nombre del host remoto y/o ellogin/password en caso de necesitarlo. Esta información se llama ''de control'' y se le manda al servidor remotosobre una conexión TCP. Una vez que el servidor nos autoriza, crea otra conexión TCP para realizar la transmisióndel fichero. Conexión de datos:La conexión de datos es la que se establece para transmitir el fichero. Si se han de transmitir varios ficheros sedeberán establecer varias conexiones TCP, una por fichero como mínimo. Modos activoEn modo Activo, el servidor siempre crea el canal de datos en su puerto 20, mientras que en el lado del cliente elcanal de datos se asocia a un puerto aleatorio mayor que el 1024. Para ello, el cliente manda un comando PORT alservidor por el canal de control indicándole ese número de puerto, de manera que el servidor pueda abrirle unaconexión de datos por donde se transferirán los archivos y los listados, en el puerto especificado.Lo anterior tiene un grave problema de seguridad, y es que la máquina cliente debe estar dispuesta a aceptarcualquier conexión de entrada en un puerto superior al 1024, con los problemas que ello implica si tenemos elequipo conectado a una red insegura como Internet, de hecho, los cortafuegos que se instalen en el equipo paraevitar ataques seguramente rechazarán esas conexiones aleatorias. Para solucionar esto se desarrolló el modo
pasivo.
Jesús Torres Cejudo 9
Funcionalidad del servicio de transferencia de archivos. Modo Pasivo:Cuando el cliente envía un comando PASV sobre el canal de control, el servidor FTP le indica
por el canal decontrol, el puerto (mayor a 1023 del servidor. Ejemplo:2040) al que debe conectarse el
cliente. El cliente inicia unaconexión desde el puerto siguiente al puerto de control (Ejemplo: 1036) hacia el puerto del
servidor especificadoanteriormente.1
Antes de cada nueva transferencia tanto en el modo Activo como en el Pasivo, el cliente debe enviar otra vez un
comando de control (PORT o PASV, según el modo en el que haya conectado), y el servidor recibirá esa conexión de
datos en un nuevo puerto aleatorio (si está en modo pasivo) o por el puerto 20 (si está en modo activo). En el
protocolo FTP existen 2 tipos de transferencia en ASCII y en binarios
Jesús Torres Cejudo 10
Funcionalidad del servicio de transferencia de archivos. - Tipos de transferencia de archivos: ASCII y Binario. Tipo ASCIIAdecuado para transferir archivos que sólo contengan caracteres imprimibles (archivos ASCII,
no archivosresultantes de un procesador de texto), por ejemplo páginas HTML, pero no las imágenes que
puedan contener. Tipo BinarioEste tipo es usado cuando se trata de archivos comprimidos, ejecutables para PC, imágenes,
archivos de audio...Ejemplos de cómo transferir algunos tipos de archivo dependiendo de su extensión:
Jesús Torres Cejudo 11
Funcionalidad del servicio de transferencia de archivos. - Clientes FTP : en línea de comandos, entornos “gráficos” y navegadores /
exploradores. Comandos: desde un terminal podemos acceder por ejemplo:
Entorno gráfico:Filezilla:FileZilla es un cliente de FTP que incluye todos los comandos y funciones que cabe esperar de
un programa de estascaracterísticas.GoFTP es un cliente FTP que usa tecnología especial de “sobrellenado de memoria
intermedia” y comprensión sobrela marcha para conseguir velocidades 3 veces superiores a la de otros programas de FTP
multitarea.
Jesús Torres Cejudo 12
Funcionalidad del servicio de transferencia de archivos. Mediante Navegadores:Mediante navegadores podemos acceder a un servidor ftp, pero no podremos subir un archivo
al servidor desde el Navegador, tan solo descargar.
Jesús Torres Cejudo 13
Funcionalidad del servicio de transferencia de archivos. - Monitorización y registro del servicio de transferencia de archivos. Para saber quién está conectado a su servidor vía FTP, en qué directorios se encuentran y
qué archivos están cargando odescargando del servidor:1. Vaya a Herramientas y utilidades > Sesiones Activas. Haga clic en la pestaña Sesiones
FTP. Se mostrarán todas lassesiones, incluida la suya, así como los siguientes detalles: Estado. Estado actual de la conexión FTP. Nombre de usuario FTP. Nombre de usuario usado para acceder a la cuenta FTP. Nombre de dominio. Dominio en el que el usuario FTP está conectado. Ubicación actual. Directorio donde se encuentra el usuario FTP. Nombre del Archivo. El nombre de archivo con el que se opera. Velocidad. Velocidad de transferencias en kilo bites. Progreso, %. Progreso de la operación de transferencia de archivo en porcentaje. Dirección IP. Dirección IP desde la que se accede a la cuenta FTP. Hora de acceso. Tiempo transcurrido desde que el usuario se conectó. Tiempo de inactividad. Tiempo en que el usuario no estaba realizando ninguna acción en
el panel de control aún y estando conectado.3. Para actualizar la lista de sesiones FTP haga clic en Actualizar4. Para finalizar la sesión marque la casilla respectiva y haga clic en Eliminar.
Jesús Torres Cejudo 14
Funcionalidad del servicio de transferencia de archivos. - Seguridad en FTP. El uso del FTP en Internet u otras redes poco fiables le expone a algunos riesgos de
seguridad. Debe conocer estosriesgos para garantizar que su política de seguridad tiene previsto cómo minimizar estos
riesgos.Es posible que el esquema de autorización sobre objetos no ofrezca suficiente protección
cuando se ejecuta el FTPen el sistema.Por ejemplo, la autorización pública de los objetos puede ser *USE, pero desea
utilizar la "seguridad demenú" para impedir que los usuarios accedan a dichos objetos. (La seguridad de menú impide
a los usuarios realizarninguna acción que no esté en sus opciones de menú). Como los usuarios de FTP no están
restringidos a los menús,podrán leer todos los objetos del sistema.A continuación se proporcionan algunas opciones
para controlar esteriesgo de seguridad:
◦ Aplique la seguridad completa de objetos de iSeries en el sistema (en otras palabras, cambie el modelo de seguridad del sistema de "seguridad de menú" a "seguridad de objetos"). Esta es la opción más segura.
◦ Grabe programas de salida del FTP para restringir el acceso a los archivos que se puedan transferir por FTP. Estos programas de salida deben proporcionar una seguridad como mínimo equivalente a la seguridad del programa de menús. Es posible que la mayoría de usuarios deseen restringir aún más los controles de acceso al FTP. Esta opción sólo se aplica al FTP, no a otras interfaces como ODBC, DDM o DRDA.Nota:La autoridad *USE a un archivo permite al usuario descargar el archivo. La autoridad *CHANGE a un archivo permite al usuario cargar el archivo.
Un hacker puede montar un ataque de "negativa de servicio" con el servidor FTP para inhabilitar perfiles de usuario
en el sistema. Para ello, se realizan repetidos intentos de inicio de sesión con la contraseña incorrecta de un perfil de
usuario, hasta que el perfil se inhabilita. Este tipo de ataque inhabilita el perfil de usuario si se alcanza un máximo de
tres intentos de inicio de sesión.
Jesús Torres Cejudo 15
Funcionalidad del servicio de transferencia de archivos. Para evitar este riesgo, se deben analizar las concesiones que está dispuesto a hacer para
aumentar la seguridad y minimizar el ataque, con la consiguiente disminución de facilidad de acceso para los usuarios. El servidor FTP normalmente pone un límite al valor de sistema QMAXSIGN para evitar que el hacker pueda realizar infinitos intentos para adivinar la contraseña y montar ataques de contraseña. A continuación se proporcionan algunas opciones pueden ser de gran ayuda:
Utilice un programa de salida de inicio de sesión del servidor FTP para rechazar las peticiones de inicio de sesión de los perfiles de usuario de cualquier sistema, y de los perfiles de usuario que no desee que tengan acceso al FTP. (Cuando se utiliza un programa de salida de este tipo, los intentos de inicio de sesión rechazados por el punto de salida de inicio de sesión del servidor de los perfiles de usuarios bloqueados no se cuentan en el recuento de QMAXSIGN del perfil).
Utilice un programa de salida de inicio de sesión del servidor FTP para limitar las máquinas cliente desde las que un perfil de usuario dado puede acceder al servidor FTP. Por ejemplo, si un usuario de Contabilidad tiene acceso al FTP, permita sólo el acceso al servidor FTP de este perfil de usuario en los sistemas que tengan la dirección IP en el departamento de Contabilidad.
Utilice un programa de salida de inicio de sesión del servidor FTP para registrar el nombre de usuario y la dirección IP de todos los intentos de inicio de sesión de FTP. Consulte estos registros periódicamente, y siempre que un perfil quede inhabilitado por sobrepasar el número máximo de intentos de contraseña, utilice la información de la dirección IP para identificar al responsable y tomar las medidas adecuadas.
Jesús Torres Cejudo 16
Funcionalidad del servicio de transferencia de archivos. - FTPS (FTP/SSL): FTPS Implícito. FTPS Explícito (FTPES) FTPS (comúnmente referido como FTP/SSL) es un nombre usado para abarcar un número
de formas en las cuales el software FTP puede realizar transferencias de ficheros seguras. Cada forma conlleva el uso de una capa SSL/TLS debajo del protocolo estándar FTP para cifrar los canales de control y/o datos. No debería confundirse con el protocolo de transferencia de ficheros SFTP, el cual suele ser usado con SSH.
El uso más común de FTP y SSL es: AUTH TLS o FTPS Explicito, nombrado por el comando emitido para indicar que la
seguridad TLS es obligatoria. Este es el método preferido de acuerdo al RFC que define FTP sobre TLS. El cliente se conecta al puerto 21 del servidor y comienza una sesión FTP sin cifrar de manera tradicional, pero pide que la seguridad TLS sea usada y realiza la negociación apropiada antes de enviar cualquier dato sensible.
AUTH como está definido en RFC 2228. FTPS Implícito es un estilo antiguo, pero todavía ampliamente implementado en el cual
el cliente se conecta a un puerto distinto (como por ejemplo 990), y se realiza una negociación SSL antes de que se envíe cualquier comando FTP.
Jesús Torres Cejudo 17
Funcionalidad del servicio de transferencia de archivos. - Protocolo FXP (File eXchange Protocol). File eXchange Protocol (FXP) es un método de transferencia de datos, a través del cual los datos se envían
de unservidor FTP a otro sin pasar por un cliente intermedio. La comunicación convencional FTP consiste en un
soloservidor y un solo cliente. Toda la transferencia de datos se realiza entre los dos. Durante una sesión FXP,
un clientemantiene conexiones estándares con dos servidores, dirigiendo cualquiera de los dos servidores que se
conecte alotro para iniciar una transferencia de datos. Este método permite a un cliente con poco ancho de bandaintercambiar datos entre dos servidores con mas ancho de banda sin el retraso asociado con la
comunicaciónconvencional FTP. A lo largo de este proceso, sólo el cliente es capaz de acceder a los recursos de los dos
servidores.
FXP a través de SSL Algunos servidores FTP como glFTPD, RaidenFTPd y wzdftpd soportan la negociación de un canal de dato
seguroentre dos servidores mediante cualquiera de las dos órdenes de extensión del protocolo FTP: CPSV o SSCN.Normalmente, un cliente realiza esto enviando CPSV en lugar de la orden PASV (modo pasivo), o enviando
SSCNantes de iniciar las transferencias pasivas. No obstante, ambos métodos aún son susceptibles a los
ataques Man-inthe-middle, pues los dos servidores FTP no comprueban sus respectivos certificados SSL.