Cómo configurar FTPS en un servidor Windows Server para realizar conexiones FTP seguras.
En la entrada anterior, ya comenté las diferencias entre FTP, FTPS, FTPES, SFTP, FXP y TFTP, poniendo espcial énfasis en el problema de seguridad que supone realizar conexiones FTP.
Recordemos que el protocolo FTP envía los datos al destino sin cifrar, lo cual significa que si alguien se pone a capturar paquetes en la red origen o destino, puede encontrar fácilmente datos como el nombre de usuario que ha iniciado la conexión FTP, su password, los comandos enviados, etc. Y lo que es peor, si usamos FTP y nuestra red está comprometida, el atacante puede capturar todos los archivos enviados y/o recibidos y quedarse una copia sin que lo detectemos. Por lo tanto, usar FTP puede resultar en una fuga de información no detectable.
Para evitar este problema, es recomendable no usar FTP para la transferencia de archivos. Hoy en día, casi la totalidad del software que podemos encontrar en el mercado soporta SFTP o FTPS - protocolos que cifran los datos antes de enviarlos - por lo que es casi obligatorio usar SFTP o FTPS en vez de FTP cuando tengamos que transferir archivos hacia un servidor.
¿Cómo pasar de FTP a FTPS en Windows Server?
Digamos que tenemos un Windows Server corriendo con FTP habilitado en el puerto 21 y queremos seguir manteniendo la IP y el puerto donde los usuarios se conectan. La mejor solución es pasar de FTP a FTPS, de modo que las comunicaciones cliente-servidor estarán cifradas y la funcionalidad y forma de conectar será la misma a ojos del usuario final.
En Windows Server, tenemos varias opciones a la hora de configurar FTPS. Podemos desplegar un IIS y habilitar el protocolo FTPS, por ejemplo. Podemos usar software de pago de terceros. O podemos usar una solución open source. Personalmente, prefiero usar open source. Entre las soluciones open source, destaca un programa fácil de configurar: FileZilla Server.
Podemos obtener la última versión de FileZilla Server desde:
https://filezilla-project.org/download.php?type=server
Una vez instalado el programa, nos pedirá un puerto al que conctarnos para administrar el servidor, así como un password de acceso para proteger el panel de administración:
En la ventana principal del programa, veremos un mensaje en rojo que nos avisa de que FTP sobre TLS no está activo, por lo que los inicios de sesión no son seguros:
Antes de remediarlo, vayamos al menú Edit > Settings y empecemos configurando el puerto donde vamos a ejecutar FTP sobre TLS (por defecto, en el puerto 21):
Ahora ya podemos activar FTP sobre TLS en el apartado FTP over TLS:
- Activamos el uso de FTP over TLS (FTPS).
- Deshabilitamos la opción de que se pueda usar FTP plano.
- Generamos un nuevo certificado para que se use en las conexiones.
Ahora toca añadir usuarios. Nos vamos al menú Edit > Users:
- Clicamos Add user y le damos un nombre.
- Le damos un password al usuario.
- Marcamos “Force TLS for user login”.
Vamos al apartado "Shared folders" y elegimos a qué carpetas podrá acceder cada usuario, así como qué podrá hacer en ellas: leer, escribir, borrar archivos...
Palabras finales
Ya tenemos el acceso al servidor asegurado por FTP sobre TLS. Con FileZilla Server es un proceso la mar de sencillo y rápido, además de intuitivo. Para terminar, decir que navegando por los menús encontraréis muchas más opciones con las que personalizar vuestro servicio de FTPS.
Fuentes:
https://riunet.upv.es/bitstream/handle/10251/75627/Servidor%20FTPWindows%202012%20r2_v2.pdf
https://es.wikipedia.org/wiki/FTPS
https://wiki.filezilla-project.org/Network_Configuration
0 comentarios:
Publicar un comentario