punto 1 – funcionamiento del servicio ftp juan luis cano
TRANSCRIPT
Tema 5 – File Transfer Protocol
Punto 1 – Funcionamiento del Servicio FTP
Juan Luis Cano
FTP o Protocolo de Transferencia de Archivos es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP, está basado en la arquitectura cliente-servidor. Desde un equipo cliente se puede conectar a un servidor para descargar archivos desde él o para enviarle archivos, independientemente del sistema operativo utilizado en cada equipo.
Introducción a FTP
El servicio FTP es ofrecido por la capa de aplicación del modelo de capas de red TCP/IP al usuario, utilizando normalmente el puerto de red 20 y el 21. Un problema básico de FTP es que está pensado para ofrecer la máxima velocidad en la conexión, pero no la máxima seguridad, ya que todo el intercambio de información, desde el login y password del usuario en el servidor hasta la transferencia de cualquier archivo, se realiza en texto plano sin ningún tipo de cifrado.
Características y Funcionamiento
Servidor FTP: Máquina a la que nos queremos conectar y que debe aceptar sesiones FTP. Debe ser una máquina en la que esté activo el servicio FTP.
Servidor PI (Protocol Interpreter): El intérprete de protocolo del servidor “escucha” en el puerto 21 los comandos que le envía el intérprete de protocolo del cliente y controla el proceso de transferencia de datos del servidor. ◦ Servidor DTP (Data Transfer Protocol): El protocolo de
transferencia de datos del servidor se utiliza para transmitir los datos entre el servidor y el protocolo de transferencia de datos del cliente.
Cliente FTP: Máquina con la que nos conectamos al servidor FTP.
Componentes del servicio
El cliente FTP está compuesta por los siguientes elementos: ◦ Interfaz de usuario: conjunto de comandos de “alto nivel”
que el usuario puede memorizar más fácilmente que los comandos FTP que se envían entre cliente y servidor.
◦ Cliente PI: El intérprete de protocolo de usuario inicia el control de la conexión a través del puerto 21 con el servidor FTP, envía los comandos FTP una vez codificados por la interfaz de usuario y los envía al intérprete de protocolo del servidor, y controla el proceso de transferencia de los archivos (DTP) o Cliente DTP
Elementos del cliente FTP
En este servicio es necesaria la autenticación por parte del cliente en el servidor FTP. Por ser el pilar básico de este servicio, la autenticación de usuarios se ha dividido en varias ramas según las necesidades de la conexión. Los tres tipos de conexión son: Acceso anónimo Acceso de usuario Acceso de invitado
Sus características son:
Tipos de usuario y acceso
Los servidores FTP anónimos ofrecen sus servicios libremente a todos los usuarios, permiten acceder a sus archivos sin necesidad de tener un 'USER ID' o una cuenta de usuario. Es la manera más cómoda de permitir que todo el mundo tenga acceso a cierta información sin que para ello el administrador de un sistema tenga que crear una cuenta para cada usuario.De esta manera, solamente con teclear la palabra «anonymous», cuando pregunte por tu usuario tendrás acceso a ese sistema. No se necesita ninguna contraseña preestablecida, aunque tendrás que introducir una sólo para ese momento. Con esto se consigue acceso a los archivos del FTP, aunque con menos privilegios que un usuario normal. Normalmente, se utiliza un servidor FTP anónimo para depositar grandes archivos que no tienen utilidad si no son transferidos a la máquina del usuario.
Acceso anónimo
Si se desea tener privilegios de acceso a cualquier parte del sistema de archivos del servidor FTP, de modificación de archivos existentes, y de posibilidad de subir nuestros propios archivos, generalmente se suele realizar mediante una cuenta de usuario. En el servidor se guarda la información de las distintas cuentas de usuario que pueden acceder a él, de manera que para iniciar una sesión FTP debemos introducir una autentificación y una contraseña que nos identifica unívocamente.
Acceso de usuario
El acceso sin restricciones al servidor que proporcionan las cuentas de usuario implica problemas de seguridad, lo que ha dado lugar a un tercer tipo de acceso FTP denominado invitado (guest), que se puede contemplar como una mezcla de los dos anteriores.La idea de este mecanismo es la siguiente: se trata de permitir que cada usuario conecte a la máquina mediante su login y su password, pero evitando que tenga acceso a partes del sistema de archivos que no necesita para realizar su trabajo, de esta forma accederá a un entorno restringido, algo muy similar a lo que sucede en los accesos anónimos, pero con más privilegios.
Acceso de invitado
Al tener estos tres tipos de acceso, es importante tener claro qué permisos se le aplicará a cada tipo, según lo importante que vaya a ser cada uno en nuestra empresa. Como se ha dicho anteriormente, el acceso anónimo ha de estar bastante limitado en cuanto a temas de subida y bajada del servidor. Es muy usual permitirle descargar todos los archivos del directorio en el que se encuentre, que podría ser la parte pública del servidor. Por el contrario, se le suele restringir el poder subir archivos al servidor.
Configuración de FTP
Hay dos tipos de restricciones básicas en este servicio para controlar los privilegios de cada usuario, éstos son:
Permisos: Son los permisos sobre los ficheros, ya se puedan tanto leer como modificar. También existen permisos sobre la subida y bajada de ficheros al servidor, pudiendo permitirse o restringirse sobre usuarios creados o sobre el usuario anónimo si se encuentra habilitado.
Cuotas: Se suelen establecer cuotas o límites de subida y bajada según el tamaño de los archivos para controlar el servicio ofrecido. De esta manera es muy usual limitar mucho los límites de bajada en servidores de Internet para incitar a usuarios a pagar por tener una cuenta. En el ámbito empresarial es muy común controlar el espacio que utiliza cada usuario en el servidor FTP.
Restricciones en FTP
FTP utiliza dos conexiones TCP, una para control y otra para datos. La conexión de control se utiliza para emitir datos de
control entre los dos equipos. La conexión de datos es la que se establece para
transmitir el fichero. Si se han de transmitir varios ficheros se deberán establecer varias conexiones TCP, una por fichero como mínimo. Cuando se inicia la sesión FTP, el cliente FTP inicia una conexión de control con el servidor empleando para ello el puerto 21. Cuando el servidor recibe dichos datos y los ''valida'', inicia una conexión TCP con el cliente, se envía un solo fichero y se cierra la conexión. Se iniciará una nueva si hay varios ficheros que transmitir. Por tanto, las conexiones de datos se dicen no persistentes.
Conexiones
FTP admite dos modos de conexión del cliente. Estos modos se denominan activo y pasivo . Tanto en el modo Activo como en el modo Pasivo, el cliente establece una conexión con el servidor mediante el puerto 21, que establece el canal de control.
Modos de conexión FTP
En modo Activo (Estándar, o PORT, debido a que el cliente envía comandos tipo PORT al servidor por el canal de control al establecer la conexión), el servidor siempre crea el canal de datos en su puerto 20, mientras que en el lado del cliente el canal de datos se asocia a un puerto aleatorio mayor que el 1024. Para ello, el cliente manda un comando PORT al servidor por el canal de control indicándole ese número de puerto, de manera que el servidor pueda abrirle una conexión de datos por donde se transferirán los archivos y los listados, en el puerto especificado.
Modo Activo
El modo activo tiene un grave problema de seguridad, y es que la máquina cliente debe estar dispuesta a aceptar cualquier conexión de entrada en un puerto superior al 1024, con los problemas que ello implica si tenemos el equipo conectado a una red insegura como Internet. De hecho, los cortafuegos que se instalen en el equipo para evitar ataques seguramente rechazarán esas conexiones aleatorias. Para solucionar esto se desarrolló el modo pasivo.
Problemas del Modo Activo
En modo Pasivo (o PASV, porque en este caso envía comandos tipo PASV) el cliente envía un comando PASV sobre el canal de control, el servidor FTP le indica por el canal de control, el puerto (mayor a 1023 del servidor. Ej:2040) al que debe conectarse el cliente. El cliente inicia una conexión desde el puerto siguiente al puerto de control (ej: 1036) hacia el puerto del servidor especificado anteriormente (ej: 2040).
Modo Pasivo
Es importante conocer cómo debemos transportar un archivo a lo largo de la red. Si no utilizamos las opciones adecuadas podemos destruir la información del archivo. Por eso, al ejecutar la aplicación FTP, debemos acordarnos de utilizar uno de estos comandos (o poner la correspondiente opción en un programa con interfaz gráfica): Tipo ascii
◦ Adecuado para transferir archivos que sólo contengan caracteres imprimibles (archivos ASCII, no archivos resultantes de un procesador de texto), por ejemplo páginas HTML, pero no las imágenes que puedan contener.
Tipo binario◦ Este tipo es usado cuando se trata de archivos comprimidos,
ejecutables para PC, imágenes, archivos de audio...
Tipos de Transferencia de Archivos
Un cliente FTP emplea el protocolo FTP para conectarse a un servidor FTP para transferir archivos.Algunos clientes de FTP básicos vienen integrados en los sistemas operativos, incluyendo Windows, DOS, Linux y UNIX. Sin embargo, hay disponibles clientes con más funcionalidades, habitualmente en forma de shareware/freeware para dichos sistemas operativos.
Clientes FTP
Muchos navegadores recientes también llevan integrados clientes FTP (aunque un cliente FTP trabajará mejor para FTP privadas que un navegador).
Se ejecuta el comando “ftp”, para después poner open y la dirección a la que conectarse. Posteriormente se introduce al usuario “anonymuos” para conectar anónimamente sin contraseña.
Línea de comandos
Los comandos FTP utilizados son: Ftp dirección Indica que se desea realizar la conexión a dirección. El
sistema remoto solicitará información sobre la cuenta y password remotos.
Cd directorio Indica que se desea entrar en el directorio. Cd .. Salir al directorio padre. Bin Definir que las siguientes transferencias sean binarias (a 8 bits) ascii Definir que las siguientes transferencias sean en ascii (a 7
bits) get archivo Transferir archivo del directorio remoto al local. Mget expresión Transferir archivos que cumplan con la expresión
regular expresión, hacia el directorio local. Put archivo Transferir archivo del directorio local, hacia el directorio
remoto. Mput expresión Transferir los archivos que cumplan con la expresión
regular expresión, hacia el directorio local. Bye Concluir sesión.
Comandos FTP
Hay varios programas cliente para utilizar este servicio. Uno de ellos es Filezilla.
Entornos gráficos
También se admite la conexión vía navegador web.
Navegadores Web
La monitorización es imprescindible en cualquier servicio de red para auditar las conexiones y cada acción por parte del cliente. Para prevenir cualquier problema o intento de penetración en el servidor, o bien para obtener datos sobre la velocidad de las conexiones, observar los daños producidos por un ataque, etc.
Monitorización y registro
FTP es un servicio bastante utilizado en nuestros días, pero no se creó para ofrecer seguridad ya que toda la información transmitida (usuarios, contraseñas, fichero, etc.) se transmiten en texto plano. Para prevenir todos estos agujeros de seguridad se crearon protocolos para ofrecerle esa valiosa seguridad, como SFTP (FTP combinado con SSH) o FTPS (el servicio de transferencia se combina con SSL o TLS),
Seguridad en FTP
FTPS (comúnmente referido como FTP/SSL) es un nombre usado para abarcar un número de formas en las cuales el software FTP puede realizar transferencias de ficheros seguras. Cada forma conlleva el uso de una capa SSL/TLS debajo del protocolo estándar FTP para cifrar los canales de control y/o datos. No debería confundirse con el protocolo de transferencia de ficheros SFTP, el cual suele ser usado con SSH.
Hay varios tipos de FTPS, como pueden ser:
FTPS
Los tipos de FTPS utilizados son: AUTH TLS o FTPS Explícito, nombrado por el comando
emitido para indicar que la seguridad TLS es obligatoria. Este es el método preferido de acuerdo alRFC que define FTP sobre TLS. El cliente se conecta al puerto 21 del servidor y comienza una sesión FTP sin cifrar de manera tradicional, pero pide que la seguridad TLS sea usada y realiza la negociación apropiada antes de enviar cualquier dato sensible.
AUTH como está definido en RFC 2228. FTPS Implícito : Este tipo de FTP seguro es un estilo
antiguo por el que el cliente se conecta a un puerto distinto (como por ejemplo 990), y se realiza una negociación SSL antes de que se envíe cualquier comando FTP.
Tipos de FTPS
File eXchange Protocol (FXP) es un método de transferencia de datos, a través del cual los datos se envían de un servidor FTP a otro sin pasar por un cliente intermedio. La comunicación convencional FTP consiste en un solo servidor y un solo cliente, de esta manera toda la transferencia de datos se realiza entre los dos. Durante una sesión FXP, un cliente mantiene conexiones estándares con dos servidores, dirigiendo cualquiera de los dos servidores que se conecte al otro para iniciar una transferencia de datos. Este método permite a un cliente con poco ancho de banda intercambiar datos entre dos servidores con mas ancho de banda sin el retraso asociado con la comunicación convencional FTP. A lo largo de este proceso, sólo el cliente es capaz de acceder a los recursos de los dos servidores.
Protocolo FXP
Punto 2 – Servicio TFTP