Buscar en este blog

lunes, 1 de octubre de 2012

SERVIDOR FTP



"FILE TRANSFER PROTOCOL"


Protocolo de Transferencia de Archivos') en informática, es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP (Transmission Control Protocol), basado en la arquitectura cliente-servidor. Desde un equipo cliente se puede conectar a un servidor para descargar archivos desde él o para enviarle archivos, independientemente del sistema operativo utilizado en cada equipo.
El servicio FTP es ofrecido por la capa de aplicación del modelo de capas de red TCP/IP al usuario, utilizando normalmente el puerto de red 20 y el 21. Un problema básico de FTP es que está pensado para ofrecer la máxima velocidad en la conexión, pero no la máxima seguridad, ya que todo el intercambio de información, desde el login y password del usuario en el servidor hasta la transferencia de cualquier archivo, se realiza en texto plano sin ningún tipo de cifrado, con lo que un posible atacante puede capturar este tráfico, acceder al servidor y/o apropiarse de los archivos transferidos.

PUERTOS QUE UTILIZA FTP:20 Y 21
PUERTO 20: Utilizado para el flujo de datos entre el cliente y el servidor (Por donde pasan los datos)
PUERTO 21:Para el flujo de control, es decir para enviar órdenes o comandos ejecutados por el cliente e interpretados por el shell.
Mientras se transfieren datos a través del flujo de datos, el flujo de control permanece a la espera trabajando  en una arquitectura cliente -servidor.






ACCESO ANONIMO


Los servidores FTP anónimos ofrecen sus servicios libremente a todos los usuarios, permiten acceder a sus archivos sin necesidad de tener un 'USER ID' o una cuenta de usuario. Es la manera más cómoda fuera del servicio web de permitir que todo el mundo tenga acceso a cierta información sin que para ello el administrador de un sistema tenga que crear una cuenta para cada usuario.
Si un servidor posee servicio 'FTP anonymous' solamente con teclear la palabra «anonymous», cuando pregunte por tu usuario tendrás acceso a ese sistema. No se necesita ninguna contraseña preestablecida, aunque tendrás que introducir una sólo para ese momento, normalmente se suele utilizar la dirección de correo electrónico propia.


ACCESO DE USUARIO LOCAL

Si se desea tener privilegios de acceso a cualquier parte del sistema de archivos del servidor FTP, de modificación de archivos existentes, y de posibilidad de subir nuestros propios archivos, generalmente se suele realizar mediante una cuenta de usuario. En el servidor se guarda la información de las distintas cuentas de usuario que pueden acceder a él, de manera que para iniciar una sesión FTP debemos introducir una autentificación (en inglés: login) y una contraseña (en inglés: password) que nos identifica unívocamente.


 CLIENTE FTP BASADO EN WEB

Un «cliente FTP basado en Web» no es más que un cliente FTP al cual podemos acceder a través de nuestro navegador web sin necesidad de tener otra aplicación para ello. El usuario accede a un servidor web (HTTP) que lista los contenidos de un servidor FTP. El usuario se conecta mediante HTTP a un servidor web, y el servidor web se conecta mediante FTP al servidor FTP. El servidor web actúa de intermediario haciendo pasar la información desde el servidor FTP en los puertos 20 y 21 hacia el puerto 80 HTTP que ve el usuario.
Siempre hay momentos en que nos encontramos fuera de casa, no llevamos el ordenador portátil encima y necesitamos realizar alguna tarea urgente desde un ordenador de acceso público, de un amigo, del trabajo, la universidad, etc. Lo más común es que no estén instaladas las aplicaciones que necesitamos y en muchos casos hasta carecemos de los permisos necesarios para realizar su instalación. Otras veces estamos detrás de un proxy o cortafuegos que no nos permite acceder a servidores FTP externos



ACCESO INVITADO 

El acceso sin restricciones al servidor que proporcionan las cuentas de usuario implica problemas de seguridad, lo que ha dado lugar a un tercer tipo de acceso FTP denominado invitado (guest), que se puede contemplar como una mezcla de los dos anteriores.
La idea de este mecanismo es la siguiente: se trata de permitir que cada usuario conecte a la máquina mediante su login y su password, pero evitando que tenga acceso a partes del sistema de archivos que no necesita para realizar su trabajo, de esta forma accederá a un entorno restringido, algo muy similar a lo que sucede en los accesos anónimos, pero con más privilegios.



MODOS DE CONEXIÓN CLIENTE FTP  

FTP admite dos modos de conexión del cliente. Estos modos se denominan activo (o Estándar, o PORT, debido a que el cliente envía comandos tipo PORT al servidor por el canal de control al establecer la conexión) y pasivo (o PASV, porque en este caso envía comandos tipo PASV). Tanto en el modo Activo como en el modo Pasivo, el cliente establece una conexión con el servidor mediante el puerto 21, que establece el canal de control.

MODO ACTIVO

En modo Activo, el servidor siempre crea el canal de datos en su puerto 20, mientras que en el lado del cliente el canal de datos se asocia a un puerto aleatorio mayor que el 1024. Para ello, el cliente manda un comando PORT al servidor por el canal de control indicándole ese número de puerto, de manera que el servidor pueda abrirle una conexión de datos por donde se transferirán los archivos y los listados, en el puerto especificado.
Lo anterior tiene un grave problema de seguridad, y es que la máquina cliente debe estar dispuesta a aceptar cualquier conexión de entrada en un puerto superior al 1024, con los problemas que ello implica si tenemos el equipo conectado a una red insegura como Internet. De hecho, los cortafuegos que se instalen en el equipo para evitar ataques seguramente rechazarán esas conexiones aleatorias. Para solucionar esto se desarrolló el modo pasivo.






MODO PASIVO

Cuando el cliente envía un comando PASV sobre el canal de control, el servidor FTP le indica por el canal de control, el puerto (mayor a 1023 del servidor. Ejemplo:2040) al que debe conectarse el cliente. El cliente inicia una conexión desde el puerto siguiente al puerto de control (Ejemplo: 1036) hacia el puerto del servidor especificado anteriormente (Ejemplo: 2040).1
Antes de cada nueva transferencia tanto en el modo Activo como en el Pasivo, el cliente debe enviar otra vez un comando de control (PORT o PASV, según el modo en el que haya conectado), y el servidor recibirá esa conexión de datos en un nuevo puerto aleatorio (si está en modo pasivo) o por el puerto 20 (si está en modo activo). En el protocolo FTP existen 2 tipos de transferencia en ASCII y en binarios.






 LINEA DE COMANDOS SERVIDOR FTP


COMANDO                            FUNCIÓN

open servidor Inicia una conexión con un servidor FTP.
close disconnect Finaliza una conexión FTP sin cerrar el programa cliente.
bye o quit Finaliza una conexión FTP y la sesión de trabajo con el programa cliente.
cd directorio Cambia el directorio de trabajo en el servidor.
delete archivo Borra un archivo en el servidor
mdelete patrón Borra múltiples archivos basado en un patrón que se aplica al nombre.
dir Muestra el contenido del directorio en el que estamos en el servidor.
get archivo Obtiene un archivo
noop No Operation Se le comunica al servidor que el cliente está en modo de no operación, el servidor usualmente responde con un «ZZZ» y refresca el contador de tiempo inactivo del usuario.
mget archivos Obtiene múltiples archivos
lcd directorio Cambia el directorio de trabajo local.
ls Muestra el contenido del directorio en el servidor.
prompt Activa/desactiva la confirmación por parte del usuario de la ejecución de comandos. Por ejemplo al borrar múltiples archivos.
put archivo Envía un archivo al directorio activo del servidor.
mput archivos Envía múltiples archivos.
pwd Muestra el directorio activo en el servidor.
rename archivo Cambia el nombre a un archivo en el servidor.
rmdir directorio Elimina un directorio en el servidor si ese directorio está vacío.
status Muestra el estado actual de la conexión.
bin- binary Activa el modo de transferencia binario.
ascii Activa el modo de transferencia en modo texto ASCII.
! Permite salir a línea de comandos temporalmente sin cortar la conexión. Para volver, teclear exit en la línea de comandos.
? nombre de comando Muestra la información relativa al comando.
? o help Muestra una lista de los comandos disponibles.
append nombre del archivo Continua una descarga que se ha cortado previamente.
bell Activa/desactiva la reproducción de un sonido cuando ha terminado cualquier proceso de transferencia de archivos.
glob Activa/desactiva la visualización de nombres largos de nuestro PC.
literal Con esta orden se pueden ejecutar comandos del servidor de forma remota. Para saber los disponibles se utiliza: literal help.
mkdir Crea el directorio indicado de forma remota.
quote Hace la misma función que literal.
send nombre del archivo Envía el archivo indicado al directorio activo del servidor.
user Para cambiar nuestro nombre de usuario y contraseña sin necesidad de salir de la sesión ftp.



CONFIGURACIÓN SERVIDOR FTP



ARCHIVO DE CONFIGURACIÓN FTP "VSFTPD"

"VSFTPD" Es denominado como el archivo de configuración global del ftp, en el cual se pueden configurar las lineas respectivas para obtener el buen funcionamiento del servidor ftp. Se deberán configurar las siguientes lineas.

NOTA: Recordemos que al quitarle el carácter # lo cual se llama " descomentar" de esta forma activamos su funcionamiento.


 Anonymous_enable=NO: Se utiliza para definir si se permitirán los accesos anónimos delservidor. Establezca como valor YES - NO de acuerdo al resultado que se requiera. e utiliza para definir si se permitirán los accesos 
 
Local_enable=YES: Para habilitar o denegar los accesos autenticados de los usuarios locales del
servidor FTP.
  
ftpd_banner=Bienvenido al Servidor FTP Linux : Este parámetro sirve para establecer un
mensaje de bienvenida el cual será mostrado cada vez que un usuario acceda al servidor de archivos.
Una vez ubicada esta linea recuerde borrar ( si es que esta ) el signo de numero (#) para habilitar 
esta función.
 
chroot_list_enable=YES |NO: Para limitar a los usuarios a trabajar en su propia carpeta 
trabajo.
 chroot_list_file=/etc/vsftpd/chroot_list:  Habilitar este parámetro indicara al servidor 
 que el usuario solo podrá trabajar dentro de su carpeta de trabajo, para
 ello solo habrá que teclear la palabra YES, en caso contrario use la palabra NO El siguiente parámetro se encuentra en función del anterior, de forma que si usted lo habilito también tendrá que habilitar este ultimo, para ello solo deberá borrar el carácter de numero (#).


  EN LA LISTA "USER_LIST" AGREGAMOS LOS USUARIOS QUE QUEREMOS ENJAULAR.





EN LA LISTA CHROOT_LIST AGREGAREMOS LOS USUARIOS QUE NO QUERAMOS ENJAULAR




EN EL ARCHIVO "etc/passwd" ESPECIFICAMOS LA RUTA DE LOS USUARIOS


DE ESTA MANERA COMPROBAMOS SI LOS USUARIOS HAN SIDO ENJAULADOS CORRECTAMENTE





No hay comentarios:

Publicar un comentario