Documente Academic
Documente Profesional
Documente Cultură
FTP 2 SMR-SR
1. Introduccin.
Una de las principales ventajas que ofrecen las redes basadas en TCP/IP es la posibilidad de
transferir informacin entre los equipos que forman parte de ellas. Existen mltimples
servicios de red que permiten a los usuarios enviar ficheros de unos sistemas a otros, por
ejemplo, servicios de correo electrnico, servicios web, servicios P2P, etc
Nosotros nos vamos a centrar en servicios diseados especficamente para la transmisin de
ficheros entre diferentes sistemas, enfocndonos en el protocolo FTP (File Transfer Protocol).
2. Servicios FTP.
FTP es un protocolo de capa de aplicacin diseado para ofrecer un servicio estndar de
transferencia de ficheros entre sistemas conectados a redes TCP/IP.
2.1. Caractersticas.
FTP ofrece uno de os servicios ms antiguos de transferencia de ficheros y se sigue utilizando
en Internet y en redes corporativas.
Permite a los usuarios:
Acceder a sistemas remotos y listar directorios y ficheros.
Transferir ficheros desde o hacia el sistema remoto, es decir, subir (upload) o bajar
(download) ficheros.
Realizar acciones adicionales en el sistema remoto como renombrar, borrar, crear
archivos y carpetas, cambiar permisios, descomprimir
Es un servicio fcil de mantener y configurar para los administradores, ofrece rapidez en la
transferencia de ficheros y abstrae a los usuarios de los detalles de los sistemas operativos
empelados. Existen mltiples implementaciones tanto libres como propietarias.
1
UT 4. Servicios de transferencia de ficheros. FTP 2 SMR-SR
2.4.3. Navegadores/exploradores.
Los navegadores y los exploradores de archivos actuales pueden actuar como clientes ftp. Para
utilizarlos hay que indicar en la direccin que se realizar la conexin a un servidor FTP:
Formato general: ftp://[usuario][:password]@servidor.
2
UT 4. Servicios de transferencia de ficheros. FTP 2 SMR-SR
ACTIVIDAD 4.5.
Inicia una sesin en w7XX con un usuario con privilegios de administrador. Inicia una
captura del trfico con Wireshark en modo no promiscuo, abre un terminal y utiliza el
cliente ftp en lnea de comandos para establecer una conexin como usuario annimo
a ftp.uvigo.es.
Para la captura en Wireshark, selecciona una trama que contenga el protocolo FTP, haz
clic con el botn derecho del ratn y selecciona Follow TCP Stream.
Observa y analiza los comandos y respuesta FTP. Qu modo ha usado el cliente FTP
para conectarse?
3
UT 4. Servicios de transferencia de ficheros. FTP 2 SMR-SR
Por la conexin de control nunca se envan datos (incluidos listados de directorios) y por las
conexiones de datos nunca se envan comandos de control.
Inicialmente los servidores FTP usaban el puerto 21/TCP para atender las conexiones de
control (esto contina siendo as) y el puerto 20/TCP para iniciar las conexiones de datos.
Actualmente, debido a una serie de problemas, no se usan siempre el puerto 20 para las
conexiones de datos. Los clientes utilizan puertos mayores para iniciar o atender conexiones.
Un cliente FTP puede iniciar una conexin a un servidor de dos formas distintas que se
conocen como modo activo y modo pasivo.
4
UT 4. Servicios de transferencia de ficheros. FTP 2 SMR-SR
De este modo, es el servidor el que inicia las conexiones de datos y el cliente tiene que abrir
puertos para atender dichas conexiones. La mquina que ejecuta el cliente FTP tiene que
aceptar conexiones a puertos, usados en las transferencias
transferencias de datos, superiores a 1023. Esto
puede comprometer la seguridad del equipo.
Los cortafuegos instalados en el equipo donde se encuentra el cliente FTP o en la red a
la que pertenece evitarn estas conexiones aleatorias para prevenir ataques.
Si el equipo donde est el cliente est detrs de un encaminador /NATP, este
descartar las conexiones iniciadas desde el exterior por el servidor FTP a los puertos
que abre el cliente. Es muy habitual que los equipos de una red privada que se conecta
a Internet
rnet lo hagan a travs de un encaminador que implementa NATP.
Para solventar este problema se desarroll el modo pasivo.
5
UT 4. Servicios de transferencia de ficheros. FTP 2 SMR-SR
El modo pasivo resuelve el problema de que el cliente tenga que aceptar conexiones en
puertos mayores a 1023 pero traslada el problema al servidor.
La mquina donde se ejecuta ejecuta el servidor FTP tiene que aceptar conexiones en
mltiples puertos y esto es una amenaza para la seguridad del equipo. Los cortafuegos
actuales permiten realizar un seguimiento de las conexiones pasivas de datos,
comprobando que el cliente que solicita la conexin al puerto especificado por el
servidor se corresponde con el cliente al que se le indic ese puerto y que, por tanto,
la conexin se establece para el envo o recepcin de datos.
Si el servidor est detrs de un NATP hay que.
o Configurar en el servidor la IP externa que usa el NATP y un rango de puertos
para aceptar conexiones de datos.
o Redirigir el rango de puertos del encaminador que hace NATP al equipo donde
estar el servidor FTP.
NOTA:
PASSIVE MODE
Uno de los trminos que se suelen or cuando se habla de problemas con el ftp es el de passive mode.
Aqu vamos a ver de qu se trata, y por qu es la solucin a muchos problemas de conectividad
Como sabemos en toda transferencia ftp interviene un programa servidor y un programa cliente. El
programa servidor se ejecuta donde estn almacenados los ficheros que se quieren bajar (o donde se
almacenarn los que deseamos subir) y el programa cliente es el programa ftp que usamos desde la
maquina local, para subirr o bajar los ficheros.
En este proceso de comunicacin entre cliente y servidor, el cliente puede actuar en modo activo o en
modo pasivo.
Una conexin ftp usa dos puertos, abre dos canales: Uno ser el puerto de comandos, command port o
control port (normalmente
malmente puerto 21) por donde se transfieren las rdenes. El otro es el puerto de
datos (data port) que es por donde circulan los datos que integran los ficheros (normalmente el puerto
20, pero puede ser cualquiera por encima del 1023)
modo activo
Cuando usamos
samos ftp en modo activo (tambin considerado modo normal)) se establecen dos conexiones
distintas. El primer lugar se establece una conexin para la transmisin de comandos (desde cualquier
puerto de nuestro ordenador superior a 1023 hacia el puerto 21 del server) y por esa misma conexin,
mediante un comando PORT se indica al server cual es el puerto (distinto) de nuestro ordenador que
est a la escucha de los datos.
Entonces, si bajamos algn archivo, es el servidor el que inicia la transmisin de datos, desde su puerto
20 al puerto que le hemos indicado. Se llama modo activo porque la transmisin de datos es iniciada
como proceso distinto desde el servidor, hacia el puerto que le hemos indicado.
modo pasivo
En modo pasivo es siempre el programa cliente el que inicia la conexin con el servidor. Al abrir una
conexin ftp se abre primero una conexin de control (desde un puerto superior a 1023 de la maquina
local al puerto 21 del server). Al pasar a modo pasivo (comando PASV), el cliente pide un puerto abierto
6
UT 4. Servicios de transferencia de ficheros. FTP 2 SMR-SR
al servidor (ser otro puerto superior al 1023 del server) y recibida la contestacin, ser el cliente el que
establezca la conexin de datos al server a travs de ese puerto.
A modo de resumen podemos decir que en modo pasivo las conexiones son siempre abiertas por el pc
cliente, mientras que en modo pasivo se abren por el que enva los datos (el server si se trata de bajar
archivos al pc local, el cliente si se trata de subir archivos al server).
Y por qu supone un problema el modo activo ?
Como hemos visto, en el modo activo se abre una conexin para datos desde el server a la maquina
cliente, esto es, una conexin de fuera a dentro.
Entonces, si la maquina cliente est protegida por un firewall, este filtra o bloquea la conexin entrante,
al serle un proceso desconocido.
En modo pasivo es el cliente el que inicia ambas conexiones, de control y de datos, con lo cual el firewall
no tiene ninguna conexin entrante que filtrar
7
UT 4. Servicios de transferencia de ficheros. FTP 2 SMR-SR
Permite que las aplicaciones cliente utilicen puertos TCP / UDP dinmicos para
comunicarse con puertos conocidos usados por las aplicaciones de servidor, incluso si la
configuracin del firewall permite el trfico a travs de slo un nmero limitado de
puertos. Sin un ALG, los puertos seran bloqueados o el administrador de la red tendran
que abrir una gran cantidad de puertos en el firewall, provocando un debilitamiento de la
red y permitiendo potenciales ataques en esos puertos.
Reconoce comandos especficos de aplicacin y ofrece controles de seguridad sobre ellos.
Puede convertir la informacin de direccionamiento de la capa de red que se encuentra en
la carga til (payload) de la aplicacin.
Sincroniza mltiples flujos o sesiones entre hosts.
En definitiva, ALG es la solucin a los Firewall de los clientes cuando estos quieren conectarse a
FTP de modo activo, de este modo la configuracin en el servidor se hace ms sencilla y
segura.
8
UT 4. Servicios de transferencia de ficheros. FTP 2 SMR-SR
2.9. Seguridad.
FTP no es un protocolo seguro. Fue diseado para ofrecer velocidad pero no seguridad. Se
utilizan mecanismos de autenticacin de usuarios para determinar los privilegios de acceso y
transferencia en el servidor, pero:
No se usan mecanismos para garantizar que los equipos involucrados en la
transferencia son quienes dicen ser. Es vulnerable a ataques de suplantacin de
identidad (spoofing).
Todo el intercambio de informacin, incluyendo el usuario y password y la
transferencia de cualquier archivo se realiza en texto plano sin ningn tipo de
cifrado. Es vulnerable a ataques de anlisis de trfico de red (sniffing).
Los clientes y servidores FTP pueden tener vulnerabilidades y ser aprovechadas por
potenciales atacantes para comprometer los datos y los equipos donde se ejecutan.
9
UT 4. Servicios de transferencia de ficheros. FTP 2 SMR-SR
3. Servicio TFTP.
TFTP (Trivial FTP) es un protocolo de capa de aplicacin diseado para ofrecer un servicio de
transferencia de ficheros simple y rpido basado en el modelo cliente/servidor. Al igual que en
FTP existen clientes TFTP y servidores TFTP.
Sus caractersticas principales son:
Utiliza UDP como protocolo de nivel de transporte y usan el puerto 69/UDP como
puerto estndar.
No existen mecanismos de autenticacin o cifrado.
Al usar UDP como protocolo de transporte, no se garantiza la integridad de la informacin
transmitida, pero la velocidad de transferencia es mayor que con FTP.
Se utiliza principalmente en estaciones o dispositivos de red para cargar y hacer copias de
seguridad del sistema operativo, archivos de configuracin, aplicaciones, etc.
CISCO usa TFTP para realizar copias de seguridad de archivos de configuracin y cargar nuevas
versiones del sistema operativo en sus dispositivos.
4. Servicios SFTP/SCP
SSH (Secure Shell Protocol) es un protoclo de capa de aplicacin diseado para ofrecer un
servicio de acceso a terminales de equipos remotos. Est basado en el modelo
cliente/servidor. El cliente SSH permite establecer conexiones a terminales del equipo donde
ejecuta el servidor SSH. Los servidores SSH usan el puerto 22/TCP como puerto estndar.
SSH es uno de los protocolos de acceso remoto ms usados, a diferencia de otros protocolos,
como Telnet, ofrece autenticacin, confidencialidad e integridad.
Se autentifica a los dos extremos de la conexin.
o El servidor se autentica ante el cliente con una clave.
o El cliente se autentica ante el servidor.
Se cifran los datos intercambiados.
o Nombres de usuarios y passwords viajan cifrados.
o La informacin transmitida viaja tambin cifrada.
SSH, adems de otras funcionalidades, integra mecanismos de transferencia de ficheros
garantizando igualmente autenticacin, confidencialidad e integridad. Se basa en los
protocolos SFTP (SSH FTP) y SCP (Secure Copy Protocol).
SFTP
o Permite la transferencia de ficheros entre sistemas remotos.
o Permite listar ficheros y directorios del servidor.
o Permite realizar funciones adicionales en el servidor como renombrar, borrar,
crear archivos y carpetas, cambiar permisos, etc
SCP
o Permite la copia de ficheros entre sistemas remotos.
Los servidores SSH atienden peticiones de transferencia de ficheros desde clientes SFTP y/o
SCP.
10