Documente Academic
Documente Profesional
Documente Cultură
http://www.esdebian.org/seguridad/23791/servidor...
esDebian
Buscar
Inicio
Wiki
Artculos
Blogs
Videos
Foro
Qu haces?
1 de 3
29/05/11 18:16
http://www.esdebian.org/seguridad/23791/servidor...
Conexiones Principal
Mi perfil
Envos recientes
Soplona
Crear contenido
Mi cuenta
Informacin
Contacto
Uno de los antiguos servicios bsicos de Internet es sin duda el que hoy da sigue generando mayor peligro en nuestros sistemas: FTP o File Transfer Protocol, es decir Protocolo para la Transferencia de Ficheros, que aunque va siendo reemplazado cada da mas por las redes P2P y el protocolo HTTP sigue teniendo una gran importancia. Cual es el problema de FTP? Sencillamente que todas las transferencias se hacen sin ningn tipo de cifrado, por lo que todos los comandos y datos (y lo que es ms grave, los datos de usuario y contrasea) que enviemos y recibamos pueden ser capturados por terceras personas. Algunos se estarn preguntando por que no usar RSSH, que aportara una solucin sobre servidores SSH. La razn es que quiero servicios totalmente independientes, que corran sobre puertos diferentes y que me permitan opciones adicionales. En mi caso usar ProFTPD, ya que es un servidor soportado por Webmin, con lo que la configuracin puede simplificarse para algunas cosas. De todas formas recomiendo configurar a mano todo. Instalar ProFTPD es muy sencillo, basta con ejecutar como root el comando: apt-get install proftpd Con eso quedar todo configurado por defecto. CHROOT est activo por defecto, con lo que nuestros usuarios quedan ceidos estrictamente a su directorio HOME, del que no pueden salir. Pero falta ensear a ProFTPD como reconocer conexiones TLS, y si lo deseamos, ensearle a que fuerce a los usuarios a utilizar TLS (altamente recomendado). Lo primero es generar un certificado para el servidor, ejecutando (de nuevo como root): make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/ssl/certs/proftpd.pem Necesitaremos introducir los datos pertinentes. Ahora editamos /etc/proftpd.conf (siempre como root) y aadimos al final lo siguiente:
<IfModule mod_tls.c> TLSEngine on TLSLog /var/ftpd/tls.log TLSProtocol TLSv1 # Obligar a los clientes a usar TLS (on/off) TLSRequired on # Certificado del Servidor TLSRSACertificateFile /etc/ssl/certs/proftpd.pem # Permitir a usuarios que deseen usar FTP sobre TLS (on/off) TLSVerifyClient on </IfModule>
Tras ello reiniciamos el servidor ftp con: /etc/init.d/proftpd restart Y listo! Con la configuracin que acabamos de poner SOLO quien use TLS podr identificarse en el servidor. Las contraseas ya no viajarn nunca en texto plano.
Documentacin empleada: FTPS: http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext.html Documentacin ProFTPD - mod_tls: http://www.castaglia.org/proftpd/modules/mod_tls.html ProFTPD mini-HOWTO - SSL/TLS: http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-TLS.html Copyright (c) 2005 Julio Gonzlez Gil. Este artculo puede copiarse, distribuirse y/o modificarse bajo los trminos de la Licencia GNU para Documentacin Libre 1.1 o superior, manteniendo esta nota en su totalidad
Responder 41905 lecturas Citar Suscribirse
2 de 3
29/05/11 18:16
http://www.esdebian.org/seguridad/23791/servidor...
De tu afirmacin de arriba: ssh no tiene por qu correr en el puerto 22, es ms, puedes tener muchos demonios de ssh corriendo en puertos distintos y con configuraciones distintas (son servicios distintos con opciones adicionales si es preciso). Por lo tanto no entiendo tu afirmacin. Por ltimo, aadir soporte de cifrado al protocolo de ftp ya es de por s un riesgo de seguridad, puesto que cada dos por tres se le encuentran buffers overflows y dems. Esa es la razn por la que yo uso vsftpd (el mejor en cuanto a la seguridad del cdigo fuente respecto a bugs) SIN soporte SSL . Para defenderse de ellos, el demonio de ssh se dise para "droppear" los privilegios y que la comunicacin se hiciera en base a un "fork" carente de ellos, cosa que no ocurre en los ftp. Por lo tanto: pierdo confidencialidad pero gano seguridad frente a exploits, a lo que aado que al ser un servidor SLO annimo y de slo lectura no me preocupa en exceso ya que no viaja informacin sensible. Un consejo: No elijas tu servidor por la facilidad de configuracin sino por las cualidades de seguridad/rendimiento/fiabilidad que posea (la seguridad no depende tanto del cifrado sino de la claridad y el buen hacer del cdigo fuente y la cantidad de bugs que se le saquen es un gran ndice de ello). --"Don't accept that what's happening; Is just a case of others' suffering; Or you'll find that you're joining in -Pink Floyd- On the turning away.
Responder Citar
3 de 3
29/05/11 18:16