Post on 29-Aug-2018
FTP EXPLICITO E IMPLICITO
FTPS (FTP/SSL): FTPS Implícito. FTPS Explícito (FTPES)
La utilización conjunta del protocolo FTP y SSL o TSLtiene dos modos de funcionamiento:
Explícito o FTPES: el cliente se conecta al puerto habitual FTP (21) y explícitamente cambia a un
modo seguro utilizando TSL o SSL, para transferir la información.
Implícito o FTPS: el cliente asume el modo seguro con TSL o SSL, desde el inicio de la conexión,
antes de transferirla información. Habitualmente se utiliza el puerto 990 en vez del habitual
puerto 21.
En esta práctica tendré un dns que ya lo tengo puesto y que no explicare porque ya lo he
realizado otras veces, también tendré una entidad certificadora para emitir los certificados,
instalare también el IIS para publicar los certificados y un sitio ftp.
El servidor tendrá la dirección ip 10.33.11.2. Ya tengo puesto el dns para este equipo la cual
será el nombre de:
Tendré configurados los demás clientes para acceder mediante dns también.
Ahora vamos a instalar la PKI (infraestructura de clave pública) Me iré a la parte de roles y lo
agregare. La pki tendrá el nombre de servicio de certificados de active directory
Instalare la entidad de certificación y la inscripción web de entidad de certificación para emitir
los certificados a través de un servidor web. Automáticamente al instalar también esta opción
me instalara IIS (servidor web)
Pulsaremos en siguiente y podremos elegir que sea de tipo de empresa o independiente por si
eres miembro de un dominio o no. En mi caso elegiré independiente
Pulsaremos en siguiente y seleccionaremos certificadora raíz porque nadie estará por encima
de mí en esta infraestructura. Normalmente en una empresa seria subordinada y compraría el
certificado a una empresa de terceros aunque no tiene por qué ser así.
Pulsaremos en siguiente y dejaremos crear una nueva clave privada.
Pulsaremos en siguiente y la longitud del certificado y tipo lo dejare por defecto.
Pulsaremos en siguiente y podremos ponerle un nombre a la entidad certificadora
Seleccionaremos un periodo para renovar los certificados
Elegiré la dirección donde guardare la base de datos
Pulsaremos en siguiente y me saldrán las características para instalar del servidor web pero lo
dejaremos como esta e instalaremos
Entraremos a administrar internet information services.
Veremos que nos ha creado dos directorios. La emisión de certificados a través de vía web se
realizara mediante CertSrv
Si accedemos lo veremos desde un cliente o desde el mismo servidor. A partir de aquí se
pueden solicitar certificados
Ahora vamos a ver como se emiten o deniegan los certificados. Nos iremos a la autoridad de
certificación
Veremos cuatro ramas. Cuando pidamos unos certificados nos tendremos que ir a solicitudes
pendientes y darle con el botón derecho y a emitir certificado y pasara a certificados emitidos.
Si queremos revocar el certificado (por ejemplo que se está utilizando fraudulentamente) nos
iremos a su carpeta y lo realizaremos.
Ahora vamos a instalar el servicio ftp. Nos iremos a administrar el servidor y como ftp puede
ser una parte del servidor web pues nos iremos a servidor web y con el botón derecho
seleccionaremos agregar servicio de función.
Nos iríamos abajo y seleccionaríamos estos 3 opciones (en mi caso ya lo tengo instalado)
Una vez instalado nos iremos al disco duro y crearemos una estructura de carpetas para el
servidor ftp (en mi caso me he creado una carpeta llamada ftpsitioJoseCarlos)
Ahora se supone que deberíamos de configurar el sitio ftp. No me he dado cuenta que w2008
trae por defecto IIS 6 y no viene para configurar el ssl/ttl que nos hace falta. Para ello lo que he
realizado es irme a la página de Microsoft y descargarme la versión de IIS 7. Para ello he
realizado lo siguiente.
Me dirijo a esta pagina: http://www.iis.net/downloads/microsoft/ftp
Are click en instalar este servicio y me dirigirá a esta pagina. Are click en obtener web
plataform installer
Se descargara el servicio de publicación de ftp 7.5 pero no podremos descargar esta versión y
nos dirigirá automáticamente a descargarnos la versión 7 de internet
Ahora crearemos un nuevo sitio ftp
Pondremos un nombre al sitio ftp y elegiremos la carpeta creada anteriormente.
Pulsaremos en siguiente y elegirnos la interfaz por el que se establecerá el ftp y elegiremos
ahora el puerto 21. En el ssl por ahora elegiremos el certificado que aunque no seleccionare
ninguno por ahora
Pulsamos en siguiente y elegiremos autenticación básica y permitir el acceso a todos los
usuarios. En mi caso luego elegiré el usuario Administrador para registrarme
Veremos que al finalizar se nos muestra el sitio ftp y que podemos realizar la configuración de
ssl de ftp que ya está en requerir
Ahora vamos a crear el certificado. El certificado se crea en la cabecera. Veremos que tenemos
una opción de certificados de servidor
Aquí realizaremos una petición de solicitud. Arriba en la derecha aremos click en realizar una
solicitud de certificado y rellenaremos los datos
Pulsare en siguiente y veremos que nos va a proporcionar un certificado
Ahora nos iremos al sitio web a realizar una petición de certificado desde el servidor
Nos iremos y seleccionaremos en solicitar un certificado y luego en solicitud avanzada del
certificado
Luego elegiremos esta opción en base 64 y rellenaremos los datos
Nos saldrá un menú donde pegaremos el contenido del fichero que creamos anteriormente en
el certificado que era un txt
Ahora nos deberemos emitir el certificado desde la opción de entidad de certificación
Ahora pasara a la opción de certificados emitidos
Ahora nos iremos al servidor donde hemos solicitado el certificado y realizaremos lo siguiente
Y lo descargaremos y lo guardaremos en un lugar seguro. Este certificado será la clave pública
Ahora nos iremos al IIS otra vez y pulsamos sobre completar la solicitud. Aquí lo que tenemos
que hacer es poner el certificado que nos hemos descargado. (Me lo descargue desde el
equipo servidor pero he creado una carpeta compartida para pasar estos ficheros)
Después nos iremos a la configuración ssl del sitio ftp de jose carlos y pondremos el certificado
emitido anteriormente y aplicaremos los cambios.
Ahora vamos a añadir el puerto de 990 para el ftp implícito (el 21 ya lo añadimos
anteriormente)
Iremos a nuestro sitio y modificar enlaces y añadimos el 990
Una vez realizado todo esto en la parte del servidor nos iremos a la parte del cliente. En este
instalaremos un cliente FTP como puede ser filezilla y pasaremos a configurar los sitios para
acceder al ftp implícito y explícito.
En la parte del ftp explicito lo configuraremos de esta manera y pulsaremos en conectar
Veremos que recibe el certificado
Con el wireshark podremos analizar los paquetes que se transmiten entre cliente y servidor
ftp. Veremos que se trnasmite por el puerto 21 y que se realiza perfectamente con el AUTH ok.
Veremos el TLS
En esta pantalla veremos parte de las conexiones entre cliente y servidor desde un cliente
Aquí veremos las conexiones entre cliente y servidor ftp desde el servidor
Realizaremos una subida desde el cliente al servidor ftp de un archivo
Ahora vamos a realizar la configuración del FTP IMPLICITO.
Pulsaremos en archivo y en gestor de archivos y añadiremos un nuevo sitio y lo
configuraremos así.
Desde el wireshark veremos las conexiones entre cliente y servidor y veremos que se realizan a
través del puerto 990 del cliente al servidor ftp
Aquí veremos toda la conexión desde la parte del cliente al servidor
Ahora veremos las conexiones desde la parte d el servidor