FTP EXPLICITO E IMPLICITO

FTPS (FTP/SSL): FTPS Implícito. FTPS Explícito (FTPES)

La utilización conjunta del protocolo FTP y SSL o TSLtiene dos modos de funcionamiento:

Explícito o FTPES: el cliente se conecta al puerto habitual FTP (21) y explícitamente cambia a un

modo seguro utilizando TSL o SSL, para transferir la información.

Implícito o FTPS: el cliente asume el modo seguro con TSL o SSL, desde el inicio de la conexión,

antes de transferirla información. Habitualmente se utiliza el puerto 990 en vez del habitual

puerto 21.

En esta práctica tendré un dns que ya lo tengo puesto y que no explicare porque ya lo he

realizado otras veces, también tendré una entidad certificadora para emitir los certificados,

instalare también el IIS para publicar los certificados y un sitio ftp.

El servidor tendrá la dirección ip 10.33.11.2. Ya tengo puesto el dns para este equipo la cual

será el nombre de:

Tendré configurados los demás clientes para acceder mediante dns también.

Ahora vamos a instalar la PKI (infraestructura de clave pública) Me iré a la parte de roles y lo

agregare. La pki tendrá el nombre de servicio de certificados de active directory

Instalare la entidad de certificación y la inscripción web de entidad de certificación para emitir

los certificados a través de un servidor web. Automáticamente al instalar también esta opción

me instalara IIS (servidor web)

Pulsaremos en siguiente y podremos elegir que sea de tipo de empresa o independiente por si

eres miembro de un dominio o no. En mi caso elegiré independiente

Pulsaremos en siguiente y seleccionaremos certificadora raíz porque nadie estará por encima

de mí en esta infraestructura. Normalmente en una empresa seria subordinada y compraría el

certificado a una empresa de terceros aunque no tiene por qué ser así.

Pulsaremos en siguiente y dejaremos crear una nueva clave privada.

Pulsaremos en siguiente y la longitud del certificado y tipo lo dejare por defecto.

Pulsaremos en siguiente y podremos ponerle un nombre a la entidad certificadora

Seleccionaremos un periodo para renovar los certificados

Elegiré la dirección donde guardare la base de datos

Pulsaremos en siguiente y me saldrán las características para instalar del servidor web pero lo

dejaremos como esta e instalaremos

Todo esto al instalar nos aparecerá en herramientas administrativas.

Entraremos a administrar internet information services.

Veremos que nos ha creado dos directorios. La emisión de certificados a través de vía web se

realizara mediante CertSrv

Si accedemos lo veremos desde un cliente o desde el mismo servidor. A partir de aquí se

pueden solicitar certificados

Ahora vamos a ver como se emiten o deniegan los certificados. Nos iremos a la autoridad de

certificación

Veremos cuatro ramas. Cuando pidamos unos certificados nos tendremos que ir a solicitudes

pendientes y darle con el botón derecho y a emitir certificado y pasara a certificados emitidos.

Si queremos revocar el certificado (por ejemplo que se está utilizando fraudulentamente) nos

iremos a su carpeta y lo realizaremos.

Ahora vamos a instalar el servicio ftp. Nos iremos a administrar el servidor y como ftp puede

ser una parte del servidor web pues nos iremos a servidor web y con el botón derecho

seleccionaremos agregar servicio de función.

Nos iríamos abajo y seleccionaríamos estos 3 opciones (en mi caso ya lo tengo instalado)

Una vez instalado nos iremos al disco duro y crearemos una estructura de carpetas para el

servidor ftp (en mi caso me he creado una carpeta llamada ftpsitioJoseCarlos)

Ahora se supone que deberíamos de configurar el sitio ftp. No me he dado cuenta que w2008

trae por defecto IIS 6 y no viene para configurar el ssl/ttl que nos hace falta. Para ello lo que he

realizado es irme a la página de Microsoft y descargarme la versión de IIS 7. Para ello he

realizado lo siguiente.

Me dirijo a esta pagina: http://www.iis.net/downloads/microsoft/ftp

Are click en instalar este servicio y me dirigirá a esta pagina. Are click en obtener web

plataform installer

Se descargara el servicio de publicación de ftp 7.5 pero no podremos descargar esta versión y

nos dirigirá automáticamente a descargarnos la versión 7 de internet

Procederemos a la instalación

Y como veremos ya tenemos instalado el IIS 7.

Ahora crearemos un nuevo sitio ftp

Pondremos un nombre al sitio ftp y elegiremos la carpeta creada anteriormente.

Pulsaremos en siguiente y elegirnos la interfaz por el que se establecerá el ftp y elegiremos

ahora el puerto 21. En el ssl por ahora elegiremos el certificado que aunque no seleccionare

ninguno por ahora

Pulsamos en siguiente y elegiremos autenticación básica y permitir el acceso a todos los

usuarios. En mi caso luego elegiré el usuario Administrador para registrarme

Veremos que al finalizar se nos muestra el sitio ftp y que podemos realizar la configuración de

ssl de ftp que ya está en requerir

Ahora vamos a crear el certificado. El certificado se crea en la cabecera. Veremos que tenemos

una opción de certificados de servidor

Aquí realizaremos una petición de solicitud. Arriba en la derecha aremos click en realizar una

solicitud de certificado y rellenaremos los datos

Pulsare en siguiente y veremos que nos va a proporcionar un certificado

Elegiremos la ruta donde guardar el certificado.

Y finalizaremos

Ahora nos iremos al sitio web a realizar una petición de certificado desde el servidor

Nos iremos y seleccionaremos en solicitar un certificado y luego en solicitud avanzada del

certificado

Luego elegiremos esta opción en base 64 y rellenaremos los datos

Nos saldrá un menú donde pegaremos el contenido del fichero que creamos anteriormente en

el certificado que era un txt

Pulsaremos en enviar y nos saldrá este mensaje:

Ahora nos deberemos emitir el certificado desde la opción de entidad de certificación

Ahora pasara a la opción de certificados emitidos

Ahora nos iremos al servidor donde hemos solicitado el certificado y realizaremos lo siguiente

Y lo descargaremos y lo guardaremos en un lugar seguro. Este certificado será la clave pública

Ahora nos iremos al IIS otra vez y pulsamos sobre completar la solicitud. Aquí lo que tenemos

que hacer es poner el certificado que nos hemos descargado. (Me lo descargue desde el

equipo servidor pero he creado una carpeta compartida para pasar estos ficheros)

Después nos iremos a la configuración ssl del sitio ftp de jose carlos y pondremos el certificado

emitido anteriormente y aplicaremos los cambios.

Ahora vamos a añadir el puerto de 990 para el ftp implícito (el 21 ya lo añadimos

anteriormente)

Iremos a nuestro sitio y modificar enlaces y añadimos el 990

Una vez realizado todo esto en la parte del servidor nos iremos a la parte del cliente. En este

instalaremos un cliente FTP como puede ser filezilla y pasaremos a configurar los sitios para

acceder al ftp implícito y explícito.

En la parte del ftp explicito lo configuraremos de esta manera y pulsaremos en conectar

Veremos que recibe el certificado

En la siguiente veremos que se ha realizado bien la conexión

Con el wireshark podremos analizar los paquetes que se transmiten entre cliente y servidor

ftp. Veremos que se trnasmite por el puerto 21 y que se realiza perfectamente con el AUTH ok.

Veremos el TLS

En esta pantalla veremos parte de las conexiones entre cliente y servidor desde un cliente

Aquí veremos las conexiones entre cliente y servidor ftp desde el servidor

Realizaremos una subida desde el cliente al servidor ftp de un archivo

Ahora vamos a realizar la configuración del FTP IMPLICITO.

Pulsaremos en archivo y en gestor de archivos y añadiremos un nuevo sitio y lo

configuraremos así.

Conectaremos y veremos que me sale el certificado y aceptaremos.

Desde el wireshark veremos las conexiones entre cliente y servidor y veremos que se realizan a

través del puerto 990 del cliente al servidor ftp

Aquí veremos toda la conexión desde la parte del cliente al servidor

Ahora veremos las conexiones desde la parte d el servidor