Tabela de Conteúdos

P�gina desactualizada Esta p�gina contiene una versi�n anterior de esta gu�a que puede estar desactualizada. Para ver la versi�n m�s reciente, haga clic aqu�.

4.2.3 Acesso seguro FTPS (TLS/SSL)

Objetivo

El protocolo ftp se considera inseguro, porque los nombres de los usuarios y sus contraseñas se transmiten como simple texto, es decir, sin protección. Por esto, son fáciles de interceptar por terceros.

Sin embargo, el servidor ProFTPD puede ser configurado de modo que pueda exigir la autenticación a los usuarios, así como la transmisión de datos encriptados con la activación del soporte TLS (Transport Layer Security).

Configuración

De manera predeterminada, la configuración de ProFTPD (ver 4.2.1. ProFTPD), el soporte TLS (mod_tls.c) está desactivado. Su activación tiene dos etapas. Primero se debe configurar el módulo TLS en el archivo de configuración /etc/proftpd/tls.conf Segundo, esta configuración debe incluirse en el archivo principal /etc/proftpd/proftpd.conf.

La configuración del módulo TLS se hace en el fichero /etc/proftpd/tls.conf:

/etc/proftpd/tls.conf
# [...]

<IfModule mod_tls.c>
TLSEngine                               on
TLSLog                                  /var/log/proftpd/tls.log
TLSProtocol                             SSLv23

# [...]

# Server SSL certificate. # [...]
# [...]
TLSRSACertificateFile                    /etc/ssl/certs/server.crt
TLSRSACertificateKeyFile                 /etc/ssl/private/server.key.insecure

# [...]

# Are clients required to use FTP over TLS when talking to this server?
#
TLSRequired                             on

# [...]

Los certificados usados TLSRSACertificateFile y TLSRSACertificateKeyFile ya fueron generados previamente, en Certificados SSL auto-firmados. La opción TLSRequired on obliga a que los clientes ftp utilicen el protocolo TLS, en caso contrario, la conexión será rechazada. Si esta opción fuera desactivada (TLSRequired off), el servidor aceptará conexiones seguras e inseguras.

Esta configuración debe incluirse en el archivo de configuración principall /etc/proftpd/proftpd.conf:

/etc/proftpd/proftpd.conf
# [...]

#
# This is used for FTPS connections
#
Include /etc/proftpd/tls.conf

# [...]

Por último, debe reiniciarse el servicio ftp para activar las alteraciones: 

root@server:~# /etc/init.d/proftpd restart

Utilización

Al servidor ftp puede accederse a través de un cliente ftp que soporte el protocolo TLS, como Filezilla. Para esto, deberá indicarse explícitamente que pretendemos una conexión al servidor ftp explícitamente con TLS:

Luego de que se establezca la conexión, aparecerá una ventana donde se muestra el certificado utilizado y se pide que se confirme:

Cuando se acepte el certificado, todas las comunicaciones entre el cliente y el servidor estarán encriptadas y seguras.

En caso de que el servidor ftp permita el acceso anónimo, éste continuará activo. Es decir, seguirán permitiéndose las sesiones anónimas, pero el intercambio de datos se realizará de modo encriptado. Para garantizar que sólo los usuarios autorizados puedan acceder al servidor ftp el acceso anónimo debe ser desactivado.

Referencias