FTP EXPLICITO E IMPLICITO FTPS (FTP/SSL): FTPS Implícito. FTPS Explícito (FTPES) La utilización conjunta del protocolo FTP y SSL o TSLtiene dos modos de funcionamiento: Explícito o FTPES: el cliente se conecta al puerto habitual FTP (21) y explícitamente cambia a un modo seguro utilizando TSL o SSL, para transferir la información. Implícito o FTPS: el cliente asume el modo seguro con TSL o SSL, desde el inicio de la conexión, antes de transferirla información. Habitualmente se utiliza el puerto 990 en vez del habitual puerto 21. En esta práctica tendré un dns que ya lo tengo puesto y que no explicare porque ya lo he realizado otras veces, también tendré una entidad certificadora para emitir los certificados, instalare también el IIS para publicar los certificados y un sitio ftp. El servidor tendrá la dirección ip 10.33.11.2. Ya tengo puesto el dns para este equipo la cual será el nombre de: Tendré configurados los demás clientes para acceder mediante dns también. Ahora vamos a instalar la PKI (infraestructura de clave pública) Me iré a la parte de roles y lo agregare. La pki tendrá el nombre de servicio de certificados de active directory
Instalare la entidad de certificación y la inscripción web de entidad de certificación para emitir los certificados a través de un servidor web. Automáticamente al instalar también esta opción me instalara IIS (servidor web) Pulsaremos en siguiente y podremos elegir que sea de tipo de empresa o independiente por si eres miembro de un dominio o no. En mi caso elegiré independiente
Pulsaremos en siguiente y seleccionaremos certificadora raíz porque nadie estará por encima de mí en esta infraestructura. Normalmente en una empresa seria subordinada y compraría el certificado a una empresa de terceros aunque no tiene por qué ser así. Pulsaremos en siguiente y dejaremos crear una nueva clave privada.
Pulsaremos en siguiente y la longitud del certificado y tipo lo dejare por defecto. Pulsaremos en siguiente y podremos ponerle un nombre a la entidad certificadora
Seleccionaremos un periodo para renovar los certificados Elegiré la dirección donde guardare la base de datos Pulsaremos en siguiente y me saldrán las características para instalar del servidor web pero lo dejaremos como esta e instalaremos
Todo esto al instalar nos aparecerá en herramientas administrativas.
Entraremos a administrar internet information services. Veremos que nos ha creado dos directorios. La emisión de certificados a través de vía web se realizara mediante CertSrv Si accedemos lo veremos desde un cliente o desde el mismo servidor. A partir de aquí se pueden solicitar certificados Ahora vamos a ver como se emiten o deniegan los certificados. Nos iremos a la autoridad de certificación
Veremos cuatro ramas. Cuando pidamos unos certificados nos tendremos que ir a solicitudes pendientes y darle con el botón derecho y a emitir certificado y pasara a certificados emitidos. Si queremos revocar el certificado (por ejemplo que se está utilizando fraudulentamente) nos iremos a su carpeta y lo realizaremos. Ahora vamos a instalar el servicio ftp. Nos iremos a administrar el servidor y como ftp puede ser una parte del servidor web pues nos iremos a servidor web y con el botón derecho seleccionaremos agregar servicio de función. Nos iríamos abajo y seleccionaríamos estos 3 opciones (en mi caso ya lo tengo instalado)
Una vez instalado nos iremos al disco duro y crearemos una estructura de carpetas para el servidor ftp (en mi caso me he creado una carpeta llamada ftpsitiojosecarlos) Ahora se supone que deberíamos de configurar el sitio ftp. No me he dado cuenta que w2008 trae por defecto IIS 6 y no viene para configurar el ssl/ttl que nos hace falta. Para ello lo que he realizado es irme a la página de Microsoft y descargarme la versión de IIS 7. Para ello he realizado lo siguiente. Me dirijo a esta pagina: http://www.iis.net/downloads/microsoft/ftp Are click en instalar este servicio y me dirigirá a esta pagina. Are click en obtener web plataform installer Se descargara el servicio de publicación de ftp 7.5 pero no podremos descargar esta versión y nos dirigirá automáticamente a descargarnos la versión 7 de internet
Procederemos a la instalación
Y como veremos ya tenemos instalado el IIS 7.
Ahora crearemos un nuevo sitio ftp Pondremos un nombre al sitio ftp y elegiremos la carpeta creada anteriormente.
Pulsaremos en siguiente y elegirnos la interfaz por el que se establecerá el ftp y elegiremos ahora el puerto 21. En el ssl por ahora elegiremos el certificado que aunque no seleccionare ninguno por ahora Pulsamos en siguiente y elegiremos autenticación básica y permitir el acceso a todos los usuarios. En mi caso luego elegiré el usuario Administrador para registrarme
Veremos que al finalizar se nos muestra el sitio ftp y que podemos realizar la configuración de ssl de ftp que ya está en requerir Ahora vamos a crear el certificado. El certificado se crea en la cabecera. Veremos que tenemos una opción de certificados de servidor
Aquí realizaremos una petición de solicitud. Arriba en la derecha aremos click en realizar una solicitud de certificado y rellenaremos los datos Pulsare en siguiente y veremos que nos va a proporcionar un certificado
Elegiremos la ruta donde guardar el certificado. Y finalizaremos
Ahora nos iremos al sitio web a realizar una petición de certificado desde el servidor Nos iremos y seleccionaremos en solicitar un certificado y luego en solicitud avanzada del certificado Luego elegiremos esta opción en base 64 y rellenaremos los datos Nos saldrá un menú donde pegaremos el contenido del fichero que creamos anteriormente en el certificado que era un txt
Pulsaremos en enviar y nos saldrá este mensaje:
Ahora nos deberemos emitir el certificado desde la opción de entidad de certificación Ahora pasara a la opción de certificados emitidos
Ahora nos iremos al servidor donde hemos solicitado el certificado y realizaremos lo siguiente Y lo descargaremos y lo guardaremos en un lugar seguro. Este certificado será la clave pública
Ahora nos iremos al IIS otra vez y pulsamos sobre completar la solicitud. Aquí lo que tenemos que hacer es poner el certificado que nos hemos descargado. (Me lo descargue desde el equipo servidor pero he creado una carpeta compartida para pasar estos ficheros)
Después nos iremos a la configuración ssl del sitio ftp de jose carlos y pondremos el certificado emitido anteriormente y aplicaremos los cambios. Ahora vamos a añadir el puerto de 990 para el ftp implícito (el 21 ya lo añadimos anteriormente) Iremos a nuestro sitio y modificar enlaces y añadimos el 990
Una vez realizado todo esto en la parte del servidor nos iremos a la parte del cliente. En este instalaremos un cliente FTP como puede ser filezilla y pasaremos a configurar los sitios para acceder al ftp implícito y explícito. En la parte del ftp explicito lo configuraremos de esta manera y pulsaremos en conectar Veremos que recibe el certificado
En la siguiente veremos que se ha realizado bien la conexión
Con el wireshark podremos analizar los paquetes que se transmiten entre cliente y servidor ftp. Veremos que se trnasmite por el puerto 21 y que se realiza perfectamente con el AUTH ok. Veremos el TLS En esta pantalla veremos parte de las conexiones entre cliente y servidor desde un cliente Aquí veremos las conexiones entre cliente y servidor ftp desde el servidor
Realizaremos una subida desde el cliente al servidor ftp de un archivo Ahora vamos a realizar la configuración del FTP IMPLICITO. Pulsaremos en archivo y en gestor de archivos y añadiremos un nuevo sitio y lo configuraremos así.
Conectaremos y veremos que me sale el certificado y aceptaremos.
Desde el wireshark veremos las conexiones entre cliente y servidor y veremos que se realizan a través del puerto 990 del cliente al servidor ftp Aquí veremos toda la conexión desde la parte del cliente al servidor Ahora veremos las conexiones desde la parte d el servidor