Como se mencionó en lecciones anteriores, FTP requiere que un usuario inicie un sesión para tener acceso, y permite dos tipos de conexiones: anónima y autenticada. Las conexiones autenticadas necesitan un nombre de inicio de sesión, y una contraseña.
En un sistema conectado a Internet, el uso de
acceso anónimo es una forma estupenda para distribuir archivos que se desea poner al
alcance de cualquier persona del mundo, por ejemplo, el catálogo de productos de su
empresa. Pero se puede usar una página web o una carpeta compartida web con el listado de
directorio activado para realiza también esta tarea.
Para carpetas que van a recibir archivos del exterior o para archivos importantes que no
desea que pueda verlos cualquiera, seguramente debe hacer que FTP obligue a utilizar
un nombre de usuario y contraseña. Éste es el problema. FTP utiliza el sistema de nombre
de usuario y contraseña de Windows pero no cifra las contraseñas cuando se transmiten a
través de Internet. Las puede leer cualquier intruso que haya entrado en los equipos del
proveedor de servicios Internet. Por tanto, FTP con cualquier cosa que no sea el acceso
anónimo, es un compromiso importante para la seguridad.
El problema es especialmente importante para Windows 2000, que ha mejorado tanto sus
características de seguridad como de cifrado. Si sólo permite el acceso
autenticado, FTP invita a los usuarios a exponer al mundo sus contraseñas para que las
consigan los demás. Imagine que está de vacaciones en el extranjero y desea agregar las
fotos de sus vacaciones a su sitio web personal. Si utiliza FTP para enviar estos
archivos, dejará expuestos su nombre de inicio de sesión y contraseña a cualquiera que
tenga un analizador de red entre su lugar de vacaciones y su oficina. Esto puede
significar dejar en manos de gobiernos, organizaciones e individuos de moral dudosa la
llave de su equipo. ¿Merece la pena correr el riesgo?
Éste es el dilema de FTP. Si sólo desea publicar archivos, puede configurar FTP para
permitir sólo acceso anónimo. Este tipo de acceso es de bajo riesgo, pero tanbién
podría utilizar simplemente una página web. Si desea permitir el envío remoto de
archivos, FTP es estupendo pero es un riesgo de seguridad. Las personas pueden enviar
archivos a su equipo de formas más seguras: Archivos adjuntos de correo electrónico,
publicación de FrontPage, compartir carpetas web, y conectividad de Red privada virtual
(VPN, Virtual Private Network) son sólo algunas.
Aun así, puede decidir utilizar FTP para
permitir a otros transmitir archivos a su equipo. Se recomienda seguir las siguientes
premisas para reducir al mínimo los riesgos de seguridad.
Cree carpetas virtuales distintas para archivos entrantes y salientes (las carpetas
virtuales las puede crear en la utilidad Administración de equipos haciendo clic con el
botónderecho en Sitio FTP predeterminado y seleccionando Nuevo, Directorio virtual).
Para carpetas con archivos poco importantes, desactive la casilla Escritura en la hoja de propiedades Directorio virtual.
Para carpetas con archivos importantes, cree
un grupo para usuarios de acceso FTP remoto.
En el Explorador de Windows puede asignar
permisos a esta carpeta para que el grupo de usuarios remotos tenga permisos de lectura y
escritura, según le interese.
Cree usuarios especiales como miembros de este grupo, y elimine los permisos Iniciar una
sesión en red e lnteractivo de estas cuentas.
Puede asignar cuentas especiales a usuarios o clientes remotos para que las utilice como
un área donde dejar y recoger archivos seguros. Es eficaz y, si los archivos que se
comparten no son realmente importantes, el riesgo es asumible.
Si desea recibir archivos de usuarios anónimos, debe extremar todavía más las
precauciones. Se recomienda encarecidamente la no recepción de estos archivos porque
hacen vulnerable al sitio frente al intercambio de material ilícito, especialmente
pornografía y software pirata. Si necesita a toda costa poder recibir archivos del
público general, se sugiere hacer lo siguiente:
Crear y dar formato a una partición independiente de su disco duro para esta carpeta, de forma que nadie pueda llenar completamente su disco duro.
Permitir el inicio de sesión de acceso anónimo.
Eliminar los pernisos de lectura y de listado de esta carpeta en IUSR-nombreEquipo. De esta forma, los usuarios pueden enviar archivos pero no pueden ver lo que ya hay allí.
| Volver al Índice | Saber más |
Utilice las flechas para desplazarse a la pantalla anterior o posterior