Administración y auditoría de los servicios web. IFCT0509

Bibliografía

Capítulo 1

Administración de contenidos del servidor

1. Introducción

La principal función de un servidor web es proporcionar acceso a los archivos y servicios. Cuando, como usuario, se accede a una página web, el navegador se comunica con el servidor enviando y recibiendo datos para poder ver la información que se ha solicitado. Todo este proceso, que a los ojos del usuario puede parecer muy simple, necesita de toda una estructura que permita la gestión y el acceso a esos datos.

Al conectarse a un servidor, los usuarios pueden acceder a programas, archivos y otra información del servidor, por lo tanto, es vital gestionar de forma adecuada cómo, cuándo y quién puede acceder a dichos contenidos mediante técnicas de gestión de permisos.

Gestionar la información almacenada en un servidor también implica la utilización de técnicas que permitan la actualización y organización de los contenidos, analizar y optimizar el rendimiento del servidor, y todo ello para que el usuario pueda navegar con fluidez, encontrar fácilmente lo que busca y que el servicio siempre esté disponible.

2. Procedimientos de actualización de contenidos

Para la publicación y actualización de contenidos web, es necesario disponer de un espacio reservado en un servidor web y utilizar un programa de transferencia de archivos FTP, FTPS o SFTP.

También existen los CMS (Content Management System), que posibilitan la creación y presentación de contenidos web fácilmente.

Definición

Hosting o alojamiento web

Es un espacio disponible en un servidor de Internet para el almacenamiento de páginas web y sus archivos asociados.

2.1. FTP

FTP (File Transfer Protocol) es un protocolo utilizado para la transferencia de archivos a través de una red TCP/IP, como es Internet. Está basado en la arquitectura cliente/servidor.

Definición

Arquitectura cliente-servidor

Consiste en un programa cliente, que realiza peticiones a un programa servidor, que se encargará de atenderlas.

El protocolo FTP utiliza los puertos 20 y 21 para comunicación y control de datos. La transferencia de datos es bidireccional, por lo que durante la conexión FTP están abiertos los dos canales de transmisión.

Sabía que...

Una de las aplicaciones más habituales de un servidor FTP es el alojamiento Web.

El acceso a un servidor FTP puede realizarse mediante:

Acceso anónimo: el servidor FTP ofrece sus archivos libremente a los clientes FTP que los necesiten, por lo general con la opción de solo lectura.

Acceso de usuario: el cliente FTP tiene privilegios de acceso al sistema de archivos del servidor y para ello debe autentificarse mediante usuario y contraseña.

Acceso de invitado: el usuario para conectarse debe autentificarse mediante usuario y contraseña, pero en este caso su acceso será restringido, solo tendrá acceso a su área de trabajo.

Sabía que...

Prácticamente todos los navegadores están equipados con la función FTP y cada vez que cualquiera se descarga un documento alojado en un servidor público su propio navegador realiza una conexión FTP.

Elementos que componen un sistema FTP

Los elementos que componen el sistema son los siguientes:

Servidor FTP: es la máquina con la que se quiere establecer la conexión. En ella estará instalado el software específico que permite tener activo el servicio FTP. Se compone de:

Servidor PI (Protocol Interpreter): su función es escuchar a través del puerto 21 los comandos que envía el intérprete de protocolo del cliente y controlar la transferencia de datos del servidor.

Servidor DTP (Data Transfer Protocol): su función es transmitir los datos entre el servidor y el protocolo de transferencia de datos del cliente.

Cliente FTP: es la máquina que establece la conexión con el servidor. Si un navegador no tiene la función FTP o si quiere descargar archivos en un ordenador remoto, necesitará un programa cliente FTP. Está compuesta por:

Interfaz de usuario: es un conjunto de comandos y funciones que permite el envío de comandos FTP entre cliente y servidor.

Cliente PI: es responsable de iniciar la conexión en el puerto 21, enviar los comandos FTP y controlar el proceso de transferencia de archivos DTP.

Cliente DTP: su función es escuchar el puerto de datos 20 y aceptar la conexión para la transferencia de datos.

Recuerde

Para poder comunicarnos con el servidor FTP es necesario tener instalado un programa cliente FTP.

Modos de conexión

FTP admite dos modos de conexión. Tanto en uno como en otro, el cliente FTP establece una conexión con el servidor a través del puerto 21:

Activo: en modo activo, en primer lugar el cliente FPT establece una conexión para la transmisión de comandos desde un puerto aleatorio mayor que 1024 hacia el puerto 21 del servidor, y mediante esa misma conexión, a través del comando PORT, el cliente indica al servidor cuál es el puerto que está a la escucha de datos. El servidor inicia la transmisión de datos desde su puerto 20 al puerto que le ha indicado el cliente FTP.

Importante: la conexión activa implica un problema de seguridad, ya que el cliente está obligado a aceptar cualquier conexión de entrada.

Pasivo: el cliente FTP inicia la conexión mediante el envío del comando

PAS. A partir de ese momento, la comunicación la establece el cliente mediante un canal de control, este utiliza un puerto aleatorio mayor que 1024 para comunicarse con el servidor a través de su puerto 21.

Comunicación FTP

El funcionamiento del protocolo FTP es sencillo: para actualizar un contenido web a través de una conexión FTP, hay que invocar el programa cliente FTP instalado en la máquina cliente. Este iniciará una conexión TCP con el servidor a través del puerto 21, el cual establecerá un canal de control.

Al iniciarse la conexión, y si el servidor acepta, solicitará una identificación al usuario, aunque también se puede realizar un acceso anónimo. Una vez establecida la conexión TPC a través de puerto 20, ya se puede enviar o solicitar archivos.

Sabía que...

Existen varios programas que permiten montar un servidor FTP propio, ya que están específicamente diseñados para poner, a disposición de los usuarios cualquier carpeta o unidad del PC a través del protocolo FTP.

Para que un servidor pueda ejercer como servidor FTP, se dispone de una gran variedad de programas servidor FTP, gratuitos y de pago. Algunos de los programas para servidores gratuitos son:

FileZilla FTP Server, puede obtenerse en la dirección: http://sourceforge.net/projects/filezilla

GuildFTPd, puede obtenerse en la dirección: http://www.guildftpd.com/

Cerberus FTP Server, puede obtenerse en la dirección: http://www.cerberusftp.com/

CesarFTP, puede obtenerse en la dirección: http://www.aclogic.com/

También existen diversos programas cliente FTP gratuitos, como Ciberduck, FireFTP o GoFTP, y de pago, como Flow o Transmit. Entre ellos, se encuentra FTP Fillezilla, que es gratuito y multiplataforma. El siguiente ejemplo muestra cómo instalarlo y utilizarlo:

Descargar el programa cliente FTP Filezilla en: <http://filezilla-project.org/>.

Dependiendo del sistema operativo, Windows, Linux o Mac OS, se podrá elegir la versión que corresponda.

Una vez instalado, desde Menú->Archivo, ir a Gestor de Sitios, desde donde se creará un nuevo sitio.

Configuración de Filezilla

Configurar los datos de acceso al servidor:

Hacer clic en el botón Nuevo sitio (1).

En Servidor (2) poner el FTP correspondiente al dominio propio, para el caso del ejemplo, ftp.servidor.com.

En Logon Type (3), o modo de acceso, poner Normal.

En Usuario (4), escribir el mismo que se utiliza para acceder al servidor.

Contraseña (5), en este campo se introducirá la contraseña de acceso al servidor, siempre teniendo en cuenta que distingue entre mayúsculas y minúsculas.

Aceptar (6), al hacer clic en el botón aceptar se guardan los datos que se han definido para el servidor.

Conectar (7), el botón conectar permite acceder al servidor.

Actualización del servidor:

Como actualizar datos con Filezilla

En la imagen anterior, las carpetas y ficheros que aparecen a la izquierda corresponden a la máquina en la que está instalado el programa cliente FTP Filezilla, y las carpetas y ficheros que aparecen a la derecha (1) corresponden al servidor. En Public_html se encuentran los ficheros. Si se tiene más de una web se debe seleccionar la que se quiere actualizar.

Para actualizar los datos en el servidor, simplemente se deben seleccionar los elementos de la zona izquierda que necesiten ser actualizados y arrastrarlos a la zona de la derecha.

Aparecerá un mensaje indicando que se van a sobreescribir ficheros ya existentes. Hacer clic en el botón Aceptar.

Actividades

1. En modo pasivo, ¿el cliente siempre abre las conexiones? Justifique su respuesta

2. ¿Cuánta información cree que puede alojar un servidor FPS?

3. Si un navegador no está equipado con la función FTP y necesita cargar ficheros en un ordenador remoto, ¿cómo lo haría?

Aplicación práctica

Suponga que tiene instalado en su ordenador el programa servidor FTP FileZilla FTP Server.

¿Cómo accederían los usuarios a él?

¿Qué datos debería conocer un usuario para poder transferir un archivo a él?

SOLUCIÓN

Lo harán a través de un navegador o mediante un cliente FTP, usando como referencia la dirección que le corresponda a nuestra máquina dentro de Internet.

Necesitaría conocer el nombre del archivo, el ordenador al que se quiere transferir el archivo, y la carpeta en la que se encuentra.

2.2. FTPS

FTPS es una extensión de FTP que incorpora el uso de SSL/TLS, de manera que toda la información intercambiada entre cliente y servidor está cifrada.

Definición

SSL (Secure Sockets Layer)

Es un protocolo criptográfico que permite establecer conexiones seguras entre un servidor y un cliente.

Para ello, incorpora los protocolos criptográficos TLS (Trasport Layer Security) y SSL (Secure Sockets Layer), un algoritmo asimétrico (RSA, DSA), un algoritmo simétrico (por ejemplo AES) y un algoritmo de intercambio de claves.

Definición

Protocolos criptográficos

Son protocolos utilizados para crear conexiones seguras entre un cliente web como puede ser un navegador y un servidor.

FTPS también puede utilizar el programa cliente Fillezilla, solo hay que configurarlo para el caso. Los pasos a seguir son los mismos que los vistos para la configuración de un cliente FTP, salvo para la opción de tipo de servidor. En ella se debe especificar que se trata de un servidor FTPS:

En la siguiente imagen, se pueden ver las siguientes opciones de configuración correspondientes a la pestaña de general:

Servidor: el dominio, pero sin ‘www’.

Puerto: el número de puerto es 21. No es obligatorio especificarlo.

Los campos protocolo y cifrado van a permitir especificar que este cliente debe ser compatible con un servidor FTPS. Para ello en protocolo se seleccionará, de entre las opciones disponibles en el desplegable, FTP-protocolo de transferencia de archivos: y en cifrado se seleccionará Requiere FTP implícito sobre TLS.

Modo de acceso: seleccionar la opción Normal.

Usuario y Contraseña: indicar el usuario y contraseña asignados para FTP en su plan hosting.

Configuración Filezilla para FTPS

Si la conexión está detrás de un firewall o un router, se debe seleccionar modo de transferencia pasivo para obtener una conexión más estable. Para este ejemplo, en la pestaña Opciones de transferencia, seleccionar Modo de transferencia: Pasivo.

Configuración Filezilla para FTPS

Hacer clic en el botón Conectar. Aparecerá la siguiente ventana, que muestra el certificado de seguridad que incorpora FTPS, para el cual se debe dar conformidad, haciendo clic sobre el botón Aceptar.

Recuerde

El protocolo FTP y su extensión FTPS permiten gestionar los contenidos de un servidor.

Configuración Filezilla para FTPS

Actividades

4. ¿A que vulnerabilidades cree que está expuesta la información transmitida mediante FPT por el hecho de no cifrar los datos?

2.3. SFTP

SFTP (SSH File Transfer Protocol) es un protocolo de transferencia de archivos que utiliza SSH (Secure Sttell) para proteger el intercambio de datos entre cliente y servidor. Los datos transferidos están cifrados y utilizan como puerto predeterminado el 22. Un sistema SFTP está compuesto por:

Un servidor SPTF. Entre los más utilizados se encuentran FileZilla, WinSCP, y DataFreeway.

Un programa cliente compatible. Entre los más utilizados está Passport.

Importante

La seguridad en la transferencia de archivos SFTP se basa en la validación del servidor y la autentificación del cliente, para lo cual ambos utilizan claves públicas y privadas.

Para la validación del servidor, este compara su clave pública con las claves públicas almacenadas en el equipo cliente.

En cambio, los clientes pueden realizar la autentificación de tres formas distintas:

Nombre de usuario y contraseña: el usuario posee una cuenta en el servidor, de forma que para acceder a él debe introducir su nombre de usuario y contraseña.

Clave privada y frase secreta: una vez el servidor ha terminado la validación, el cliente debe introducir su frase secreta. Si es correcta, pasará a introducir su clave privada.

Autentificación interactiva con teclado: consiste en una serie de preguntas que el cliente debe responder correctamente.

Recuerde

La seguridad en la transferencia de archivos no la provee directamente SFTP, sino SSH.

Entre los programas cliente compatibles que se pueden utilizar para SFTP, también se encuentra Fillezilla. Solo hay que configurarlo para que sea compatible con SFTP. Los pasos a seguir son los siguientes:

Abrir Fillezilla y seleccionar Nuevo sitio.

Pantalla de sesión de Fillezilla

Una vez creado el sitio, se pasa a configurar Fillezilla con los datos del servidor SFTP, como muestra la siguiente imagen:

Pantalla de sesión de FileZilla

En el campo servidor se introducirá la dirección IP o la URL; en el campo puerto, el puerto indicado por el administrador del servidor; en el campo protocolo se seleccionará SFTP-SSH File Transfer Protocol, introducir usuario y contraseña, pulsar Conectar y ya se tendrá acceso al servidor como muestra la siguiente imagen:

Pantalla de acceso al servidor con Filezilla

2.4. Introducción a sistemas de gestión de contenidos (CMS)

Un CMS (Content Management System) es un sistema que permite la gestión de contenidos web, mediante un software alojado en un servidor con una serie de funcionalidades y apoyado en una base de datos permite la creación y gestión de contenidos web incluso a