Compartir a través de

Configuración predeterminada de seguridad del canal de datos FTP <dataChannelSecurity>

  • Artículo

Información general

El protocolo de transferencia de archivos (FTP) admite una característica denominada transferencias de servidor a servidor o de terceros. En este escenario, un cliente FTP se conecta y autentica en dos servidores y, a continuación, indica a un servidor que envíe datos e indique a otro servidor que reciba datos. Este modo de operación no es seguro porque los dos servidores no se pueden autenticar entre sí.

De forma predeterminada, el servicio FTP 7 exige que los datos y el canal de control de una sesión tengan una dirección de cliente que coincidan. Esto se logra estableciendo los atributos matchClientAddressForPort y matchClientAddressForPasv del elemento <dataChannelSecurity> en true; esta configuración predeterminada impide las transferencias de terceros y no se debe modificar.

Nota:

El elemento <dataChannelSecurity> permite a los administradores deshabilitar la aplicación de direcciones IP de cliente coincidentes para el control y el canal de datos. Sin embargo, se recomienda NO realizar cambios en la configuración predeterminada. Si no se aplica la directiva de coincidencia, es posible que los clientes malintencionados puedan secuestrar los canales de datos y acceder a la información que se transfiere a través del canal de datos.

Compatibilidad

Versión Notas
IIS 10.0 El elemento <dataChannelSecurity> no se modificó en IIS 10.0.
IIS 8.5 El elemento <dataChannelSecurity> no se modificó en IIS 8.5.
IIS 8.0 El elemento <dataChannelSecurity> no se modificó en IIS 8.0.
IIS 7.5 El elemento <dataChannelSecurity> del elemento <security> se incluye como una característica de IIS 7.5.
IIS 7.0 El elemento <dataChannelSecurity> del elemento <security> se introdujo en FTP 7.0, que era una descarga independiente para IIS 7.0.
IIS 6,0 N/D

Nota:

Los servicios FTP 7.0 y FTP 7.5 se enviaron fuera de banda para IIS 7.0, lo que requería descargar e instalar el servicio desde la siguiente dirección URL:

https://www.iis.net/expand/FTP

Con Windows 7 y Windows Server 2008 R2, el servicio FTP 7.5 se incluye como característica para IIS 7.5, por lo que la descarga del servicio FTP ya no es necesaria.

Configuración

Para admitir la publicación de FTP para el servidor web, debe instalar el servicio FTP. Para ello, siga estos pasos.

Windows Server 2012 o Windows Server 2012 R2

  1. En la barra de tareas, haga clic en Administrador del servidor.

  2. En Administrador del servidor, haga clic en el menú Administrar y, después, haga clic en Agregar roles y características.

  3. En el asistente para Agregar roles y características, haga clic en Siguiente. Seleccione el tipo de instalación y haga clic en Siguiente. Seleccione el servidor de destino y haga clic en Siguiente.

  4. En la página Roles de servidor, expanda Servidor web (IIS) y, después, seleccione Servidor FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP, además de Servicio FTP.
    Screenshot of the Windows Server 2012 or 2012 R 2 window showing Roles. F T P Extensibility is highlighted. .

  5. Haga clic en Siguiente y, después, en la página Seleccionar características, vuelva a hacer clic en Siguiente.

  6. En la página Confirmar selecciones de instalación, haga clic en Instalar.

  7. En la página Resultados , haga clic en Cerrar.

Windows 8 o Windows 8.1

  1. En la pantalla Inicio, mueva el puntero hasta la esquina inferior izquierda, haga clic con el botón derecho en el botón Inicio y, a continuación, haga clic en Panel de control.

  2. En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.

  3. Expanda Internet Information Services y, después, seleccione Servidor FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Screenshot of the Windows 8 or 8.1 features screen. F T P Extensibility is highlighted.

  4. Haga clic en OK.

  5. Haga clic en Cerrar.

Windows Server 2008 R2

  1. En la barra de tareas, haga clic en Inicio, seleccione Herramientas administrativas y, luego, haga clic en Administrador del servidor.

  2. En el panel de jerarquía del Administrador del servidor, expanda Roles y, luego, haga clic en Servidor web (IIS).

  3. En el panel Servidor web (IIS), desplácese hasta la sección Servicios de rol y, luego, haga clic en Agregar servicios de rol.

  4. En la página Seleccionar servicios de rol del Asistente para agregar servicios de rol, expanda Servidor FTP.

  5. Seleccione Servicio FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Screenshot of the Windows Server 2008 R 2 Add Role Services screen. The Select Role Services page is in the main pane.

  6. Haga clic en Next.

  7. En la página Confirmar selecciones de instalación, haz clic en Instalar.

  8. En la página Resultados , haga clic en Cerrar.

Windows 7

  1. En la barra de tareas, haga clic en Inicio y, luego, haga clic en Panel de control.

  2. En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.

  3. Expanda Internet Information Services y, luego, Servidor FTP.

  4. Seleccione Servicio FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Screenshot of the Windows 7 features window. F T P options are checked under the Internet Information Services section.

  5. Haga clic en OK.

Windows Server 2008 o Windows Vista

  1. Descargue el paquete de instalación desde la siguiente dirección URL:

  2. Siga las instrucciones del siguiente tutorial para instalar el servicio FTP:

Procedimientos

La sección <dataChannelSecurity> de la configuración no debe modificarse; por tanto, no hay ejemplos disponibles.

Configuración

Atributos

Atributo Descripción
matchClientAddressForPort Atributo Boolean opcional.

Especifica si se debe coincidir con la dirección IP del cliente en los comandos PORT/EPRT.

El valor predeterminado es true.
matchClientAddressForPasv Atributo Boolean opcional.

Especifica si se debe coincidir con la dirección IP del cliente en los comandos PASV/EPSV.

El valor predeterminado es true.

Elementos secundarios

Ninguno.

Ejemplo de configuración

La sección <dataChannelSecurity> de la configuración no debe modificarse; por tanto, no hay ejemplos disponibles.

Código de ejemplo

La sección <dataChannelSecurity> de la configuración no debe modificarse; por tanto, no hay ejemplos disponibles.