Adición de seguridad IP de FTP <add>
Información general
El elemento <add> de la colección <ipSecurity> define una restricción de seguridad IP única. Cada restricción puede basarse en la dirección IP versión 4, un intervalo de direcciones IP versión 4 o un nombre de dominio DNS.
Compatibilidad
| Versión | Notas |
|---|---|
| IIS 10.0 | El elemento <add> no se modificó en IIS 10.0. |
| IIS 8.5 | El elemento <add> no se modificó en IIS 8.5. |
| IIS 8.0 | El elemento <add> no se modificó en IIS 8.0. |
| IIS 7.5 | El elemento <add> del elemento <ipSecurity> se incluye como una característica de IIS 7.5. |
| IIS 7.0 | El elemento <add> del elemento <ipSecurity> se introdujo en FTP 7.0, que era una descarga independiente para IIS 7.0. |
| IIS 6,0 | El elemento <system.ftpServer> y sus elementos secundarios reemplazan la configuración FTP de IIS 6.0 que se encontraba en la ruta de acceso de metabase LM/MSFTPSVC. |
Nota:
Los servicios FTP 7.0 y FTP 7.5 se lanzaron como versión extraordinaria para IIS 7.0, lo que requería descargar e instalar los módulos desde la siguiente dirección URL:
Con Windows 7 y Windows Server 2008 R2, el servicio FTP 7.5 se incluye como característica para IIS 7.5, por lo que la descarga del servicio FTP ya no es necesaria.
Configuración
Para admitir la publicación de FTP para el servidor web, debe instalar el servicio FTP. Para ello, siga estos pasos.
Windows Server 2012 o Windows Server 2012 R2
En la barra de tareas, haga clic en Administrador del servidor.
En Administrador del servidor, haga clic en el menú Administrar y, después, haga clic en Agregar roles y características.
En el asistente para Agregar roles y características, haga clic en Siguiente. Seleccione el tipo de instalación y haga clic en Siguiente. Seleccione el servidor de destino y haga clic en Siguiente.
En la página Roles de servidor, expanda Servidor web (IIS) y, a continuación, seleccione Servidor FTP.
Nota:
Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP, además de Servicio FTP.
.Haga clic en Siguiente y, después, en la página Seleccionar características, vuelva a hacer clic en Siguiente.
En la página Confirmar selecciones de instalación, haga clic en Instalar.
En la página Resultados , haga clic en Cerrar.
Windows 8 o Windows 8.1
En la pantalla Inicio, mueva el puntero hasta la esquina inferior izquierda, haga clic con el botón derecho en el botón Inicio y, a continuación, haga clic en Panel de control.
En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.
Expanda Internet Information Services y, después, seleccione Servidor FTP.
Nota:
Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
Haga clic en OK.
Haga clic en Cerrar.
Windows Server 2008 R2
En la barra de tareas, haga clic en Inicio, seleccione Herramientas administrativas y, luego, haga clic en Administrador del servidor.
En el panel de jerarquía del Administrador del servidor, expanda Roles y, luego, haga clic en Servidor web (IIS).
En el panel Servidor web (IIS), desplácese hasta la sección Servicios de rol y, luego, haga clic en Agregar servicios de rol.
En la página Seleccionar servicios de rol del Asistente para agregar servicios de rol, expanda Servidor FTP.
Seleccione Servicio FTP.
Nota:
Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
Haga clic en Next.
En la página Confirmar selecciones de instalación, haz clic en Instalar.
En la página Resultados , haga clic en Cerrar.
Windows 7
En la barra de tareas, haga clic en Inicio y, luego, haga clic en Panel de control.
En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.
Expanda Internet Information Services y, luego, Servidor FTP.
Seleccione Servicio FTP.
Nota:
Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
Haga clic en OK.
Windows Server 2008 o Windows Vista
Descargue el paquete de instalación desde la siguiente dirección URL:
Siga las instrucciones del siguiente tutorial para instalar el servicio FTP:
Procedimientos
Cómo agregar restricciones de IP para permitir un sitio FTP o acceder a este
Abra el Administrador de Internet Information Services (IIS):
Si usa Windows Server 2012 o Windows Server 2012 R2:
- En la barra de tareas, haga clic en Administrador del servidor, en Herramientas y, a continuación, en Administrador de Internet Information Services (IIS).
Si usa Windows 8 o Windows 8.1:
- Mantenga presionada la tecla Windows, presione la letra X y haga clic en Panel de control.
- Haga clic en Herramientas administrativas y, a continuación, haga doble clic en Administrador de Internet Information Services (IIS).
Si usa Windows Server 2008 o Windows Server 2008 R2:
- En la barra de tareas, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).
Si usa Windows Vista o Windows 7:
- En la barra de tareas, haga clic en Inicio y, luego, haga clic en Panel de control.
- Haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Administrador de Internet Information Services (IIS).
En el panel Conexiones, expanda sucesivamente el nombre del servidor, la opción Sitios y, después, la dirección URL o el sitio FTP para el que quiere agregar restricciones de IP.
En el panel Inicio, haga doble clic en la característica Restricciones de dominio y dirección IPv4 para FTP.
En la característica Restricciones de dominio y dirección IPv4 de FTP, haga clic en Agregar entrada de permiso... o Agregar entrada de denegación... en el panel Acciones.
Escriba la dirección IP que quiere permitir o denegar y, a continuación, haga clic en Aceptar.
Cómo editar la configuración de características de restricciones de IP para un sitio FTP
Abra el Administrador de Internet Information Services (IIS):
Si usa Windows Server 2012 o Windows Server 2012 R2:
- En la barra de tareas, haga clic en Administrador del servidor, en Herramientas y, a continuación, en Administrador de Internet Information Services (IIS).
Si usa Windows 8 o Windows 8.1:
- Mantenga presionada la tecla Windows, presione la letra X y haga clic en Panel de control.
- Haga clic en Herramientas administrativas y, a continuación, haga doble clic en Administrador de Internet Information Services (IIS).
Si usa Windows Server 2008 o Windows Server 2008 R2:
- En la barra de tareas, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).
Si usa Windows Vista o Windows 7:
- En la barra de tareas, haga clic en Inicio y, luego, haga clic en Panel de control.
- Haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Administrador de Internet Information Services (IIS).
En el panel Conexiones, expanda sucesivamente el nombre del servidor, la opción Sitios y, a continuación, la dirección URL o el sitio FTP para el que quiere configurar restricciones de IP.
En el panel Inicio, haga doble clic en la característica Restricciones de dominio y dirección IPv4 para FTP.
En la característica Restricciones de dominio y dirección IPv4 de FTP, haga clic en Modificar configuración de característica... en el panel Acciones.
Elija el comportamiento de acceso predeterminado para los clientes no especificados, especifique si quiere habilitar restricciones por nombre de dominio y, a continuación, haga clic en Aceptar.
Configuración
El elemento <add> se configura en el nivel de sitio o de dirección URL.
Las reglas se procesan de arriba hacia abajo, en el orden en que aparecen en la lista. El atributo allowunlisted se procesa en último lugar. El procedimiento recomendado para las restricciones del protocolo de seguridad de Internet (IPsec) es enumerar primero las reglas de denegación. No se puede borrar el atributo allowunlisted si está establecido en false.
Atributos
| Atributo | Descripción |
|---|---|
allowed |
Atributo Boolean opcional. Especifica si se permite el acceso al espacio de direcciones. El valor predeterminado es false. |
domainName |
Atributo de cadena opcional. Especifica el nombre de dominio en el que se va a imponer una regla de restricción. Puede usar un asterisco (*) como carácter comodín. |
ipAddress |
Atributo de cadena opcional. Especifica la dirección IP de versión 4 en la que se va a imponer una regla de restricción. |
subnetMask |
Atributo de cadena opcional. Especifica la máscara de subred con la que se va a evaluar la dirección IP de esta regla de restricción. Puede usar una máscara de subred para identificar un intervalo de direcciones IP en un espacio de direcciones. El valor predeterminado requiere una coincidencia directa de la dirección IP que se evalúa (un intervalo de una sola dirección). El valor predeterminado es 255.255.255.255. |
Elementos secundarios
Ninguno.
Ejemplo de configuración
En el ejemplo siguiente se muestran varios valores de configuración relacionados con la seguridad en el elemento <system.ftpServer> para un sitio FTP. Más concretamente, la configuración de <location> de este ejemplo muestra cómo:
- Especificar una regla de autorización FTP de acceso de lectura y escritura para el grupo de administradores.
- Especificar las opciones de filtrado de solicitudes FTP que deniegan los archivos *.exe, *.bat y *.cmd.
- Especificar los límites de solicitudes FTP para una longitud máxima de contenido de 1000000 bytes y una longitud de dirección URL máxima de 1024 bytes.
- Bloquear el acceso FTP al directorio virtual _vti_bin, que se usa con las Extensiones de servidor de FrontPage.
- Especificar opciones de filtrado de IP de FTP que permitan el acceso desde 127.0.0.1 y lo denieguen desde el intervalo de direcciones IP 169.254.0.0/255.255.0.0.
<location path="ftp.example.com">
<system.ftpServer>
<security>
<authorization>
<add accessType="Allow" roles="administrators" permissions="Read, Write" />
</authorization>
<requestFiltering>
<fileExtensions allowUnlisted="true">
<add fileExtension=".exe" allowed="false" />
<add fileExtension=".bat" allowed="false" />
<add fileExtension=".cmd" allowed="false" />
</fileExtensions>
<requestLimits maxAllowedContentLength="1000000" maxUrl="1024" />
<hiddenSegments>
<add segment="_vti_bin" />
</hiddenSegments>
</requestFiltering>
<ipSecurity enableReverseDns="false" allowUnlisted="true">
<add ipAddress="127.0.0.1" allowed="true" />
<add ipAddress="169.254.0.0" subnetMask="255.255.0.0" allowed="false" />
</ipSecurity>
</security>
</system.ftpServer>
</location>
Código de ejemplo
En los ejemplos siguientes se configura la seguridad IP de FTP para permitir direcciones IP no incluidas en una lista y, después, se especifican restricciones de IP que permiten el acceso desde 127.0.0.1 y deniegan el acceso desde el intervalo de direcciones IP 169.254.0.0/255.255.0.0.
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/ipSecurity /allowUnlisted:"True" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/ipSecurity /+"[ipAddress='127.0.0.1',allowed='True']" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/ipSecurity /+"[ipAddress='169.254.0.0',subnetMask='255.255.0.0']" /commit:apphost
Nota:
Debe asegurarse de establecer el parámetro de confirmación en apphost cuando use AppCmd.exe para configurar estas opciones. Esto confirma los valores de configuración en la sección de ubicación adecuada del archivo ApplicationHost.config.
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection ipSecuritySection = config.GetSection("system.ftpServer/security/ipSecurity", "Default Web Site");
ConfigurationElementCollection ipSecurityCollection = ipSecuritySection.GetCollection();
ipSecuritySection["allowUnlisted"] = true;
ConfigurationElement addElement = ipSecurityCollection.CreateElement("add");
addElement["ipAddress"] = @"127.0.0.1";
addElement["allowed"] = true;
ipSecurityCollection.Add(addElement);
ConfigurationElement addElement1 = ipSecurityCollection.CreateElement("add");
addElement1["ipAddress"] = @"169.254.0.0";
addElement1["subnetMask"] = @"255.255.0.0";
ipSecurityCollection.Add(addElement1);
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim ipSecuritySection As ConfigurationSection = config.GetSection("system.ftpServer/security/ipSecurity", "Default Web Site")
Dim ipSecurityCollection As ConfigurationElementCollection = ipSecuritySection.GetCollection
ipSecuritySection("allowUnlisted") = True
Dim addElement As ConfigurationElement = ipSecurityCollection.CreateElement("add")
addElement("ipAddress") = "127.0.0.1"
addElement("allowed") = True
ipSecurityCollection.Add(addElement)
Dim addElement1 As ConfigurationElement = ipSecurityCollection.CreateElement("add")
addElement1("ipAddress") = "169.254.0.0"
addElement1("subnetMask") = "255.255.0.0"
ipSecurityCollection.Add(addElement1)
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var ipSecuritySection = adminManager.GetAdminSection("system.ftpServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var ipSecurityCollection = ipSecuritySection.Collection;
ipSecuritySection.Properties.Item("allowUnlisted").Value = true;
var addElement = ipSecurityCollection.CreateNewElement("add");
addElement.Properties.Item("ipAddress").Value = "127.0.0.1";
addElement.Properties.Item("allowed").Value = true;
ipSecurityCollection.AddElement(addElement);
var addElement1 = ipSecurityCollection.CreateNewElement("add");
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0";
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0";
ipSecurityCollection.AddElement(addElement1);
adminManager.CommitChanges();
VBScript
Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set ipSecuritySection = adminManager.GetAdminSection("system.ftpServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set ipSecurityCollection = ipSecuritySection.Collection
ipSecuritySection.Properties.Item("allowUnlisted").Value = True
Set addElement = ipSecurityCollection.CreateNewElement("add")
addElement.Properties.Item("ipAddress").Value = "127.0.0.1"
addElement.Properties.Item("allowed").Value = True
ipSecurityCollection.AddElement(addElement)
Set addElement1 = ipSecurityCollection.CreateNewElement("add")
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0"
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0"
ipSecurityCollection.AddElement(addElement1)
adminManager.CommitChanges()