Restricciones de intento de inicio de sesión de FTP de IIS 8.0
por Robert McMurray
Compatibilidad
Versión | Notas |
---|---|
IIS 8.0 | Las Restricciones de intentos de inicio de sesión en FTP se introdujeron en IIS 8.0. |
IIS 7.5 | No se admiten restricciones de intento de inicio de sesión de FTP en IIS 7.0 o IIS 7.5. |
IIS 7.0 |
Problema
Una posible vulnerabilidad para un servidor es un ataque de contraseña por fuerza bruta a través del servicio FTP. Dado que las cuentas que se usan para FTP suelen ser cuentas de usuario físicas en el sistema operativo host, teóricamente es posible adivinar el nombre de usuario administrativo una vez que haya determinado el tipo de servidor FTP. Una vez detectado un nombre de cuenta, un cliente malintencionado puede conectarse a un servidor e intentar un ataque por fuerza bruta en esa cuenta. (Por ejemplo: "administrador" para sistemas Windows o "raíz" para sistemas UNIX.)
En IIS 7.5, el servicio FTP introdujo las API de extensibilidad que permitían a los desarrolladores crear proveedores de autenticación personalizados, lo que permite que las cuentas que no son de Windows accedan a FTP. Esto reduce significativamente la superficie del área de ataque para el servicio FTP, ya que estas cuentas FTP no son cuentas de Windows válidas y, por lo tanto, no tienen acceso a los recursos fuera del servicio FTP. Mediante el uso de las características de extensibilidad de autenticación FTP en IIS 7.5, Microsoft proporcionó una manera para que los administradores reduzcan la posibilidad de ataques por fuerza bruta para cuentas que no son de Windows mediante la creación de un proveedor de autenticación personalizado. Esta información se documenta en el siguiente artículo:
Solución
En IIS 8.0 para Windows Server 2012, Microsoft ha agregado una característica de seguridad de red integrada que proporciona esta funcionalidad para todos los inicios de sesión sin necesidad de crear un proveedor de autenticación personalizado. En este tutorial, examinaremos los pasos necesarios para habilitar las restricciones de inicio de sesión de FTP con el fin de evitar ataques por fuerza bruta en el servidor.
Habilitación de la autenticación de Azure Active Directory Domain Services en Azure Files
Requisitos previos:
- Máquina Windows Server 2012 con IIS 8.0 y el servicio FTP ya instalado.
Soluciones alternativas para errores conocidos:
En este momento no hay errores conocidos para esta característica.
Configurar FTP para evitar ataques por fuerza bruta
El servicio FTP se puede configurar para denegar el acceso al servicio FTP en función del número de veces que un cliente FTP no se puede autenticar dentro de un período de tiempo especificado por el usuario. Una vez alcanzado el número de intentos de inicio de sesión con errores, el servidor cierra la conexión FTP forzadamente y la dirección IP de los clientes FTP está bloqueada para acceder al servicio FTP por la duración del tiempo de expiración.
Para configurar el servicio FTP para denegar a los usuarios malintencionados el acceso al servicio FTP, siga estos pasos:
- Regístrese como administrador en su equipo con Windows Server 2012.
- Abra Administrador de Internet Information Services (IIS).
- Resalte el nombre del servidor en el panel Conexiones y, a continuación, haga doble clic en Restricciones de intentos de inicio de sesión en FTP en la lista de características.
- Active la casilla para Habilitar restricciones de intentos de inicio de sesión en FTPy especifique el número de intentos de inicio de sesión con errores y el período de tiempo que usa el servicio FTP para determinar si se bloquea el acceso para los clientes FTP.
- Haga clic en Aplicar.
La opción "Escribir solo en el registro" no bloquea los intentos de inicio de sesión. En su lugar, registra que se ha cumplido la condición. Después, el administrador de TI puede probar diferentes parámetros de configuración para evaluar cómo afecta la configuración a sus usuarios antes de aplicarlos.
Resumen
En este tutorial, ha visto cómo configurar el servicio FTP para denegar a los clientes malintencionados que atacan el servidor FTP mediante la configuración de la nueva característica Restricciones de intentos de inicio de sesión en FTP en Windows Server 2012.
Tenga en cuenta que las restricciones de intentos de inicio de sesión en FTP son la configuración de nivel de servidor; no puede establecer restricciones de inicio de sesión independientes por sitio. Dado que los atacantes intentan obtener acceso al servidor y no a un solo sitio, el servicio FTP bloqueará el acceso a usuarios malintencionados en el nivel de servidor.