NUNCA MAIS PASSE RAIVA POR NÃO CONSEGUIR RESOLVER UM PROBLEMA COM O EXCEL - GARANTIDO!

UNIVERSIDADE DO VBA - Domine o VBA no Excel Criando Sistemas Completos - Passo a Passo - CLIQUE AQUI

Você está em: PrincipalArtigosServidores : Iis6004
Quer receber novidades e e-books gratuitos?

IIS 6.0 – Instalação, Administração e Configuração

 

Parte 4 – Serviço de FTP – Parte 1

 

Objetivos

 

Eu não gostaria de escrever mais um artigo sobre simplesmente como criar um servidor FTP com IIS.  Em minhas pesquisas pela Internet tenho visto isso aos ‘baldes’ e, sinceramente, seria muito difícil escrever algo original e melhor que meus antecessores.

 

Assim, mesmo correndo o risco de ainda não ser tão original, resolvi escrever sobre o assunto da maneira mais completa possível, do passo-a-passo de como instalar e configurar um servidor FTP (File Transfer Protocol) até a funcionalidade, explorando os problemas de gerenciamento e segurança na publicação de servidor na web.  Vamos estudar os tipos de configurações possíveis do servidor e suas implementações de segurança em cada um deles.

 

Introdução

 

História

 

Para não perder o hábito, e como um pouco de história não faz mal a ninguém...

 

A primeira RFC (Request For Comments), a descrever o FTP foi a RFC 114, de 1971.  Isso criou uma afobação de interesse entre os cientistas, o que levou á um grande números de RFCs que foram escritas no período de 1971 a 1975.  Todo mundo queria entender e escrever sobre FTP.

 

Inicialmente, o FTP rodava em servidores dentro do MIT (Massachusetts Institute of Technology).  Posteriormente, ele foi adaptado para a ARPANET.  Finalmente em 1980, Jon Postel escreveu a RFC 765, o que pareceu acalmar as discussões sobre o assunto.  A RFC 765 definiu o FTP rodando sobre o topo do TCP.

 

O Protocolo FTP

 

Segundo a Wikipédia, FTP significa File Transfer Protocol (Protocolo de Transferência de Arquivos), e é uma forma bastante rápida e versátil de transferir arquivos sendo uma das mais usadas na internet.

 

O FTP é um dos meios mais comum de se copiar arquivos de um lugar para outro na Internet. É bastante antigo, inclusive existe suporte até para os sistemas Mainframe.

 

Por esse fato, é desnecessário dizer que é um protocolo bastante simples e não foi projetado pra atender os requisitos de segurança que se fazem necessários nos dias atuais.  Por isso mesmo, precisamos entender o seu funcionamento (pelo menos o básico), pra ajustarmos nosso ambiente de rede (corporativo ou não), pra melhor configurar a disponibilidade e a segurança do processo.

 

O Protocolo FTP faz parte da suíte de protocolos TCP/IP e trabalha na camada de Aplicação de sua Arquitetura.  Diferentemente do http, por exemplo, e de outros protocolos usados na Internet, o FTP usa no mínimo duas conexões durante uma sessão: uma conexão half-duplex para controle e uma conexão full-duplex para transferência de dados.  Para isso, utiliza as portas 20 e 21 para se comunicar e transmitir dados. A RFC 959 é atualmente o documento oficial que dita seus padrões.

 

A porta 21 é utilizada para estabelecer e manter a comunicação entre o cliente e o servidor. Essa sessão também é conhecida como ‘Control Channel’.  É ela quem verifica se a conexão com o servidor ainda existe.

 

A porta 20 é utilizada para a transferência dos dados (arquivos), propriamente dita.  É conhecida também como ‘Data Channel’.  É nela que é feito o controle do fluxo e integridade dos dados.

 

Para utilizar o FTP, a estação cliente realiza uma conexão com o servidor FTP na porta 21. Após a conexão estabelecida, para cada arquivo transferido estabelece-se uma nova conexão, chamada de conexão de dados. Por padrão, a porta TCP 21 é usada no servidor para controlar a conexão, mas a conexão de dados é determinada pelo método que o cliente usa para se conectar ao servidor.  Assim, existem 2 tipos de conexões:

 

» Conexões FTP de modo ativo são algumas vezes chamadas de conexões "gerenciadas pelo cliente" porque o cliente envia um comando PORT ao servidor na conexão do controle. O comando solicita ao servidor que estabeleça uma conexão de dados da porta TCP 20 no servidor até o cliente com a porta TCP especificada pelo comando PORT.

 

» Conexões FTP de modo passivo são às vezes chamadas de conexões "gerenciadas pelo servidor" porque, depois que o cliente emite o comando PASV, o servidor responde com uma de suas portas temporárias usadas como a porta do servidor na conexão de dados. Depois que um comando de conexão de dados é emitido pelo cliente, o servidor se conecta ao cliente usando a porta imediatamente acima da porta do cliente na conexão do controle.

 

Figura - 1 - FTP Ativo e Passivo

 

Uma sessão FTP geralmente envolve os elementos ilustrados na  figura abaixo.

 

Figura - 2 - Modelo de Conexão FTP

 

1. Interface com o usuário – Aplicativo responsável pela comunicação entre o usuário e o interpretador do protocolo;

 

2. Interpretador de protocolo (Client/Server PI) – através da conexão de controle (Porta 21), conversa com o interpretador de protocolo do lado servidor (Server PI) e juntos controlam a transferência. Também controla o processo de transferência de dados do cliente (Client DTP).

 

3. Processo de transferência de dados (Client/Server DTP) – responsável pela comunicação com o Server DTP através da conexão de dados (Porta 20).  É a parte do cliente que realmente realiza transferência de dados. Controla também o sistema de arquivos local (4).

 

Transferência de dados e firewalls

 

O problema que ocorre com mais freqüência no FTP pela Internet envolve a transferência de dados por servidor proxy, firewall ou dispositivo de conversão de endereços de rede (NAT). Em muitos casos, esses dispositivos de segurança de rede permitem que a conexão de controle seja estabelecida na porta TCP 21 (ou seja, o usuário faz o logon com êxito no servidor FTP); porém, quando o usuário tenta realizar uma transferência de dados do tipo DIR, LS, GET ou PUT, o cliente FTP aparentemente para de responder porque o dispositivo de segurança da rede bloqueia a porta de conexão de dados especificada pelo cliente. Se o dispositivo de segurança da rede der suporte a logs, você poderá verificar o bloqueio da porta consultando os logs de negação/rejeição do dispositivo de segurança.

 

O firewall com filtro de pacotes com base no estado da conexão consegue analisar todo o tráfego da conexão FTP, identificando qual o tipo de transferência que será utilizada (ativa ou passiva) e quais as portas que serão utilizadas para estabelecer a conexão. Sendo assim, todas as vezes que o firewall identifica que uma transferência de arquivos se realizará, é acrescentado uma entrada na tabela de estados, permitindo que a conexão seja estabelecida. As informações ficam armazenadas na tabela somente enquanto a transferência do arquivo é realizada.

 

Com FTP ativo, quando um usuário se conecta ao servidor FTP remoto e solicita informações ou um arquivo, o servidor FTP abre uma nova conexão com o cliente para transferir os dados. Esta é a chamada conexão de dados. Para iniciar, o cliente FTP escolhe uma porta aleatória para receber a conexão de dados. O cliente envia o número da porta escolhida para o servidor FTP e fica esperando uma conexão nessa porta.

 

Então o servidor FTP inicia a conexão com o endereço do cliente na porta escolhida e transfere os dados. Isto se torna um problema para usuários atrás de um gateway NAT tentando se conectar a servidores FTP.

 

Por causa da forma como NAT funciona, o servidor FTP inicializa a conexão de dados se conectando ao endereço externo do gateway NAT na porta escolhida. A máquina fazendo NAT receberá o pedido, mas como não possui mapeamento para o pacote na tabela de estado, descartará o pacote sem entrega-lo ao cliente.

 

No modo FTP passivo, o cliente pede ao servidor que escolha uma porta aleatória para ouvir esperando a conexão de dados. O servidor informa ao cliente a porta escolhida e o cliente se conecta na porta para transferir os dados. Infelizmente, isto nem sempre é possível ou desejável, por causa da possibilidade do firewall em frente ao servidor FTP bloquear a conexão de dados em portas aleatórias.

 

Em resumo, há dois pontos a considerar. O primeiro é o modo de conexão, que pode ser passivo ou ativo; o segundo é o modo de transferência de dados, que pode ser de fluxo, de bloco ou compactado.

 

O serviço FTP do IIS dá suporte às conexões de modo ativo e passivo, dependendo do método especificado pelo cliente. O IIS FTP não permite desabilitar os modos de conexão ativo ou passivo.

 

O modo de transferência de dados padrão do FTP do IIS é de fluxo. No momento, o IIS não dá suporte ao modo de transferência de dados de bloco ou compactado.

 

A tabela a seguir contém clientes FTP fornecidos pela Microsoft e o modo de conexão a que cada cliente dá suporte.

 

Tabela 1 - Clientes FTP Microsoft

 

O FTP é um auxiliar indispensável para webdesigners, DBAs, e outros profissionais que necessitam constantemente publicar, criar ou sincronizar dados, planilhas, pagínas html, etc.

 

Mais uma vez, vale a pena lembrar-se de que entender os processos básicos de conexão e transmissão de dados via FTP é importante para a correta configuração de seu ambiente de rede, tanto no que se diz respeito ao seu bom funcionamento como aos aspectos de segurança dos dados.

 

Segurança

 

Porque a preocupação com segurança?

 

Bom, em princípio, vamos deixar a parte mais ‘fantasiosa’ de lado que são ataques como descritos em filmes clássicos como  A Rede e Swordfish e olharmos o lado prático e real.

 

Apesar da Internet ser a “fonte de todos os males”, algo mais próximo e real é a pior de todas; nossos próprios usuários.  Usuários insatisfeitos com a empresa, desonestos e ignorantes, no sentido de desconhecedores, deve ser sua maior preocupação.  Os primeiros porque têm a intenção em causar danos, e isso faz com que eles porcurem agulha em palheiro pra atingirem seus objetivos e os últimos por total falta de conhecimento podem realizar acessos indevidos e cometerem os mais absurdos dos erros sem ao menos saberem que os fizeram.  E não pense que isso é exclusivo de grandes corporações, se você tem um usuário você já tem um problema.

 

Diante disso, se você é um adminsitrador de redes como eu, deve ter uma preocupação quase que paranóica com a segurança de seus servidores porque, diante das leis atuais você é cúmplice de todo e qualquer dano causado aos negócios da empresa por uma falha de segurança explorada em seus servidores até que se prove o contrário.  Essa segurança não se trata somente de questões técnicas mas também administrativas e de disponibilidade de serviços.  Nos dias atuais, os administradores de rede devem ser além de especialistas na área, conhecedores das leis sobre recursos digitais,  dos negócios da corporação em detalhes, atentos às normas de conduta (execrar os tais ‘jeitinhos brasieleiros’), e cientes de tudo o que acontece no seu território de trabalho.

 

Sem querer me extender mais sobre o assunto, leis como a SOX (Sarbanes & Oxley) e até mesmo algumas alterações no Código Civil Brasileiro, e normas como a ISO 17799, foram criadas diante do fato de que muito se pode fraudar eletrônicamente de dentro da própria corporação.  Se, por exemplo, seu servidor de e-commerce se tornar indisponível por causa da exploração de uma vulnerabilidade que é conhecida e corrigida em um path e, esse path não foi aplicado por você por negligência (e não adianta usar a ‘falta de tempo’ como justificativa), o mínimo que pode lhe acontecer é dispensa por justa causa.

 

Por tudo isso é que devemos nos preocupar com essa tal segurança.

 

Serviço de FTP no IIS

 

O IIS é uma plataforma poderosa para se criar e hospedar web sites, tanto para a Internet quanto para Intranets corporativas e, da mesma forma,  para se disponibilizar sites FTP para uso público ou corporativo.

 

A Microsoft é bastante ironizada pelo fato de promover seus produtos em cima dos próprios produtos em versão anterior.  Realmente chega a ser cômico o fato dela destacar as deficiências de um produto na versão anterior pra salientar as melhorias da nova versão.  Tenho o hábito de dizer que nós só conhecemos verdadeiramente um produto da Microsoft quando ela lança uma nova versão dele.

 

Discussões à parte, vejo esse episódio de uma forma muito otimista porque podemos estudar como garantir melhor a segurança e disponibilidade das versões anteriores do produto ou justificar a aquisição da nova versão, se as melhorias forem realmente importantes para o negócio.

 

Assim, vamos ver as características e problemas das versões anteriores do serviço de FTP e o que ele nos apresenta de novidade (e verdadeiramente útil), em sua versão 6.0.

 

Autenticação de Usuários no IIS

 

Através da autenticação do usuário são definidos os níveis de acesso às informações que ele pode acessar como também criar registros das ações realizadas por ele ao se gravar logs de acesso.

 

Na tabela abaixo, segue uma descrição rápida dos tipos de autenticação suportadas pelo IIS.

 

Tabela 2 - Métodos de Autenticação do IIS

 

Autenticação de Usuários em site FTP

 

Para sites FTP, no entanto, o IIS disponibiliza somente a autenticação anônima e básica.

 

Com base em seus requisitos de segurança, você poderá selecionar um método de autenticação do IIS para validar os usuários que estiverem solicitando acesso a seus sites FTP.  A tabela a seguir resume os métodos de autenticação do FTP.

 

Tabela 3 - Métodos de Autenticação do IIS FTP

 

O acesso anônimo (Anonymous Authentication) é bastante comum porque permite que o usuário acesse aos sites (WWW ou FTP) sem a necessidade de fornecer nome de usuário e senha.  Quando um site (WWW, FTP...) está configurado para permitir esse tipo de acesso uma conta anônima que é criada quando instalamos o IIS é utilizada para permitir o acesso.  Geralmente essa conta de usuário tem o formato IUSR_Nome_do_Servidor (no nosso caso IUSR_PLUTAO).  Essa conta é incluída em um grupo de usuários que tem restrições de segurança impostas pelas permissões do sistema de arquivo (NTFS) e que designam o nível de acesso e o tipo de conteúdo disponível para os usuários públicos, via acesso anônimo.  Com isso, o usuário possui limitações sobre os recursos que pode acessar no servidor.

 

Serviço de FTP no IIS 5.0

 

Relembrando um pouco da arquitetura do IIS 5.0 (estudada no Capítulo 1), o serviço de FTP roda dentro do Inetinfo.exe juntamente com outros serviços como o SMTP e o NNTP.  Além disso, alguns componentes do serviço WWW também são executados nele.  O problema que podemos encontrar nesse modelo é que, se um aplicativo ou site www, ou um desses serviços se comportar mal ou for atacado, todos os serviços e componentes dependentes do Inetinfo.exe sofrerão o efeito colateral deixando de funcionar.  Isso nos alerta pra que sejamos bastante criteriosos com a disponibilidade de qualquer serviço do IIS e devemos considerar sempre a possibilidade de distribuirmos os serviços entre dois ou mais servidores colocando, por exemplo, o IIS FTP e servidor diferente do que disponibiliza as Páginas da Intranet corporativa.

 

A segurança de acesso ao serviço FTP nas versão 5.0 é totalmente dependente do Sistema de Arquivos do Windows Server (NTFS).  Se a configuração das devidas permissões nas pastas ou diretórios disponíveis para FTP, todos os usuários conseguem visualizar todos os conteúdos de todas as pastas a partir da raiz, independente da confidencialidade de cada um.  Essa dependência apesar de eficiente , em termos de segurança, apresenta alguns problemas que devem ser considerados:

 

» Se o administrador esquecer de atribuir permissões ou atribuir permissões inadequadas  alguma pasta, toda a segurança do servidor – quiçá da rede toda – pode ser comprometida;

 

» Configurar e manter os registros de permissões para um grande número de usuários requer um esforço descomunal, é altamente complicado e estressante, pra não dizer que é quase impossível ser feito por uma única pessoa (o que não é difícil de acontecer diante das conteções de despesas nos dias atuais).

 

Além da questão NTFS, existem mais alguns detalhes a serem considerados sobre a segurança dessa versão do IIS.

 

» Acesso Anônimo – Por padrão o IIS FTP permite ambos os acessos, anônimo e por autenticação.  Para desabilitar o acesso anônimo é necessário desmarcar a opção “Allow anonymous connections” (Figura 4);

 

» Autenticação – Como já vimos, embora o IIS tenha uma gama de opções muito boa para autenticação, o  IIS FTP suporta somente a autenticação Anonymous e Basic-Like Authentication (Figura 5).   Em geral, o FTP é considerado erradamente como um meio seguro de transferência de dados, já que o servidor FTP pode ser configurado para solicitar uma combinação de nome de usuário e senha válidos antes de conceder acesso aos dados. Esteja ciente de que tanto as credenciais especificadas no logon quanto os dados propriamente ditos não são criptografados nem codificados. O que significa dizer que todas as credenciais são transmitidos através da rede em ‘clear-text’, ou seja, sem formatação. Em outras palavras, todos os dados FTP podem ser facilmente interceptados e analisados por qualquer estação ou rede entre o cliente e o servidor FTP. O risco de credenciais em texto sem formatação é que pessoas estranhas consigam fazer logon no FTP e façam download de arquivos destinados a usuários específicos.

 

» FTP Logon – A utilização deautenticação via logon no IIS FTP requer alguns privilégios especiais aos usuários e à conta Anonymous.  È necessário atribuir-lhe o direito do logon local (Logo n Locally).

 

» Isolamento de usuários – Isolamento de usuários significa garantir que cada usuário tenha acesso ao diretório FTP a partir de sua pasta de usuário e nunca a partir da raiz do serviço.  Para conseguir isso nessa versão, como já foi dito, é necessário configurar as permissões do sistema de arquivo (no caso, NTFS), do servidor FTP.

 

» O IIS 5.0 não oferece suporte ao Secure FTP e FTPS (FTP sobre SSL).  E nesse caso ainda temos mais um problema pra quem utiliza o ISA Server;ele também não oferece este tipo de suporte para publicação de sites FTP.

 

» O único mecanismo de limitação de acesso ao IIS FTP 5.0 é a “Restrição por Endereço IP”(Figura 6). Isso restringe o acesso por estações mas não por usuário.

 

Qualquer usuário, com permissão ou não pra utilizar o serviço, sentado a frente de uma estação com IP ‘válido’ pode acessar as pastas e diretorios FTP.

 

Figura - 3 - Tipos de autenticação suportada no IIS 5.0

 

Figura - 4 - IP Address Restriction

 

Resolvendo Alguns Problemas com Segurança na Versão 5.0.

 

Para minimizarmos esses potenciais problemas podemos adotar, como sugestão, as seguintes medidas:

 

» Retirar a permissão de escrita (Write), de pastas em que não serão necessários uploads de arquivos por parte dos usuários;

 

» Não instalar, em hipótese alguma, o serviço de FTP para utilização corporativa em servidores Controladores de Domínio.

 

» Em relação ao FTP Logon, criar as contas de usuários na base de usuários do servidor FTP é uma boa saída.  Principalmente se os usuários não forem corporativos (clientes ou parceiros de negócios, por exemplo).  Isso restringe o acesso somente ao servidor FTP e pode impedir uma provável invasão de outros servidores.

 

» Desabilitar o acesso anônimo é importante inclusive para questões de auditoria de sistemas.  Se o modo de autenticação pode ser implementado e o conteúdo exposto no FTP não é considerado para domínio público, o acesso anônimo deve ser banido.

 

» Como os dados de usuário e senha trafegam em clear-text no modo de autenticação do FTP, se está previsto  colocar dados sigilosos no site FTP ou se a segurança na comunicação entre os clientes e o servidor FTP for essencial,o estudo para implementação de um canal criptografado, como uma rede virtual privada(VPN), protegida com protocolo de encapsulamento ponto a ponto (PPTP) ou com protocolo IPSec, devem ser considerados e amplamente encorajados. Deve ser também considerado o uso do WebDAV, que utiliza a SSL (camada de soquetes de segurança).

 

Um cuidado extra deve ser dado aos sites FTP na Web ou diretórios virtuais configurados para usar isolamento com Active Directory (IIS 6.0), ou balanceamento de carga de FTP.  Estes não devem ser mapeados para diretórios físicos usados em sites com as Extensões de servidor do FrontPage instaladas. Esse procedimento pode permitir que usuários vejam todos os arquivos dessa estrutura de pastas na rede.

 

» Criar políticas de grupos de trabalhos para determinar as permissões NTFS é uma boa saída para minimizar os esforços de manutenção.  Ao menos os usuários corporativos devem ser organizados em grupos departamentais e as permissões NTFS atribuídas a esses grupos ao invés de usuário para usuário.  Esses usuários geralmente possuem seu Home Directory para armazenar dados pessoais e não faz muito sentido criar um endereço FTP somente pra esse tipo de serviço.  Serviços corporativos, via de regra, devem disponibilizar conteúdos corporativos e não pessoais.

 

Serviço de FTP no IIS 6.0

 

A arquitetura redesenhada do IIS 6.0 colaborou em muito para a confiança na establidade e disponibilidade dos seu diversos serviços.  Como já vimos (também no Capítulo 1), agora os serviços FTP, SMTP e NNTP continuam rodando sobre o inetinfo.exe, porém os aplicavos web rodam totalmente em processo separados com maior controle sobre sua ‘saúde’.  Assim, se um site web se comportar mal não comprometerá os outros serviços e vice-versa.

 

Figura - 5 - Arquitetura dos Serviços IIS 6.0

 

No aspecto de segurança, a versão 6.0 do IIS inclui o isolamento de usuários para auxiliar os administradores e, particularmente os provedores de hospedagem na Internet, a manter a segurança e a eficiência dos serviços FTP e oferecer a seus clientes diretórios individuais de FTP para fazer o upload de arquivos e de conteúdo da Web.

 

Isso é muito útil quando você tem vários usuários acessando um ou mais sites.

 

O isolamento dos usuários de FTP impede que eles exibam ou sobrescrevam o conteúdo da Web de outros usuários, restringindo-os a seus próprios diretórios. Os usuários não podem navegar mais acima na árvore de diretórios porque o diretório de nível superior aparece como a raiz do serviço FTP. Dentro de seu site específico, os usuários têm a capacidade de criar, modificar ou excluir arquivos e pastas.

 

O isolamento do usuário de FTP é uma propriedade do site e não uma propriedade do servidor; o que significa dizer que cada site FTP pode ter o isolamento de usuários configurado de maneira diferente.

 

Se o seu site se localiza em uma intranet ou na internet, os princípios disponibilização de um local para trocas (uploads e downloads) de arquivos usando o FTP são os mesmos. Você grava seus arquivos em diretórios no seu servidor de FTP para que seus usuários possam estabelecer uma conexão FTP e transferir arquivos com um cliente FTP ou com o browser (Internet Explorer, Firefox,etc) habilitado para conexões FTP.

 

Porém, além de simplesmente armazenar arquivos em seu servidor, você precisa gerenciar como o seu site está instalado e, o mais importante, como seu site se desenvolve.

 

O isolamento do usuário de FTP oferece suporte a três modos de isolamento.

 

Cada modo ativa diferentes níveis de isolamento e autenticação.  O modo desejado deve ser configurado no ato da criação do site e não poderá ser alterado depois.  A única maneira de fazer isso é excluir o site e criá-lo novamente com a outra opção de isolamento porque essa propriedade está presente somente na criação do site.

 

» Não isolar usuários – Este modo não ativa o isolamento do usuário de FTP.

 

Ele foi criado para funcionar de maneira semelhante a versões anteriores do IIS.   Aqui é necessário se preocupar diretamente com as permissões NTFS para evitar acessos indevidos às pastas de outros usuários.  Todas as recomendações de segurança dadas nesse artigo para a versão 5.0 servem pra este tipo de configuração.

 

» Quando Utilizar: Como o isolamento não é imposto entre diferentes usuários que fazem logon no seu servidor FTP, esse modo é ideal para um site que oferece apenas recursos de download de conteúdo compartilhado ou para sites que não exigem proteção de acesso a dados entre os usuários.

 

» Isolar usuários – Este modo autentica os usuários em contas locais ou de domínio, antes que eles possam acessar o diretório base que corresponde ao seu nome de usuário. Todos os diretórios-base de usuários devem ser criados localmente, ou seja, é necessário criar uma estrutura de diretórios em um único diretório raiz do FTP em que cada usuário é colocado e restrito ao seu diretório base. Os usuários não têm permissão para navegar fora de seu diretório base. Se os usuários precisarem de acesso a pastas compartilhadas dedicadas, também é possível estabelecer uma raiz virtual. Este modo não é autenticado no serviço de diretórios do Active Directory.

 

» Quando Utilizar: Este modo de isolamento tem alguns pontos positivos e negativos.  O lado positivo é que pode autenticar usuários locais ou remotos e é de fácil entendimento para o administrador. O lado negativo é que todos as sub-pastas do site precisam estar em um mesmo diretório raiz e o desempenho do servidor pode degradar quando este modo for usado para criar centenas de diretórios-base.  Este modo é indicado nas seguintes condições:

 

» Quando houver um número pequeno de sites pra gerenciar;

» Quando houver um número pequeno de contas de usuários FTP.  Lembre-se de que 100 usuários significam 100 FTP home directories.

» Quando a escalabilidade (potencial de crescimento), for baixo.

 

» Isolar usuários usando o Active Directory – Este modo autentica credenciais de usuário em um recipiente do Active Directory correspondente, em vez de procurar em todo o Active Directory, o que requer muito tempo de processamento. Instâncias específicas do servidor FTP podem ser dedicadas a cada cliente, para assegurar a integridade e o isolamento dos dados. Quando o objeto de um usuário estiver localizado no recipiente do Active Directory, as propriedades FTPRoot e FTPDir serão extraídas para fornecer o caminho completo para o diretório base do usuário, o que torna desnecessário a manutenção de uma estrutura de diretórios para o FTP. Se o serviço FTP puder acessar com êxito o caminho, o usuário será colocado no diretório base, que representa o local raiz do FTP. Para o usuário é exibido apenas seu local raiz do FTP e ele não pode navegar acima na árvore de diretórios. O usuário terá o acesso negado se a propriedade FTPRoot ou FTPDir não existir ou se essas duas juntas não formarem um caminho válido e acessível.

 

» Quando Utilizar:

 

» Quando houve a necessidade de se criar um FTP Farm ou Load Balance;

» Quando houver a necessidade de alta disponibilidade do serviço;

 

Observação: Este modo requer que um servidor do Active Directory seja executado em um sistema operacional da família Windows Server 2003. Um Active Directory do Windows 2000 também poderá ser usado, mas irá requerer extensão manual do esquema User Object.

 

Instalação

 

O processo de instalação do serviço de FTP que descrevo abaixo, foi copiado dos procedimentos indicados pela Microsoft.  Após a instalação vamos estudar como configurar e gerenciar nosso servidor FTP.

 

Instalando o Serviço de FTP

 

1. Abra o “Add Remove Programs” no Painel de Controle e clique em “Add/Remove Windows Components”;

 

Figura - 6 - Instalação do Serviço de FTP no Windows Server 2003

 

2. Clique em “Application Server” à “Details” e, em seus subcomponentes, procure e clique em “Internet Information Services (IIS)” à “Details”.

 

3. Nos subcomponentes de “Internet Information Services (IIS)”, selecione “File Transfer Protocol (FTP) Service” à OK.

 

4. Clique em “Next”. Se solicitado, insira o CD do Windows Server 2003.
6. Clique em “Finish”.

 

O IIS Manager cria um site FTP padrão durante a instalação dos serviços FTP.

 

Pode-se utilizar o diretório \Inetpub\Ftproot para publicar o conteúdo ou criar outro diretório.

 

Pronto! Instalamos o Serviço FTP.  Agora precisamos configurá-lo adequadamente pra que você possa oferecer este serviço para sua empresa/clientes de maneira segura e adequada.

 

Criando um novo site FTP

 

1. No IIS Manager, expanda o computador local, clique com o botão direito na pasta FTP Sites, aponte para New... e clique em FTP Site. O Assistente para criação de site FTP aparece.

 

2. Clique em Next.

 

3. Na caixa Description, digite o nome do site e clique em Next.

 

4. Especifique, digitando ou clicando, o endereço IP (o padrão é (All Unassigned)) e a porta TCP para o site, e clique em Next.

 

5. Clique na opção de isolamanto do usuário que você deseja e clique em Next.

 

6. Na caixa Path, digite, ou procure, o diretório que contém ou conterá conteúdo compartilhado e clique em Next.

 

7. Marque as caixas de seleção correspondentes às permissões de acesso ao site FTP que você quer atribuir aos usuários e clique em Next.

 

8. Clique em Finish.

 

9. Para posteriormente alterar estas e outras configurações, clique com o botão direito no site FTP e clique em Properties.

 

Discutiremos posteriormente como manter vários sites FTP em um único servidor.

 

DICA: Ao terminar a instalação, se vocês estiver utilizando o servidor com algum Service Pack (SP1 no caso do Windows Server 2003), é interessante reaplicar o último Service Pack após a instalação do serviço.

 

O primeiro requisito de segurança é a aplicação do Service Pack mais atual do seu Sistema Operacional (no nosso caso, o Windows Server 2003).  Os Service Packs são ‘programados’ para instalar as correções somente dos serviços em execução no servidor. Assim, se houver alguma correção  a ser feita (e há!) no serviço de FTP, ela só será aplicada após o serviço instalado.  Existem pelo menos 5 artigos inclusos no SP1 que tratam de problemas diretamente ligados ao serviço de FTP (KB826270 – KB828086 – KB830886 – KB830885 – KB831914 – KB887175).

 

É uma boa prática verificar a compatibilidade dos sistemas que estão rodando no servidor que foi escolhido para ser o servidor de FTP, com os patchs do Service Pack atual antes de re-aplicá-lo ou aplicá-lo pela primeira vez.   Alguns sistemas, como banco de dados por exemplo, podem deixar de funcionar ou começar apresentar erros após uma substituição de dll feita pelo Service Pack.  E, acredite, é melhor pesquisar pelas incompatibilidades antes do que durante a ocorrência do problema.

 

Configurando o Serviço de FTP para Acesso Anônimo

 

Se o servidor FTP tiver por finalidade simplesmente ser um repositório de documentos de domínio público que podem e devem ser pesquisados pela empresa toda (pela intranet), ou pelo mundo (através da internet), a simples configuração para permitir somente conexões anônimas será o suficiente.

 

Para configurar o Serviço FTP de modo a permitir somente conexões anônimas, siga estas etapas:

 

1. Abra o Gerenciador dos Serviços de Informações da Internet da Microsoft ou o snap-in do IIS.

 

2. Expanda Nome_do_servidor, em que  Nome_do_servidor  é o nome do servidor.

 

3. Expanda FTP Sites.

 

4. Clique com o botão direito em Default FTP Site e clique em Properties.

 

5. Clique na guia Security Accounts.

 

Figura - 7 - Propriedades de Segurança de Contas de Acesso

 

6. Clique para marcar as caixas de seleção Allow anonymous connections (se já não estiver selecionada) e Allow only anonymous connections.

 

Ao clicar para selecionar a caixa de seleção Allow only anonymous connections, você configura o Serviço FTP para permitir somente conexões anônimas. Os usuários não podem conectar-se usando nomes de usuário e senhas.

 

7. Clique na guia Home Directory.

 

8. Clique para marcar as caixas de seleção Read e Log Visits (se já não estiverem marcadas) e clique para desmarcar a caixa de seleção Write (se já não estiver desmarcada).

 

9. Clique em OK.

 

10. Feche o Gerenciador dos Serviços de Informações da Internet da Microsoft ou o snap-in do IIS.

 

O servidor FTP está configurado para aceitar solicitações de entrada FTP. Copie ou mova os arquivos que deseja tornar disponível para acesso para a pasta de publicação em FTP. A pasta padrão é unidade:\Inetpub\Ftproot, onde unidade é a unidade na qual o IIS está instalado.

 

Conclusão

 

Bom, nessa primeira parte de nossos estudos sobre FTP, eu quis mostrar as diferenças existentes (pra melhor), na versão 6.0 em relação à versão anterior do IIS FTP.

 

Olhando este artigo com um critério mais apurado parece que a versão 5.0 só tem problemas e é o inferno de todos os administradores de servidores, mas não é assim.  Logicamente, eu mostrei muito mais as falhas do que as vantagens justamente pra chamar a atenção para as necessidades de cuidados com os detalhes da configuração, da segurança e da disponibilização do serviço.  A versão 7.0 do IIS já está em Beta e logo será lançada no mercado, o que com certeza nos fará olhar com mais carinho para as deficiências da versão 6.0, porém isso não significa e nem siginificará que teremos que abandonar a versão que estamos utilizando porque ‘de repente’ ela se tornou ‘bichada’.  Significa sim, que conheceremos melhor seus problemas e teremos que fazer o necessário para que ela continue tão boa quanto antes.

 

Precisamos atentar para a realidade de que não dá pra ficar fazendo upgrades eternos de nossos sistemas simplesmente porque saiu uma versão que se diz melhor que a que estamos usando.

 

Para pensarmos em migrar dezenas, centenas ou até milhares de sites de um servidor de serviços Internet para uma versão mais nova devemos avaliar – como a serviço tecnológico existente - as melhorias de performance, segurança, de aplicações, enfim, tudo aquilo que pode realmente incrementar valor ao nosso negócio.

 

Bibliografia

 

Se houver alguma citação neste trabalho que por acaso não esteja descrita na Bibliografia, entre em contato comigo que eu forneço o original.

 

» Instalando e configurando o FTP no Windows Server 2003 – Fórum do Baboo - http://www.baboo.com.br/absolutenm/print.asp?a=9358&z;

 

» Windows Server 2003 Service Pack 1 list of updates – KB 82421 - http://support.microsoft.com/kb/824721/ ;

 

» Internet Information Services (IIS) 6.0 - http://technet2.microsoft.com/WindowsServer/f/?en/Library/62f77aaa-3ea3-43b0-b1b2-7b71f559167f1033.mspx ;

 

» Windows Server 2003, Curso Completo – Cap. 23 – Internet Information Services 6.0 – IIS 6.0, pags 1345-1407 – Ed. Axcel Books do Brasil, 2003 – ISBN:85-7323-196-3.

 

» Configuring FTP Site Properties - http://technet2.microsoft.com/WindowsServer/en/Library/2cdf5e2d-f607-47a8-a1d2-d571dbb1c3401033.mspx

 

» Configuring FTP Server Authentication - http://technet2.microsoft.com/WindowsServer/en/Library/9291a157-d560-4108-8855-4ff3cafaa2411033.mspx

 

» Funcionamento do Protocolo FTP – João P. R. Vita, João E. F. Bertacchi – 2005 – http:// www.las.ic.unicamp.br/~joaopaulo/ftp.pdf

 

» Segurança Virtual: Firewalls: Falsa sensação de segurança – Parte 2 - http://www.secforum.com.br/article.php?sid=2776

 

» Problemas com FTP - http://www.openbsd.org/faq/pf/pt/ftp.html

 

UNIVERSIDADE DO WINDOWS SERVER E AD

UNIVERSIDADE PRÁTICA DO WINDOWS SERVER E DO ACTIVE DIRECTORY - Planejamento, Instalação, Configurações, Administração e Segurança no Windows Server: 2019, 2016, 2012 e 2008.

Acesso Vitalício, Novas Aulas toda Semana, Suporte à Dúvidas e Certificado de Conclusão.

Para Todos os Detalhes, Acesse:

 

Universidade do Windows Server e do Active Directory - Curso Completo de Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2008 e Active Directory - Curso Prático e Profissionalizante de Windows Server

 

Universidade do Windows Server e do Active Directory - Curso Completo de Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2008 e Active Directory - Curso Prático e Profissionalizante de Windows Server

https://juliobattisti.com.br/windows-server-curso-completo.asp

Quer receber novidades e e-books gratuitos?

 
 

Contato: Telefone: (51) 3717-3796 | E-mail: webmaster@juliobattisti.com.br | Whatsapp: (51) 99627-3434

Júlio Battisti Livros e Cursos Ltda | CNPJ: 08.916.484/0001-25 | Rua Vereador Ivo Cláudio Weigel, 537 - Universitário, Santa Cruz do Sul/RS, CEP: 96816-208

Todos os direitos reservados, Júlio Battisti 2001-2025 ®

LIVRO: MACROS E PROGRAMAÇÃO VBA NO EXCEL 2016 - CURSO COMPLETO E PRÁTICO

DOMINE A PROGRAMAÇÃO VBA NO EXCEL - 878 PÁGINAS - CLIQUE AQUI