Protege tu servidor FTP Filezilla adecuadamente

por Javier Rodríguez 05/02/2016 ...

Una de las pocas opciones de tener un FTP en nuestro PC, con las últimas tecnologías y completamente gratuito, es mediante Filezilla Server. Es un potente servidor FTP con gestión local y remota que nos permite establecer algunas técnicas para mantener unos niveles de seguridad elevados.

El primer paso es no usar puertos estándar para la conexión. Usar los puertos habituales nos pondrá en el objetivo de todo tipo de robots de fuerza bruta y de búsqueda de vulnerabilidades. Si usamos puertos no convencionales habremos ganado una batalla importante ya que seremos más difíciles de localizar por este tipo de robots.

Nuestro primer paso será cambiar el puerto 21, que es el puerto por defecto de cualquier servicio de FTP. Esto lo podemos modificar en “options”, “General settings”. Podéis elegir e que queráis mientras no sea un puerto que se use para otros menesteres.

El segundo paso es inhabilitar el acceso sin encriptación. Forzaremos a que cualquier conexión al servidor se haga por sFTP (Secure FTP).  Esto lo podemos hacer también desde “Options” y buscaremos “FTP over TLS settings”. Este paso es importante porque haremos tremendamente complicado que un tercero averigüe nuestras claves de acceso mediante métodos de escucha, no seremos impenetrables, puede haber vulnerabilidades incluso en el método de encriptación, pero una vez más conseguimos elevar los requisitos de conocimiento de forma notable.

El sistema necesita de un certificado, una clave de encriptación, que podemos crear nosotros mismos desde el interfaz de Filezilla Server. Rellenaremos los datos y generaremos el certificado. No tendrá una validez contrastada, pero servirá para nuestro uso personal o para compartirlo con conocidos y colegas. Una vez habilitado el servidor FTPS marcaremos la casilla “Disallow plan unencrypted FTP”. DE este modo obligaremos siempre a usar el protocolo seguro.

Por ultimo potenciaremos la seguridad del sistema evitando que robots de fuerza bruta, o de uso de diccionarios de claves, nos ataquen de forma constante desde la misma IP. Esto no garantiza que no lo sigan intentando, pero iremos borrando posibilidades de la botnet. Esta opción de seguridad se llama “autoban”. Esta también en opciones del servidor. Lo habilitaremos, dejaremos el número de intentos en 10 (es el mínimo) en una hora y ampliaremos el número de horas de veto a 999, el máximo que admite el servidor.

Con estos tres pasos tendremos una seguridad bastante más elevada en nuestro servidor FTP, el siguiente paso será estar atentos a las actualizaciones del sistema operativo y de la propia aplicación de servicio de FTP.