Transferencia a través de FTP segura

Puede transferir archivos cifrados mediante FTPS en el modo Explicit (FTPES) para conectarse con el servidor de destino de transferencia de archivos.

Configuración de la transferencia de FTP segura

Para una transferencia de FTP segura, ajuste [Using Secure Protocol] en [On] en el servidor de destino de transferencia de archivos e importe un certificado.

Precauciones relacionadas con la función FTP

En FTP, los contenidos, el nombre de usuario y la contraseña no están encriptados. Para una transferencia de datos segura, utilice FTPES (FTPS).

Acerca de la función FTPS

La función FTPS admite varios algoritmos de encriptación para garantizar una transferencia segura de archivos. Se admiten múltiples algoritmos de encriptación, algunos de los cuales podrían no cumplir con las prácticas recomendadas de seguridad actuales, para garantizar la compatibilidad con una amplia gama de servidores.

Algoritmos de cifrado compatibles con la función de FTPS

Los siguientes algoritmos de cifrado son compatibles.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Algoritmos de cifrado recomendados

Los siguientes algoritmos de cifrado se recomiendan según las recomendaciones de NIST (NIST SP 800-57 parte 1, revisión 5) y los estándares de seguridad relacionados.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Acerca de los algoritmos obsoletos

La función FTPS también es compatible con los siguientes algoritmos, pero están obsoletos según las recomendaciones de NIST (NIST SP 800-57 parte 1, revisión 5) y los estándares de seguridad relativos, por lo que podrían quitarse en una versión futura.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Acerca de la compatibilidad de conexión

La función FTPS está diseñada con un equilibrio entre seguridad y compatibilidad. Actualmente, se admiten algoritmos obsoletos por las siguientes razones, aunque podrían eliminarse en una versión futura para mejorar la seguridad:

  • Los fotógrafos y videógrafos autónomos necesitan conectarse a servidores que funcionan con diversos clientes.
  • Es necesario mantener la compatibilidad con sistemas antiguos y servidores heredados.
  • No todos los usuarios están preparados para cambiar a una configuración más segura, ya que modificar los ajustes del algoritmo de cifrado en el servidor es complicado.
  • Los ajustes de FTPS suelen compartirse con otros servicios seguros. Cualquier cambio debe considerarse cuidadosamente, ya que podría afectar a otros servicios en el servidor.
  • Debe admitirse una amplia gama de algoritmos de cifrado para garantizar la interoperabilidad en distintos entornos.

El algoritmo de cifrado utilizado durante una conexión FTPS se determina mediante negociación automática con el servidor de destino y, por lo tanto, depende de la configuración del servidor. A pesar de estar al tanto de los riesgos de seguridad, actualmente se prioriza la compatibilidad para satisfacer las diversas necesidades de los usuarios.

Riesgos de seguridad

El uso de algoritmos obsoletos, incluidos CBC/DHE/RSA/SHA-1, incrementa el riesgo de que los datos cifrados sean descifrados o manipulados por un atacante, exponiendo los datos durante su transferencia.

Recomendación para una conexión segura

Antes de utilizar la función FTPS, compruebe que el servidor de destino de la conexión admita el algoritmo de cifrado recomendado. Habilite únicamente los algoritmos recomendados en el servidor y desactive los algoritmos obsoletos.

Referencias

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (incluye las actualizaciones del 10/06/2016).
TP1002078484