Procedimientos recomendados y recomendaciones para el adaptador de FTP
Obtenga información sobre los procedimientos recomendados, las recomendaciones de seguridad y las mejoras para el adaptador ftp.
Procedimientos recomendados
Elimine de la carpeta temporal, con cierta regularidad, los archivos parcialmente recibidos. De este modo evitará que consuman recursos del equipo o que ocasionen interrupciones en el servicio.
Cuando utilice un servidor de transmisión por secuencias, deniegue el acceso de lectura al nuevo archivo hasta que la base de datos de cuadro de mensajes haya recibido la totalidad del archivo. Si el adaptador de FTP envía un archivo parcial a la base de datos de cuadro de mensajes, la base de datos almacenará el mensaje correctamente, pero el adaptador de FTP no podrá eliminar el mensaje parcial de la ubicación de recepción.
Para garantizar un alto grado de disponibilidad del controlador de recepción del adaptador de FTP, dicho controlador deberá configurarse de modo que se ejecute en una instancia de host de BizTalk agrupada. Para obtener más información, vea Consideraciones para ejecutar controladores de adaptador dentro de un host en clúster.
Recomendaciones y sugerencias de seguridad
BizTalk Server puede recibir archivos de un servidor del Protocolo de transferencia de archivos (FTP) y enviar archivos a un servidor FTP para otras aplicaciones. BizTalk Server no actúa como servidor FTP.
FTP es, por naturaleza, no seguro: el nombre de usuario, la contraseña y otras credenciales atraviesan la red en texto no cifrado. Del mismo modo, los archivos que se cargan o descargan lo hacen también en texto sin cifrar, por lo que su contenido puede ser visto y utilizado de forma malintencionada. Además, un atacante podría suplantar el propio servidor FTP, lo que se conoce como un ataque de servidor roque. En este caso, no se puede saber si un servidor FTP concreto es realmente el equipo con el que intenta comunicarse.
Para solucionar estos problemas, el adaptador ftp admite el protocolo SSL/TLS que garantiza la confidencialidad de los datos a través del cifrado.
Para conocer las consideraciones generales de seguridad al usar el protocolo FTP, consulte los archivos de preguntas más frecuentes de Internet (https://go.microsoft.com/fwlink/p/?LinkId=24779).
Se recomienda usar las siguientes directrices para proteger e implementar el adaptador FTP en su entorno:
Proteja el servidor y limite el acceso a los datos. Dado que el protocolo FTP no es un protocolo seguro, siempre será vulnerable. Puede asegurarse de que el servidor FTP es seguro mediante una conexión dedicada y limitar el servidor y la conexión entre BizTalk Server y el host FTP. También se pueden configurar las directrices de seguridad del servidor FTP para permitir conexiones seguras con el cliente de FTP.
Configure el adaptador de FTP para usar el protocolo Capa de sockets seguros (SSL) para la comunicación entre el adaptador y el servidor FTP. El protocolo SSL asegura la confidencialidad de datos mediante cifrado. Esto significa que los identificadores de usuario y contraseñas se cifran y no se envían como texto sin formato. Con el adaptador de FTP, también puede cifrar el canal de datos de la conexión FTP. Vea Mejoras (en este tema).
Para lograr una transferencia de archivos segura, configure las propiedades específicas de SSL proporcionadas por el adaptador FTP. Vea Mejoras (en este tema).
El adaptador FTP admite la solicitud FTP para comentarios (RFC) 959. Consulte World Wide Web Consortium (W3C) (https://go.microsoft.com/fwlink/p/?LinkId=24781). El adaptador de FTP no admite el protocolo de FTP seguro (SFTP). Consulte el adaptador SFTP.
Puede utilizar el adaptador de FTP en servidores de seguridad. En función del tipo de firewall que use, es posible que tenga que configurar una o varias de las siguientes propiedades de firewall: nombre de usuario, contraseña, equipo, puerto, tipo de firewall (ninguno, calcetines 4, calcetines 5) y modo.
Se recomienda colocar el servidor FTP remoto en una ubicación segura. Debe garantizar la seguridad física y de red de este servidor para minimizar los ataques de servidores Rogue.
El adaptador de FTP admite el uso de inicio de sesión único (SSO) empresarial. Consulte Implementación del inicio de sesión único de Enterprise.
De forma predeterminada, el adaptador de recepción FTP debe tener permisos de escritura en el servidor FTP porque el adaptador elimina el archivo del servidor después de la descarga. Sin embargo, el adaptador FTP admite la descarga de archivos desde ubicaciones de solo lectura. Vea Mejoras (en este tema).
Cuando se utilice un puerto de envío FTP, se debe especificar y almacenar una combinación de contraseña e Id. al configurar el puerto de envío. El adaptador utiliza esta información para conectarse al servidor FTP. Las credenciales de usuario se almacenan en una base de datos de SQL Server como texto sin formato. En un puerto de envío dinámico, las credenciales se envían al servidor FTP. Si los requisitos del entorno de producción garantizan una mayor seguridad, utilice credenciales anónimas para el servidor.
Cuando el sistema le solicite una cuenta, se recomienda escribir una cuenta de usuario existente y no la cuenta del sistema local. Esto hace posible implementar una mayor seguridad y permite la ejecución del adaptador en modo desatendido, sin iniciar sesión.
Mejoras
Transferencia de datos hacia y desde un servidor FTP seguro
El adaptador FTP admite transferencias de archivos desde un servidor FTPS a través de capa de sockets seguros (SSL)/Seguridad de nivel de transporte (TLS). SSL/TLS garantiza la confidencialidad de los datos mediante el cifrado. Debe habilitar el modo seguro mediante la configuración de propiedades específicas de SSL proporcionadas por el adaptador. Puesto que el adaptador permite tanto la lectura como la escritura de datos del servidor FTP, las propiedades específicas de SSL están disponibles al configurar controladores y puertos de envío, además de con los controladores y ubicaciones de recepción.
A partir de BizTalk Server 2016, el adaptador FTP ya no requiere el comando SYST:
Propiedad Tipo de servidor FTP : establezca esta propiedad para usar un servidor que no requiera el comando SYST.
Están disponibles las opciones siguientes para configurar las propiedades específicas de SSL:
Use la propiedad SSL: establezca esta propiedad para que el adaptador FTP deba usar SSL para cada sesión de transferencia.
Habilitar la propiedad Protección de datos: establezca esta propiedad para activar el cifrado de datos. Las directivas de seguridad del servidor FTPS deben permitir conexiones SSL seguras con el adaptador para que esta configuración funcione.
Propiedad Modo de conexión FTPS : establezca esta propiedad para determinar cuándo se activa la seguridad:
En el modo implícito , la seguridad se activa automáticamente en cuanto el adaptador se conecta al servidor.
En el modo Explícito , el adaptador envía un comando para iniciar un canal de control seguro.
Nota
El adaptador FTP no admite la comprobación de revocaciones en los certificados del servidor.
Compatibilidad para la descarga de archivos de ubicaciones marcadas como de solo lectura
El adaptador FTP admite la descarga de archivos desde ubicaciones de archivos de solo lectura. El adaptador mantiene ahora una lista de archivos descargados en una base de datos. En la siguiente descarga, la lista de archivos del servidor FTP se compara con la lista de archivos mantenidos por el adaptador y, únicamente se descargan los nuevos archivos en el servidor. Para admitir escenarios en los que se actualiza un archivo existente entre dos descargas, puede configurar el adaptador para comprobar también las marcas de tiempo de los archivos estableciendo la propiedad Enable Timestamp Comparison (Habilitar comparación de marca de tiempo) para la ubicación de recepción ftp. En tales casos, incluso si el nombre del archivo es el mismo, pero se actualiza la marca de tiempo, el adaptador descarga el archivo.
Algunas veces el servidor FTP no admite la asociación de una marca de tiempo modificada con un archivo. En estos casos, el adaptador permite especificar un intervalo después del cual el archivo se volverá a descargar. Para configurar este intervalo, establezca la propiedad Intervalo de redescargar para la ubicación de recepción de FTP.
En la tabla siguiente se muestra el comportamiento esperado del adaptador FTP para diferentes valores establecidos para las propiedades Eliminar después de la descarga, Habilitar comparación de marca de tiempo y Volver a descargar intervalo .
| Eliminar después de la descarga | Habilitar la comparación en marca de tiempo | Intervalo para volver a descargar | Comportamiento del adaptador |
|---|---|---|---|
| Sí | No aplicable | No aplicable | El adaptador elimina un archivo del servidor FTP después de descargarlo. Éste es el comportamiento predeterminado del adaptador. |
| No | Sí | No aplicable | El adaptador no elimina un archivo del servidor FTP después de descargarlo. En su lugar, el adaptador compara la marca de tiempo de la última modificación del archivo mediante el comando MDTM. Según la marca de tiempo, el adaptador descarga el archivo de nuevo. |
| No | No | Aplicable | El adaptador de FTP descarga un archivo del servidor FTP después del intervalo que especifique, independientemente de si el archivo se ha modificado o no. |
Compatibilidad para la transferencia de archivos atómica en modo ASCII
El adaptador FTP admite la transferencia atómica de archivos para el modo ASCII. Para habilitar la transferencia atómica de archivos para el modo ASCII, el adaptador usa la propiedad Carpeta temporal . Esta propiedad define una ubicación temporal en el servidor FTP a la que se mueve el archivo en primer lugar. Después de que se haya transferido completamente el archivo a la ubicación temporal, se mueve a la ubicación pertinente del servidor FTP. Aquí, se supone que la transferencia de archivos es atómica entre la ubicación temporal y la ubicación correspondiente del servidor FTP.
Nota
La extensión de usar la carpeta temporal en el archivo ASCII solo es aplicable para el envío y no se aplica a Receive. El motivo principal para implementar esta característica es que una aplicación de terceros no lee un archivo hasta que está totalmente escrito. Si BizTalk recibe el archivo, el adaptador enviará el archivo a BizTalk solo después de leerlo completamente.
Nota
En modo binario, la propiedad Carpeta temporal también se puede usar para reanudar la transferencia de archivos si hay un error entre sí. No se aplica al modo ASCII. Para el modo ASCII, la propiedad Carpeta temporal solo se usa para la transferencia atómica de archivos.
Siguientes
Configuración del adaptador de FTP
Consulte también
Puertos para los derechos mínimos de usuario de seguridad de recepción y envío de servidores
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de