Segurança : Dispositivos de segurança Cisco PIX 500 Series

Problemas de Desempenho de PIX Causados pelo Protocolo IDENT

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Se você atravessa um PIX Firewall a fim usar o telnet, o FTP, o HTTP, ou o POP, você pôde ocasionalmente observar que toma um muito tempo conectar a um server, ou você não pôde poder alcançar o server que você quer de todo.

As duas causas prováveis para esta são falta de entradas reversas do Domain Name Service (DNS) (refira pobres ou desempenho intermitente de FTP/HTTP com um PIX) ou edições relativas ao uso do Protocolo IDENT, que são discutidas neste documento.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Liberações de software de firewall de PIX com 6.3

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Protocolo IDENT

O Protocolo IDENT é usado às vezes pelo telnet, pelo correio POP, pelo FTP, e pelos Server do HTTP para identificar novos usuários.

Quando as requisições de usuário um serviço, o server tentarem iniciar para trás uma conexão de IDENT para o cliente atrás do Firewall para identificar o username do processo que inicia a conexão. O PIX intercepta esta conexão de IDENT e deixa-a cair silenciosamente. Consequentemente, o server nunca recebe sua resposta esperada e não pôde permitir que o usuário conecte.

A maioria de usuários consideram o Protocolo IDENT uma violação de segurança porque pode permitir que um estranho ganhe o conhecimento confidencial de sua rede assegurada.

Sintomas

Estes sintomas podem indicar que o Protocolo IDENT causa problemas:

  • Incapacidade estabelecer uma conexão a um servidor particular, geralmente telnet, FTP, HTTP ou POP.

  • Esperas longas a conectar a Telnet particular, ao server FTP, HTTP, ou POP. Uma vez que conectado, o tempo de resposta é normal.

  • Desempenho ruim uma vez que uma conexão é estabelecida.

Troubleshooting

Termine estas etapas para pesquisar defeitos.

  1. Ajuste seu registo ao nível de debug com o comando logging trap debugging (para as versões de software de PIX 4.2 e mais atrasado).

  2. Se você configurou um host para o Syslog, use o comando logging host [in_if_name] ip_address enviar saídas de SYSLOG a esse host.

  3. Leia através das saídas de SYSLOG. Procure “negam a TCP” as mensagens de entrada onde a porta do destino a uma das máquinas (afetadas) internas é 113, que é IDENT. Uma amostra do log TCP é mostrada abaixo.

    %PIX-2-106001: Inbound TCP connection denied from 10.64.10.2/35969
    		  to 172.17.110.179/113 flags SYN
  4. Se você não vê alguns “negar” mensagens como descritas, tente esta etapa. Do exterior do Firewall, use o nslookup para ver se você pode resolver endereços em seu conjunto global. Se você não pode, seus endereços IP de Um ou Mais Servidores Cisco ICM NT do host não puderam ser registrados no DNS. Refira pobres ou desempenho intermitente de FTP/HTTP com um PIX para mais informação.

Fixe o problema

  • Contacte o administrador do server que seus usuários estão tentando alcançar e ver se essa pessoa pode desligar a facilidade IDENT.

    Ou,

  • Configurar o PIX com o comando service resetinbound, disponível nas versões de software de PIX 4.2 e mais atrasado. Normalmente, o PIX deixa cair silenciosamente as tentativas de conexão de entrada que não são permitidas. Quando o PIX é configurado com o comando service resetinbound, o PIX envia um RST às tentativas de conexão unpermitted. Quando o serviço IDENT recebe um RST, notifica-se que o serviço IDENT é não disponível para esse cliente, e continua a processar o tráfego original que desovou o pedido IDENT. Isto diminui significativamente o atraso para o processamento de ident.

    Ou,

  • Use o comando estabelecido com as opções tcp 113 do permitto. (Lido o cuidado primeiramente!)

cuidado Cuidado:  Pode-se considerar um risco de segurança se você permite o tráfego da porta 113. Consulte a política de segurança de seu local antes que você execute o comando estabelecido ou adicione a estática/conduíte ou os pares de lista de acesso/estático.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 6370