Segurança : Cisco Web Security Appliance

Por que sou eu que recebo alertas para erros do impulso do log FTP mesmo quando transferência era bem sucedida?

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Índice

Contribuído por Vladimir Sousa e por Siddharth Rajpathak, engenheiros de TAC da Cisco.

Pergunta:

Por que sou eu que recebo alertas para erros do impulso do log FTP mesmo quando transferência era bem sucedida?

Ambiente:
WSA, impulso do log configurado para usar o servidor FTP, o servidor FTP que responde com uns 221 ao fechar o canal de transmissão (nós atualmente sabemos somente do servidor FTP à prova de balas que indica este comportamento)

Sintomas:
Os usuários estão recebendo alertas do email de suas ferramentas de segurança da Web que indicam que o impulso de seus accesslogs falhou. Contudo, estão vendo os arquivos que estão sendo empurrados sem problemas.

O email deve ser similar ao seguinte:
O mensagem crítica é: Erro do log: Empurre o erro para accesslogs da assinatura: Um comando ftp falhado a 10.12.1.3: 221

Solução:
Este problema é resultado de uma limitação conhecida no AsyncOS (Defect# CSCzv96454) onde o dispositivo recebe uma resposta do servidor FTP com o código 221 após ter parado a sessão.

A conversação de FTP seria similar ao seguinte:
-------------------------------------------------------------------------------------
Servidor FTP 220 à prova de balas pronto…
<username> USER
Senha 331 exigida para o <username>.
PASSE o <password>
230 <username> do usuário entrados.
TYPE I
Tipo 200 ajustado ao I.
CWD/
Comando de 250 CWD bem sucedido. “/” é diretório atual.
PASV
Incorporar o modo passivo 227 (10,12,1,3,153,110)
STOR aclog.@20100104T145359.s
Conexão de dados 150 aceitada de 10.12.100.241:7136; transferência que parte para aclog.@20100104T145359.s.
O arquivo 226 recebeu está bem.
SAIR
221

-------------------------------------------------------------------------------------

Nós observamos que após o arquivo estivemos transmitidos o server respondido com uns 226 (arquivo recebido está bem) e isto é seguido pelo PARADO do WSA. O server termina a sessão com uns 221 que em conformidade com RFC possam ser usados como uma resposta informativa para fora registrada.

O defeito do software CSCzv96454 deve ser fixado na versão 7.5.0 e mais recente de AsyncOS.

Para WSAs que executa a versão 7.1.x e anterior de AsyncOS, a única ação alternativa é usar um servidor FTP diferente que não envie 221 no fim da sessão.

Nota: A maioria de servidores FTP populares devem trabalhar corretamente e não indicarão este comportamento. Atualmente, nós sabemos somente do servidor FTP à prova de balas para enviar uns 221 ao fechar o canal de transmissão.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118135