Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Problèmes de performances PIX occasionnés par le protocole IDENT

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Si vous passez par un Pare-feu PIX afin d'utiliser le telnet, le FTP, le HTTP, ou le BRUIT, vous pourriez de temps en temps noter que cela prend un longtemps de se connecter à un serveur, ou vous ne pourriez pas pouvoir accéder au serveur que vous voulez du tout.

Les deux causes probables pour ceci sont manque d'entrées inverses de domain name service (DN) (référez-vous à la représentation pauvre ou intermittente FTP/HTTP par un PIX) ou problème lié à l'utilisation du protocole d'IDENT, qui est discuté dans ce document.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Versions de logiciel de logiciel pare-feu PIX par 6.3

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

IDENT Protocol

Le protocole d'IDENT est parfois utilisé par telnet, courrier pop, FTP, et serveurs HTTP pour identifier des utilisateurs entrant.

Quand les demandes d'utilisateur un service, le serveur essaye d'initier un dos de connexion d'IDENT vers le client derrière le Pare-feu pour identifier le nom d'utilisateur du processus qui initie la connexion. Le PIX intercepte cette connexion d'IDENT et la relâche silencieusement. Par conséquent, le serveur ne reçoit jamais sa réponse prévue et elle ne pourrait pas permettre à l'utilisateur de se connecter.

La plupart des utilisateurs considèrent le protocole d'IDENT une violation de sécurité parce qu'elle peut permettre à un étranger d'acquérir des connaissances confidentielles de votre réseau sécurisé.

Symptômes

Ces symptômes peuvent indiquer que le protocole d'IDENT pose des problèmes :

  • Incapacité d'établir une connexion à un serveur particulier, habituellement telnet, FTP, HTTP ou BRUIT.

  • Longues attentes de se connecter à un telnet particulier, à un FTP, à un HTTP, ou à un serveur POP. Une fois que connectés, les temps de réponse sont normaux.

  • Mauvais fonctionnement une fois qu'une connexion est établie.

Dépannez

Terminez-vous ces étapes pour dépanner.

  1. Placez votre se connecter au niveau de débogage avec la commande de débogage de logging trap (pour versions du logiciel PIX 4.2 et plus tard).

  2. Si vous avez configuré un hôte pour le Syslog, utilisez la commande d'ip_address d'hôte de journalisation [in_if_name] d'envoyer le Syslog sorti à cet hôte.

  3. Lu par la sortie de Syslog. Recherchez « refusent à TCP » les messages d'arrivée où la destination port à un des ordinateurs (affectés) internes est 113, qui est IDENT. Un échantillon du log de TCP est affiché ci-dessous.

    %PIX-2-106001: Inbound TCP connection denied from 10.64.10.2/35969
    		  to 172.17.110.179/113 flags SYN
  4. Si vous n'en voyez pas « refuser » des messages comme décrit, essayez cette étape. De l'extérieur du Pare-feu, nslookup d'utilisation pour voir si vous pouvez résoudre des adresses dans votre pool global. Si vous ne pouvez pas, vos adresses IP d'hôte ne pourraient pas être enregistrées dans les DN. Référez-vous à la représentation pauvre ou intermittente FTP/HTTP par un pour en savoir plus PIX.

Réparez le problème

  • Contactez l'administrateur du serveur que vos utilisateurs essayent d'atteindre et voir si cette personne peut arrêter l'installation d'IDENT.

    Ou,

  • Configurez le PIX avec la commande de resetinbound de service, disponible dans les versions du logiciel PIX 4.2 et plus tard. Normalement, le PIX relâche silencieusement les tentatives de connexion entrante qui ne sont pas permises. Quand le PIX est configuré avec la commande de resetinbound de service, le PIX envoie un RST aux tentatives unpermitted de connexion. Quand le service d'IDENT reçoit un RST, on l'annonce que le service d'IDENT est indisponible pour ce client, et continue à traiter le trafic d'origine qui a engendré la demande d'IDENT. Ceci diminue de manière significative le retard pour le traitement d'IDENT.

    Ou,

  • Utilisez la commande établie avec le TCP de permitto 113 options. (Lu l'attention d'abord !)

attention Attention :  Ce peut être considéré un risque de sécurité si vous permettez le trafic du port 113. Consultez la stratégie de sécurité de votre site avant que vous implémentiez la commande établie ou ajoutiez des paires de charge statique/conduit ou de charge statique/liste d'accès.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 6370