Sécurité : Dispositifs de sécurité Web Cisco IronPort

Pourquoi est-ce que je recevant des alertes suis pour des erreurs de pousser de log de FTP même lorsque le transfert était réussi ?

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Contenu

Contribué par Vladimir Sousa et Siddharth Rajpathak, ingénieurs TAC Cisco.

Question :

Pourquoi est-ce que je recevant des alertes suis pour des erreurs de pousser de log de FTP même lorsque le transfert était réussi ?

Environnement :
WSA, pousser de log configuré pour utiliser le ftp server, le ftp server qui répond avec des 221 en fermant le canal de transmission (nous savons actuellement seulement du ftp server à l'épreuve des balles affichant ce comportement)

Symptômes :
Les utilisateurs reçoivent des alertes par courrier électronique de leurs appliances de sécurité Web déclarant que le pousser de leurs accesslogs a manqué. Cependant, ils voient les fichiers étant poussés sans problème.

L'email devrait être semblable à ce qui suit :
Le message essentiel est : Erreur de log : Poussez l'erreur pour des accesslogs d'abonnement : Une commande de FTP a manqué à 10.12.1.3 : 221

Solution :
Ce problème est résultat d'une limitation connue dans l'AsyncOS (Defect# CSCzv96454) où l'appliance reçoit une réponse du ftp server avec le code 221 après avoir quitté la session.

La conversation FTP serait semblable à ce qui suit :
-------------------------------------------------------------------------------------
220 serveurs ftp à l'épreuve des balles préparent…
<username> d'UTILISATEUR
Mot de passe requis 331 pour le <username>.
PASSEZ le <password>
<username> de 230 utilisateurs ouvert une session.
TYPE I
Type 200 réglé à l'I.
CWD/
Commande 250 CWD réussie. « / » est répertoire courant.
PASV
Mode 227 passif entrant (10,12,1,3,153,110)
STOR aclog.@20100104T145359.s
Connexion de données 150 reçue de 10.12.100.241:7136 ; transfert partant pour aclog.@20100104T145359.s.
Le fichier 226 a reçu correct.
QUITTÉ
221

-------------------------------------------------------------------------------------

Nous notons qu'après le fichier avons été transmis le serveur répondu avec des 226 (fichier reçu correct) et ceci est suivi par QUITTÉ du WSA. Le serveur finit la session avec des 221 qui en conséquence avec le RFC peuvent être utilisés comme réponse informationnelle déconnectée.

L'erreur de logiciel CSCzv96454 devrait être réparée dans la version 7.5.0 et ultérieures d'AsyncOS.

Pour WSAs exécutant la version 7.1.x et antérieures d'AsyncOS, le seul workaround est d'utiliser un ftp server différent qui n'envoie pas 221 à la fin de la session.

Remarque: La plupart des serveurs populaires de FTP devraient travailler correctement et n'afficheront pas ce comportement. Actuellement, nous savons seulement du ftp server à l'épreuve des balles pour envoyer des 221 en fermant le canal de transmission.


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118135