セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

FXP 設定例の ASA ファイル転送

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に CLI によって Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)のファイル 交換 プロトコル(FXP)を設定する方法を記述されています。

Deepika Mahankali によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco は File Transfer Protocol (FTP) (アクティブ/パッシブ モード)の基本的な知識があることを推奨します。

使用するコンポーネント

ソフトウェア バージョン 8.0 およびそれ以降を実行するこの文書に記載されている情報は Cisco ASA に基づいています。

: この設定例は FXP サーバおよび実行 FTP サービス(3C デーモン)として機能する Microsoft Windows 2 つのワークステーションを使用します。 彼らはまた FXP を有効に してもらいます。 FXP クライアントソフトウェア(FTP 突進)を実行する Microsoft Windows 別のワークステーションも使用されます。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

FXP はクライアント インターネット接続速度によって決まる必要なしで FXP クライアントによって 1 FTP サーバから別の FTP サーバにファイルを転送することを可能にします。 FXP を使うと、最大転送速度は通常クライアント接続より大いにファーストである 2 つのサーバ間の接続によってだけ決まります。 高帯域幅 サーバが別の高帯域幅 サーバからのリソースを要求するが、リモートではたらくネットワーク管理者のような低帯域幅 クライアントだけ両方のサーバのリソースにアクセスする機関があるシナリオの FXP を適用できます。

FXP は FTPプロトコルの拡張としてはたらき、メカニズムは FTP RFC 959 のセクション 5.2 で示されます。 基本的には、FXP クライアントは転送は 2 つのサーバの間で直接起こること彼らがそのような物を互いに指すように FTP server1 との制御接続を開始しましたり、FTP server2 との別の制御接続を開きましたり、そしてサーバの接続属性を修正します。

FXP によるファイル転送のメカニズム

プロセスの外観はここにあります:

  1. クライアントは TCPポート 21 の server1 の制御接続を開きます。

    • クライアントは server1 に Pasv コマンドを送ります。

    • Server1 は受信するポートおよび IP アドレスと応答します。

  2. クライアントは TCPポート 21 の server2 の制御接続を開きます。

    • server1 から Port コマンドの server2 への届くクライアントはアドレス/ポートを渡します。

    • Server2 は Port コマンドが正常であることクライアントを知らせるために応答します。 Server2 は今データをどこに送信 するか確認します。

  3. server1 から server2 に伝達 プロセスを始めるため:

    • クライアントは server2 に STOR コマンドを送信 し、受け取る日付を保存するようにそれに指示します。

    • クライアントは server1 に RETR コマンドを送信 し、ファイルを取得するか、または送信するようにそれに指示します。

  4. データすべてはソースから宛先FTPサーバに今直接行きます。 サーバは両方ともクライアントにだけ失敗/成功のステータスメッセージを報告します。

これは接続テーブルがどのように現われるかです: 

TCP server2 192.168.1.10:21 client 172.16.1.10:50684, idle 0:00:04, bytes 694,
flags UIOB
TCP client 172.16.1.10:50685 server1 10.1.1.10:21, idle 0:00:04, bytes 1208,
flags UIOB

FTP インスペクションおよび FXP

FXP による ASA を通るファイル転送は FTP インスペクションが ASA でディセーブルにされるときだけ正常です。

FXP クライアントが FTP ポート コマンドのクライアントのそれらと異なる TCPポートおよび IP アドレスを規定 するとき、不確かな状況は攻撃者がサード パーティ FTP サーバからのインターネットのホストに対してポートスキャンを遂行できるところで作成されます。 これは起きるクライアントのかもしれないマシンのポートへの接続を開くように FTP サーバが指示されるという理由によります。 これは FTP バウンス攻撃と呼ばれ、これをセキュリティ違反と考慮するので FTP インスペクションは接続をシャットダウンしました。

次に例を示します。

%ASA-6-302013: Built inbound TCP connection 24886 for client:172.16.1.10/49187
(172.16.1.10/49187) to server2:192.168.1.10/21 (192.168.1.10/21)
%ASA-6-302013: Built inbound TCP connection 24889 for client:172.16.1.10/49190
(172.16.1.10/49190) to server2:192.168.1.10/49159 (192.168.1.10/49159)
%ASA-6-302014: Teardown TCP connection 24889 for client:172.16.1.10/49190 to
server2:192.168.1.10/49159 duration 0:00:00 bytes 1078 TCP FINs
%ASA-4-406002: FTP port command different address: 172.16.1.10(10.1.1.10) to
192.168.1.10 on interface client
%ASA-6-302014: Teardown TCP connection 24886 for client:172.16.1.10/49187 to
server2:192.168.1.10/21 duration 0:00:00 bytes 649 Flow closed by inspection

設定

情報を使用して下さい ASA の FXP を設定するためにこのセクションに説明がある。

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

 

CLI による ASA の設定

ASA を設定するためにこれらのステップを完了して下さい:

  1. FTP インスペクションをディセーブルにして下さい:
    FXP-ASA(config)# policy-map global_policy
    FXP-ASA(config-pmap)#  class inspection_default
    FXP-ASA(config-pmap-c)# no inspect ftp 
  2. FXP クライアントと FTP 2 つのサーバ間の通信を許可するためにアクセス リストを設定して下さい:
    FXP-ASA(config)#access-list serv1 extended permit ip host 10.1.1.10 any
    FXP-ASA(config)#access-list serv1 extended permit ip any host 10.1.1.10
    FXP-ASA(config)#access-list serv2 extended permit ip host 192.168.1.10 any
    FXP-ASA(config)#access-list serv2 extended permit ip any host 192.168.1.10
    FXP-ASA(config)#access-list client extended permit ip host 172.16.1.10 any
    FXP-ASA(config)#access-list client extended permit ip any host 172.16.1.10
  3. 個々のインターフェイスのアクセス リストを追加して下さい:
    FXP-ASA(config)#access-group serv1 in interface server1
    FXP-ASA(config)#access-group client in interface client
    FXP-ASA(config)#access-group serv2 in interface server2

確認 

情報を使用して下さい設定はきちんと機能することを確認するためにこのセクションに説明がある。

ファイル転送 プロセス

FTP 2 つのサーバ間の正常なファイル転送を確認するためにこれらのステップを完了して下さい:

  1. FXP クライアントマシンからの server1 に接続して下さい:



  2. FXP クライアントマシンからの server2 に接続して下さい:



  3. server1 ウィンドウから server2 ウィンドウに転送されるべきファイルをドラッグ・アンド・ドロップして下さい:



  4. ファイル転送が正常であることを確認して下さい:

トラブルシューティング

このセクションは設定をトラブルシューティングするために使用できる 2 つの異なるシナリオのキャプチャを提供します。

FTP インスペクション無効シナリオ

FTP インスペクションが無効のときこの資料の FTP インスペクションおよび FXP セクションで説明されているように、このデータは ASA クライアントインターフェイスで現われます:

   

このデータについてのいくつかのメモはここにあります:

  • クライアントIPアドレスは 172.16.1.10 です。

  • Server1 IP アドレスは 10.1.1.10 です。

  • Server2 IP アドレスは 192.168.1.10 です。

この例では、Kiwi_Syslogd.exe と名付けられるファイルは server1 から server2 に転送されます。

有効に なる FTP インスペクション

FTP インスペクションが有効に なるとき、このデータは ASA クライアントインターフェイスで現われます:

ASA ドロップするキャプチャはここにあります:

Port 要求は FTP インスペクションによってクライアントIPアドレスおよびポートと異なるポートおよび IP アドレスが含まれているので廃棄されます。 続いてサーバに、制御接続はインスペクションで終わります。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118306