Switching de LAN : Dispositivos de seguridad Cisco PIX de la serie 500

Problemas de rendimiento en PIX ocasionado por el protocolo IDENT

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Si usted pasa con un firewall PIX para utilizar Telnet, el FTP, el HTTP, o el POP, usted puede ser que note de vez en cuando que tarda un tiempo prolongado para conectar con un servidor, o usted puede ser que no pueda acceder el servidor que usted quiere en absoluto.

Las dos causas probables para esto son falta de entradas reversas del servicio de nombre del dominio (DNS) (refiera a los pobres o Rendimiento intermitente FTP/HTTP con un PIX) o los problemas relacionados con el uso del Protocolo IDENT, que se discuten en este documento.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versiones de Software PIX Firewall con 6.3

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Protocolo IDENT

El Protocolo IDENT es utilizado a veces por Telnet, el correo POP, el FTP, y los servidores HTTP para identificar a los usuarios entrantes.

Cuando las peticiones del usuario un servicio, el servidor intentan iniciar una conexión IDENT detrás hacia el cliente detrás del Firewall para identificar el nombre de usuario del proceso que inicia la conexión. El PIX intercepta esta conexión IDENT y la cae silenciosamente. Por lo tanto, el servidor nunca recibe su respuesta esperada y puede ser que no permita que el usuario conecte.

La mayoría de los usuarios consideran el Protocolo IDENT una violación de seguridad porque puede permitir que un forastero gane el conocimiento confidencial de su red segura.

Síntomas

Estos síntomas pueden indicar que el Protocolo IDENT causa los problemas:

  • Incapacidad para establecer una conexión a un servidor determinado, generalmente Telnet, FTP, HTTP o POP.

  • Esperas largas a conectar con una determinada de Telnet, el servidor FTP, HTTP, o POP. Una vez que están conectados, los tiempos de respuesta son normales.

  • Rendimiento pobre una vez que se establece una conexión.

Troubleshooting

Complete estos pasos para resolver problemas.

  1. Fije su registro al nivel de debugging con el comando logging trap debugging (para las versiones de software PIX 4.2 y posterior).

  2. Si usted ha configurado un host para el Syslog, utilice el comando logging host [in_if_name] ip_address de enviar la salida de Syslog a ese host.

  3. Lea a través de la salida de Syslog. Busque los mensajes denegar entrada TCP donde está 113 el puerto destino a una de las máquinas (afectadas) internas, que es IDENT. Una muestra del registro TCP se muestra abajo.

    %PIX-2-106001: Inbound TCP connection denied from 10.64.10.2/35969
    		  to 172.17.110.179/113 flags SYN
  4. Si usted no ve ningunos “negar” los mensajes según lo descrito, intente este paso. Desde fuera del Firewall, utilice el nslookup para ver si usted puede resolver los direccionamientos en su agrupación global. Si usted no puede, sus IP Addresses del host no se pudieron registrar en el DNS. Refiera a los pobres o Rendimiento intermitente FTP/HTTP con un PIX para más información.

Repare el problema

  • Entre en contacto al administrador del servidor que sus usuarios están intentando alcanzar y ver si esa persona puede apagar la función IDENT.

    O bien,

  • Configure el PIX con el comando service resetinbound, disponible en las versiones de software PIX 4.2 y posterior. Normalmente, el PIX cae silenciosamente los intentos de conexión entrante que no se permiten. Cuando el PIX se configura con el comando service resetinbound, el PIX envía un RST a los intentos de conexión unpermitted. Cuando el servicio IDENT recibe un RST, se notifica que el servicio IDENT es inasequible para ese cliente, y continúa procesando el tráfico original que spawn/generó la petición IDENT. Esto disminuye perceptiblemente el retardo para el procesamiento IDENT.

    O bien,

  • Utilice el comando establecido con las opciones tcp 113 del permitto. (Leído la precaución primero!)

precaución Precaución:  Puede ser considerado un riesgo de seguridad si usted permite el tráfico del puerto 113. Consulte la política de seguridad de su sitio antes de que usted implemente el comando establecido o agregue los parásitos atmosféricos/el conducto o los pares de lista de acceso/estática.


Información Relacionada


Document ID: 6370