Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Transferencia de archivos ASA con el ejemplo de configuración FXP

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo configurar el Exchange Protocol del archivo (FXP) en el dispositivo de seguridad adaptante de Cisco (ASA) vía el CLI.

Contribuido por Deepika Mahankali, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que usted tiene conocimiento básico del File Transfer Protocol (FTP) (modos activo/pasivos).

Componentes Utilizados

La información en este documento se basa en Cisco ASA que funciona con las versiones de software 8.0 y posterior.

Nota: Este ejemplo de configuración utiliza dos puestos de trabajo de Microsoft Windows que actúen como los servidores y servicios FTP del funcionamiento (FXP daemon 3C). También hacen FXP habilitar. Otro puesto de trabajo de Microsoft Windows que funciona con el software de cliente FXP (precipitación FTP) también se utiliza.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

El FXP permite que usted transfiera los archivos a partir de un servidor FTP a otro servidor FTP vía un cliente FXP sin la necesidad de depender de la velocidad de conexión de Internet del cliente. Con FXP, la velocidad de la transferencia del máximo depende solamente de la conexión entre los dos servidores, que es generalmente mucho más rápida que la conexión cliente. Usted puede aplicar FXP en los escenarios donde un servidor del ancho de banda alto exige los recursos de otro servidor del ancho de banda alto, pero solamente un cliente del ancho de banda baja tal como un administrador de la red que trabaje remotamente tiene la autoridad para acceder los recursos en ambos servidores.

El FXP trabaja como extensión del protocolo FTP, y el mecanismo se expone en la sección 5.2 del RFC 959 FTP. Básicamente, el cliente FXP inicia un control de conexión con un server1 FTP, abre otro control de conexión con el server2 FTP, después modifica los atributos de conexión de los servidores de modo que señalen el uno al otro tales que la transferencia ocurre directamente entre los dos servidores.

Mecanismo de la transferencia de archivos vía FXP

Aquí está una descripción del proceso:

  1. El cliente abre un control de conexión con el server1 en el puerto TCP 21.

    • El cliente envía el comando pasv al server1.

    • El server1 responde con su dirección IP y el puerto en los cuales escuche.

  2. El cliente abre un control de conexión con el server2 en el puerto TCP 21.

    • El cliente pasa el /port del direccionamiento que se recibe del server1 al server2 en un comando port.

    • El server2 responde para informar al cliente que el comando port es acertado. El server2 ahora sabe dónde enviar los datos.

  3. Para comenzar el proceso de la transmisión del server1 al server2:

    • El cliente envía el comando STOR al server2 y lo da instrucciones para salvar la fecha que recibe.

    • El cliente envía el comando RETR al server1 y lo da instrucciones para extraer o para transmitir el archivo.

  4. Todos los datos ahora van directamente de la fuente al servidor FTP de destino. Ambos servidores señalan solamente los mensajes de estado en el fall/el éxito al cliente.

Éste es cómo aparece la tabla de conexiones: 

TCP server2 192.168.1.10:21 client 172.16.1.10:50684, idle 0:00:04, bytes 694,
flags UIOB
TCP client 172.16.1.10:50685 server1 10.1.1.10:21, idle 0:00:04, bytes 1208,
flags UIOB

Examen FTP y FXP

La transferencia de archivos con el ASA vía FXP es acertada solamente cuando el examen FTP se inhabilita en el ASA.

Cuando el cliente FXP especifica una dirección IP y un puerto TCP que diferencien de los del cliente en el comando port FTP, se crea una situación insegura donde está capaz un atacante de realizar una exploración del puerto contra un host en Internet de un servidor FTP de tercera persona. Esto es porque dan instrucciones al servidor FTP para abrir una conexión a un puerto en una máquina que no pudo ser el cliente que origina. Esto se llama un ataque de la despedida FTP, y el examen FTP apaga la conexión porque considera esto una violación de seguridad.

Aquí tiene un ejemplo:

%ASA-6-302013: Built inbound TCP connection 24886 for client:172.16.1.10/49187
(172.16.1.10/49187) to server2:192.168.1.10/21 (192.168.1.10/21)
%ASA-6-302013: Built inbound TCP connection 24889 for client:172.16.1.10/49190
(172.16.1.10/49190) to server2:192.168.1.10/49159 (192.168.1.10/49159)
%ASA-6-302014: Teardown TCP connection 24889 for client:172.16.1.10/49190 to
server2:192.168.1.10/49159 duration 0:00:00 bytes 1078 TCP FINs
%ASA-4-406002: FTP port command different address: 172.16.1.10(10.1.1.10) to
192.168.1.10 on interface client
%ASA-6-302014: Teardown TCP connection 24886 for client:172.16.1.10/49187 to
server2:192.168.1.10/21 duration 0:00:00 bytes 649 Flow closed by inspection

Configurar

Utilice la información que se describe en esta sección para configurar FXP en el ASA.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

 

Configure el ASA vía el CLI

Complete estos pasos para configurar el ASA:

  1. Inhabilite el examen FTP:
    FXP-ASA(config)# policy-map global_policy
    FXP-ASA(config-pmap)#  class inspection_default
    FXP-ASA(config-pmap-c)# no inspect ftp 
  2. Configure las Listas de acceso para permitir la comunicación entre el cliente FXP y los dos servidores FTP:
    FXP-ASA(config)#access-list serv1 extended permit ip host 10.1.1.10 any
    FXP-ASA(config)#access-list serv1 extended permit ip any host 10.1.1.10
    FXP-ASA(config)#access-list serv2 extended permit ip host 192.168.1.10 any
    FXP-ASA(config)#access-list serv2 extended permit ip any host 192.168.1.10
    FXP-ASA(config)#access-list client extended permit ip host 172.16.1.10 any
    FXP-ASA(config)#access-list client extended permit ip any host 172.16.1.10
  3. Aplique las Listas de acceso en las interfaces respectivas:
    FXP-ASA(config)#access-group serv1 in interface server1
    FXP-ASA(config)#access-group client in interface client
    FXP-ASA(config)#access-group serv2 in interface server2

Verificación 

Utilice la información que se describe en esta sección para verificar que su configuración trabaja correctamente.

Proceso de la transferencia de archivos

Complete estos pasos para verificar la transferencia de archivos acertada entre los dos servidores FTP:

  1. Conecte con el server1 de la máquina del cliente FXP:



  2. Conecte con el server2 de la máquina del cliente FXP:



  3. Arrastrar y soltar el archivo que se transferirá de la ventana del server1 a la ventana del server2:



  4. Verifique que la transferencia de archivos sea acertada:

Troubleshooting

Esta sección proporciona las capturas de dos diversos escenarios que usted pueda utilizar para resolver problemas su configuración.

Escenario inhabilitado examen FTP

Cuando se inhabilita el examen FTP, como se detalla en el examen FTP y la sección FXP de este documento, estos datos aparecen en la interfaz del cliente ASA:

   

Aquí están algunas notas sobre estos datos:

  • El dirección IP del cliente es 172.16.1.10.

  • La dirección IP del server1 es 10.1.1.10.

  • La dirección IP del server2 es 192.168.1.10.

En este ejemplo, el archivo nombrado Kiwi_Syslogd.exe se transfiere del server1 al server2.

Examen FTP habilitado

Cuando se habilita el examen FTP, estos datos aparecen en la interfaz del cliente ASA:

Aquí están las capturas del descenso ASA:

La petición del PUERTO es caída por el examen FTP porque contiene una dirección IP y un puerto que diferencien del dirección IP del cliente y del puerto. Posteriormente, el control de conexión al servidor es terminado por el examen.



Document ID: 118306