Безопасность : Устройства защиты Cisco PIX серии 500

Проблемы производительности PIX, вызываемые протоколом IDENT

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

При прохождении через Межсетевого экрана PIX для использования Telnet, FTP, HTTP или POP, вы могли бы иногда замечать, что требуется много времени для соединения с сервером, или вы не могли бы быть в состоянии обратиться к серверу, который вы хотите вообще.

Эти две вероятных причины для этого являются отсутствием обратных записей Сервиса доменных имен (DNS) (обратитесь к Плохому или Неустойчивым характеристикам FTP/HTTP Через PIX), или проблемы отнеслись к использованию Протокола IDENT, которые обсуждены в этом документе.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Версии программного обеспечения межсетевого экрана PIX до 6.3

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Протокол IDENT

Протокол IDENT иногда используется Telnet, почтой POP, FTP и Http server для определения входящих пользователей.

Когда запросы пользователя сервис, сервер пытается инициировать Соединение IDENT назад к клиенту позади межсетевого экрана для определения имени пользователя процесса, который инициирует соединение. PIX перехватывает это Соединение IDENT и тихо отбрасывает его. Поэтому сервер никогда не получает свой ожидаемый ответ, и он не мог бы позволить пользователю соединяться.

Большинство пользователей считает Протокол IDENT нарушением безопасности, потому что он может позволить постороннему получать конфиденциальные данные защищенной сети.

Признаки

Эти признаки могут указать, что Протокол IDENT вызывает проблемы:

  • Неспособность установить соединение с индивидуальным сервером, обычно Telnet, FTP, HTTP или НАСЕЛЕНИЕ

  • Долгое ожидание для соединения с конкретным сервером Telnet, FTP, HTTP или сервером POP. После того, как связанный, времена отклика обычны.

  • Низкая производительность один раз соединение установлена.

Устранение неполадок

Выполните эти шаги для устранения проблем.

  1. Установите регистрацию в уровень отладки с командой logging trap debugging (для Версий ПО PIX 4.2 и позже).

  2. При настройке хоста к системному журналу используйте главный компьютер регистрации [in_if_name] ip_address команда для передачи вывода системного журнала к тому хосту.

  3. Прочитайте вывод системного журнала. Ищите, "запрещают TCP входящие" сообщения, где порт назначения к одной из внутренних машин на которые (влияют), равняется 113, который является IDENT. Выборку журнала TCP показывают ниже.

    %PIX-2-106001: Inbound TCP connection denied from 10.64.10.2/35969
    		  to 172.17.110.179/113 flags SYN
  4. Если вы не видите, что кто-либо "запрещает" сообщения, как описано, попробуйте этот шаг. От за пределами межсетевого экрана, используйте nslookup, чтобы видеть, можно ли решить адреса в глобальном пуле. Если вы не можете, адреса IP - адреса хоста не могли бы быть зарегистрированы в DNS. Обратитесь к Плохому или Неустойчивым характеристикам FTP/HTTP Через PIX для получения дополнительной информации.

Решите проблему

  • Свяжитесь с администратором сервера, которого пользователи пытаются достигнуть и видеть, может ли тот человек выключить Средства опознавания.

    Или,

  • Настройте PIX с командой service resetinbound, доступной в Версиях ПО PIX 4.2 и позже. Обычно, PIX тихо отбрасывает попытки установления входящего соединения, которые не разрешены. Когда PIX настроен с командой service resetinbound, PIX передает RST к запрещенным попыткам подключения. Когда сервис IDENT получает RST, он уведомлен, что сервис IDENT недоступен тому клиенту и продолжает обрабатывать исходный трафик, который породил запрос IDENT. Это значительно уменьшает задержку Обработки IDENT.

    Или,

  • Используйте команду установки с permitto tcp 113 опций. (Считайте внимание сначала!)

caution Внимание.  : Если вы позволяете порту 113 трафиков, можно считать угрозой безопасности. Консультируйтесь с политикой безопасности сайта, прежде чем вы внедрите команду установки или добавите статичный / conduit или пары статический/список доступа.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 6370