Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Передача файла ASA с примером конфигурации FXP

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает как к протоколу обмена файла конфигурации (FXP) на устройстве адаптивной защиты Cisco (ASA) через CLI.

Внесенный Deepika Mahankali, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco рекомендует иметь базовые знания о Протоколе FTP (Активные/пассивные режимы).

Используемые компоненты

Сведения в этом документе основываются на Cisco ASA, который выполняет версии программного обеспечения 8.0 и позже.

Примечание: Этот пример конфигурации использует две рабочих станции Microsoft Windows, которые действуют как серверы FXP и выполняют сервисы FTP (3C Демон). У них также есть включенный FXP. Другая рабочая станция Microsoft Windows, которая выполняет клиентское программное обеспечение FXP (Порыв FTP) также используется.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

FXP позволяет вам передавать файлы от одного сервера FTP до другого сервера FTP через клиента FXP без потребности зависеть от клиентской скорости интернет-соединения. С FXP максимальная скорость передачи зависит только от соединения между этими двумя серверами, которое обычно намного быстрее, чем клиентское соединение. Можно применить FXP в сценариях, где сервер высокой пропускной способности требует ресурсы от другого сервера высокой пропускной способности, но у только клиента низкой пропускной способности, такие как администратор сети, который работает удаленно, есть полномочия для доступа к ресурсам на обоих серверах.

FXP работает как расширение протокола FTP, и механизм сообщается в разделе 5.2 из FTP RFC 959. В основном клиент FXP инициирует контрольное соединение с server1 FTP, открывает другое контрольное соединение с server2 FTP, затем модифицирует атрибуты соединения серверов так, чтобы они указали друг другу таким образом, что передача имеет место непосредственно между этими двумя серверами.

Механизм передачи файла через FXP

Вот обзор процесса:

  1. Клиент открывает контрольное соединение с server1 на порте TCP 21.

    • Клиент передает команду PASV к server1.

    • Server1 отвечает своим IP-адресом и портом, на котором он слушает.

  2. Клиент открывает контрольное соединение с server2 на порте TCP 21.

    • Клиент передает адрес/порт, который получен от server1 до server2 в команде PORT.

    • Server2 отвечает, чтобы сообщить клиенту, что команда PORT успешна. Server2 теперь знает, куда передать данные.

  3. Для начала процесса передачи от server1 до server2:

    • Клиент передает команду STOR к server2 и дает ему команду хранить дату, которую это получает.

    • Клиент передает команду RETR к server1 и дает ему команду получать или передавать файл.

  4. Все данные теперь идут непосредственно от источника до конечного сервера FTP. Оба сервера только сообщают о сообщениях о статусе относительно сбоя/успеха клиенту.

Это - то, как появляется таблица подключений: 

TCP server2 192.168.1.10:21 client 172.16.1.10:50684, idle 0:00:04, bytes 694,
flags UIOB
TCP client 172.16.1.10:50685 server1 10.1.1.10:21, idle 0:00:04, bytes 1208,
flags UIOB

Контроль FTP и FXP

Передача файла через ASA через FXP успешна только, когда контроль FTP отключен на ASA.

Когда клиент FXP задает IP-адрес и порт TCP, которые отличаются от тех из клиента в команде FTP PORT, опасная ситуация создана, где атакующий в состоянии выполнить сканирование портов против хоста в Интернете от стороннего сервера FTP. Это вызвано тем, что сервер FTP проинструктирован для открытия соединения с портом на машине, которая не могла бы быть клиентом, который происходит. Это называют атакой сильного удара FTP, и контроль FTP завершает работу соединения, потому что это считает это нарушением безопасности.

Например:

%ASA-6-302013: Built inbound TCP connection 24886 for client:172.16.1.10/49187
(172.16.1.10/49187) to server2:192.168.1.10/21 (192.168.1.10/21)
%ASA-6-302013: Built inbound TCP connection 24889 for client:172.16.1.10/49190
(172.16.1.10/49190) to server2:192.168.1.10/49159 (192.168.1.10/49159)
%ASA-6-302014: Teardown TCP connection 24889 for client:172.16.1.10/49190 to
server2:192.168.1.10/49159 duration 0:00:00 bytes 1078 TCP FINs
%ASA-4-406002: FTP port command different address: 172.16.1.10(10.1.1.10) to
192.168.1.10 on interface client
%ASA-6-302014: Teardown TCP connection 24886 for client:172.16.1.10/49187 to
server2:192.168.1.10/21 duration 0:00:00 bytes 649 Flow closed by inspection

Настройка

Используйте информацию, которая описана в этом разделе для настройки FXP на ASA.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).  

Схема сети

 

Настройка ASA с помощью CLI

Выполните эти шаги для настройки ASA:

  1. Отключите контроль FTP:
    FXP-ASA(config)# policy-map global_policy
    FXP-ASA(config-pmap)# class inspection_default
    FXP-ASA(config-pmap-c)# no inspect ftp 
  2. Настройте списки доступа для разрешения связи между клиентом FXP и этими двумя серверами FTP:
    FXP-ASA(config)#access-list serv1 extended permit ip host 10.1.1.10 any
    FXP-ASA(config)#access-list serv1 extended permit ip any host 10.1.1.10
    FXP-ASA(config)#access-list serv2 extended permit ip host 192.168.1.10 any
    FXP-ASA(config)#access-list serv2 extended permit ip any host 192.168.1.10
    FXP-ASA(config)#access-list client extended permit ip host 172.16.1.10 any
    FXP-ASA(config)#access-list client extended permit ip any host 172.16.1.10
  3. Примените списки доступа на соответствующие интерфейсы:
    FXP-ASA(config)#access-group serv1 in interface server1
    FXP-ASA(config)#access-group client in interface client
    FXP-ASA(config)#access-group serv2 in interface server2

Проверка 

Используйте информацию, которая описана в этом разделе, чтобы проверить, что ваша конфигурация работает должным образом.

Процесс передачи файла

Выполните эти шаги для проверки успешной передачи файла между этими двумя серверами FTP:

  1. Соединитесь с server1 от клиентского компьютера FXP:



  2. Соединитесь с server2 от клиентского компьютера FXP:



  3. Перетащите файл, который будет передан от окна server1 до окна server2:



  4. Проверьте, что передача файла успешна:

Устранение неполадок

Этот раздел предоставляет перехваты двух других сценариев, которые можно использовать для устранения проблем конфигурации.

Контроль FTP отключенный сценарий

Когда контроль FTP отключен, как детализировано в Контроле FTP и разделе FXP этого документа, эти данные появляются на клиентском интерфейсе ASA:

  

Вот некоторые примечания об этих данных:

  • IP-адрес клиента 172.16.1.10.

  • IP-адрес Server1 10.1.1.10.

  • IP-адрес Server2 192.168.1.10.

В данном примере файл по имени Kiwi_Syslogd.exe передан от server1 до server2.

Контроль FTP включен

Когда контроль FTP включен, эти данные появляются на клиентском интерфейсе ASA:

Вот перехваты отбрасывания ASA:

Запрос ПОРТА отброшен контролем FTP, потому что это содержит IP-адрес и порт, которые отличаются от IP-адреса клиента и порта. Впоследствии, контрольное соединение к серверу завершено контролем.



Document ID: 118306