Einleitung
In diesem Dokument werden die drei von der Websicherheits-Appliance (WSA) unterstützten FTP-Proxytypen beschrieben. Außerdem werden Beispiele für Zugriffsprotokolle aufgeführt.
Welche Arten von FTP-Proxys werden von der WSA unterstützt?
Die Cisco WSA unterstützt derzeit drei Methoden für den FTP-Proxy:
- FTP über HTTP
- FTP über HTTP-Tunneling
- Natives FTP
Diese Methoden nutzen unterschiedliche Techniken, um miteinander zu kommunizieren.
FTP über HTTP
Diese Methode wird häufig von Webbrowsern wie Internet Explorer, Firefox und Opera verwendet. Es handelt sich vielmehr um eine einzigartige Technik, bei der die Kommunikation "Client -> WSA" ausschließlich über HTTP erfolgt und "WSA -> Internet" FTP für die Kommunikation nutzt. Sobald die WSA ihre Antwort vom FTP-Server erhält, bestimmt die WSA, ob es sich bei dem angeforderten Objekt um ein Verzeichnis oder eine Datei handelt. Wenn es sich bei dem Objekt, auf das zugegriffen wird, um ein Verzeichnis handelt, erstellt die WSA eine in HTML geschriebene Verzeichnisliste, die dann an den Client weitergeleitet wird. Handelt es sich bei dem angeforderten Objekt um eine Datei, lädt die WSA die Datei herunter und streamt sie an den Client.
Im Folgenden finden Sie ein Beispiel dafür, was im Zugriffsprotokoll für FTP über HTTP angezeigt wird.
1219138948.126 18058 192.168.10.100 TCP_MISS/200 1993 ftp://ftp.example.com/ - DIRECT/ftp.example.com text/html DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,-,-, -,->
FTP über HTTP-Tunneling
Für diese Methode müssen Sie den Großteil der Ports unter Web Security Manager > Zugriffsrichtlinien > Protokolle und Benutzer-Agents > HTTP CONNECT Ports zulassen. Normalerweise sollten FTP-Server Ports zwischen 49152 und 65535 öffnen, aber in vielen Fällen verwenden sie die Ports 1024 bis 65535. Diese Ports werden verwendet, wenn der FTP-Client den PASV-Befehl ausgibt, wenn er den Datenkanal erstellt.
Wenn alles gut läuft, werden zwei Einträge im Zugriffsprotokoll angezeigt:
1219137634.898 10707 192.168.10.100 TCP_MISS/0 160 CONNECT ftp.example.com:21/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,-,-,-,-> -
1219137698.512 287 192.168.10.100 TCP_MISS/0 240 CONNECT 192.168.10.10:57918/ - DIRECT/192.168.10.10 text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,0,-,-,-,-,-,-,-,-> -
Diese Protokolle zeigen, dass sich sowohl der Steuerkanal (erste Protokollzeile) als auch der Datenkanal (zweite Protokollzeile) erfolgreich eingerichtet haben.
Filezilla ist ein Beispiel für eine Anwendung, die diese Art von Transaktion unterstützt. Um diese Funktion in Filezilla zu aktivieren, wählen Sie Bearbeiten > Einstellungen > Proxy-Einstellung, und legen Sie den Proxytyp auf HTTP 1.1 fest. Geben Sie bei Bedarf weitere erforderliche Details ein.
Bei beiden Methoden muss für Client - WSA nur der Proxyport offen sein, und für WSA - Internet müssen alle ausgehenden Ports geöffnet sein.
Natives FTP
Bei dieser Methode stellt der FTP-Client eine Verbindung mit der WSA an Port 21 oder Port 8021 her, je nachdem, ob der Proxy im transparenten bzw. im expliziten Modus implementiert wurde. Die Kommunikation zwischen dem FTP-Client und der WSA basiert ausschließlich auf FTP. Für natives FTP können die Verbindungsdetails in den FTP-Proxy-Protokollen angezeigt werden. Die eigentliche Dateiübertragung und die Auflistung der Verzeichnisse kann jedoch weiterhin im Zugriffsprotokoll angezeigt werden.
Im Folgenden finden Sie einige Beispiele, die im Zugriffsprotokoll für Native FTP aufgeführt sind.
1340084525.556 2808 192.168.10.100 TCP_MISS/226 2790 RETR ftp://ftp.example.com/examplefile.txt - DIRECT/ftp.example.com text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0, -, -, -, -, -
1340084512.590 1013 192.168.10.100 TCP_MISS/230 27 FTP_CONNECT tunnel://ftp.example.com/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,-,-,> -
1340084514.016 1426 192.168.10.100 TCP_MISS/226 413 MLSD ftp://ftp.example.com/ - DIRECT/ftp.example.com text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,0,-, -,-,-,-> -