Introducción
En este documento se describen los tres tipos de proxy FTP que admite el dispositivo de seguridad Web Security Appliance (WSA) y se proporcionan ejemplos de los registros de acceso.
¿Qué tipos de proxy FTP admite el dispositivo WSA?
Actualmente, Cisco WSA admite tres métodos de proxy FTP:
- FTP sobre HTTP
- Tunelización FTP sobre HTTP
- FTP nativo
Estos métodos utilizan diferentes técnicas para comunicarse.
FTP sobre HTTP
Este método lo utilizan habitualmente los exploradores web, como Internet Explorer, Firefox y Opera. Se trata de una técnica única en la que la comunicación "Cliente -> WSA" se realiza únicamente en HTTP y "WSA -> Internet" utiliza FTP para comunicarse. Una vez que el WSA recibe su respuesta del servidor FTP, determina si el objeto solicitado es un directorio o un archivo. Si el objeto al que se accede es un directorio, WSA crea un listado de directorios escrito en HTML que, a continuación, se reenvía al cliente. Si el objeto solicitado es un archivo, WSA lo descarga y lo transmite al cliente.
A continuación se muestra un ejemplo de lo que verá en el registro de acceso para FTP a través de HTTP.
1219138948.126 18058 192.168.10.100 TCP_MISS/200 1993 GET ftp://ftp.example.com/ - DIRECT/ftp.example.com text/html DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,->
Tunelización FTP sobre HTTP
Este método requiere que permita la mayoría de los puertos en Web Security Manager > Access Policies > Protocols and User Agents > HTTP CONNECT Ports . Normalmente, los servidores FTP deben abrir puertos entre 49152 - 65535, pero en muchos casos utilizan los puertos 1024 - 65535. Estos puertos se utilizan cuando el cliente FTP ejecuta el comando PASV cuando establece su canal de datos.
Si todo va bien, verá dos entradas en su registro de acceso:
1219137634.898 10707 192.168.10.100 TCP_MISS/0 160 CONNECT ftp.example.com:21/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-> -
1219137698.512 287 192.168.10.100 TCP_MISS/0 240 CONNECT 192.168.10.10:57918/ - DIRECT/192.168.10.10 text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,0,-,-,-> -
Estos registros muestran que tanto el canal de control (primera línea de registro) como el canal de datos (segunda línea de registro) se han establecido correctamente.
Filezilla es un ejemplo de una aplicación que soporta este tipo de transacciones. Para habilitar esta función en Filezilla, elija Edit > Settings > Proxy Setting y establezca el tipo de proxy en HTTP 1.1. Ingrese otros detalles necesarios si es necesario.
En cualquiera de estos dos métodos, Client - WSA sólo necesita que el puerto proxy esté abierto y WSA - Internet necesita que todos los puertos salientes estén abiertos.
FTP nativo
En este método, el cliente FTP se conecta al WSA en el puerto 21 o en el puerto 8021, dependiendo de si el proxy se ha implementado en modo transparente o explícito, respectivamente. La comunicación entre el cliente FTP y WSA se basa exclusivamente en FTP. Para FTP nativo, los detalles de conexión se pueden ver en los registros de proxy FTP. Sin embargo, la transferencia de archivos y la lista de directorios reales se pueden seguir viendo en el registro de acceso.
A continuación, se incluyen algunos ejemplos de lo que verá en el registro de acceso para FTP nativo.
1340084525.556 2808 192.168.10.100 TCP_MISS/226 2790 RETR ftp://ftp.example.com/examplefile.txt - DIRECT/ftp.example.com text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-> -
1340084512.590 1013 192.168.10.100 TCP_MISS/230 27 FTP_CONNECT tunnel://ftp.example.com/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-> -
1340084514.016 1426 192.168.10.100 TCP_MISS/226 413 MLSD ftp://ftp.example.com/ - DIRECT/ftp.example.com text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-> -