Avez-vous un compte?
Ce document décrit comment configurer le protocole d'échange de fichier (FXP) relatif à l'appliance de sécurité adaptable Cisco (ASA) par l'intermédiaire du CLI.
Cisco recommande que vous ayez la connaissance de base de modes (actifs/passifs) de Protocole FTP (File Transfer Protocol).
Les informations dans ce document sont basées sur Cisco ASA qui exécute les versions de logiciel 8.0 et plus tard.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Le FXP te permet pour transférer des fichiers d'un ftp server vers un autre ftp server par l'intermédiaire d'un client FXP sans nécessité de dépendre de la vitesse de connexion internet de client. Avec FXP, la vitesse maximum de transfert dépend seulement de la connexion entre les deux serveurs, qui est habituellement beaucoup plus rapide que la connexion client. Vous pouvez appliquer FXP dans les scénarios où un serveur de bande passante élevée exige des ressources d'un autre serveur de bande passante élevée, mais seulement un client de faible bande passante tel qu'un administrateur réseau qui travaille à distance a l'autorité pour accéder aux ressources sur les deux serveurs.
Le FXP fonctionne comme extension du protocole de FTP, et le mécanisme est énoncé dans la section 5.2 du RFC 959 de FTP. Fondamentalement, le client FXP initie une connexion de contrôle avec un FTP server1, ouvre une autre connexion de contrôle avec le FTP server2, puis modifie les attributs de connexion des serveurs de sorte qu'ils dirigent entre eux tels que le transfert a lieu directement entre les deux serveurs.
Voici un aperçu du processus :
C'est comment la table de connexion apparaît :
TCP server2 192.168.1.10:21 client 172.16.1.10:50684, idle 0:00:04, bytes 694,
flags UIOB
TCP client 172.16.1.10:50685 server1 10.1.1.10:21, idle 0:00:04, bytes 1208,
flags UIOB
Le transfert de fichiers par l'ASA par l'intermédiaire de FXP est réussi seulement quand l'inspection de FTP est désactivée sur l'ASA.
Quand le client FXP spécifie une adresse IP et un port TCP qui diffèrent de ceux du client dans la commande de PORT de FTP, une situation non sécurisée est créée où un attaquant peut effectuer un balayage de port contre un hôte sur l'Internet d'un tiers ftp server. C'est parce que le ftp server est chargé pour ouvrir une connexion à un port sur un ordinateur qui ne pourrait pas être le client qui commence. Ceci s'appelle une attaque de rebond de FTP, et l'inspection de FTP a arrêté la connexion parce qu'elle considère ceci une violation de sécurité.
Voici un exemple :
%ASA-6-302013: Built inbound TCP connection 24886 for client:172.16.1.10/49187
(172.16.1.10/49187) to server2:192.168.1.10/21 (192.168.1.10/21)
%ASA-6-302013: Built inbound TCP connection 24889 for client:172.16.1.10/49190
(172.16.1.10/49190) to server2:192.168.1.10/49159 (192.168.1.10/49159)
%ASA-6-302014: Teardown TCP connection 24889 for client:172.16.1.10/49190 to
server2:192.168.1.10/49159 duration 0:00:00 bytes 1078 TCP FINs
%ASA-4-406002: FTP port command different address: 172.16.1.10(10.1.1.10) to
192.168.1.10 on interface client
%ASA-6-302014: Teardown TCP connection 24886 for client:172.16.1.10/49187 to
server2:192.168.1.10/21 duration 0:00:00 bytes 649 Flow closed by inspection
Utilisez les informations qui sont décrites dans cette section afin de configurer FXP sur l'ASA.
Terminez-vous ces étapes afin de configurer l'ASA :
FXP-ASA(config)# policy-map global_policy
FXP-ASA(config-pmap)# class inspection_default
FXP-ASA(config-pmap-c)# no inspect ftp
FXP-ASA(config)#access-list serv1 extended permit ip host 10.1.1.10 any
FXP-ASA(config)#access-list serv1 extended permit ip any host 10.1.1.10
FXP-ASA(config)#access-list serv2 extended permit ip host 192.168.1.10 any
FXP-ASA(config)#access-list serv2 extended permit ip any host 192.168.1.10
FXP-ASA(config)#access-list client extended permit ip host 172.16.1.10 any
FXP-ASA(config)#access-list client extended permit ip any host 172.16.1.10
FXP-ASA(config)#access-group serv1 in interface server1
FXP-ASA(config)#access-group client in interface client
FXP-ASA(config)#access-group serv2 in interface server2
Utilisez les informations qui sont décrites dans cette section afin de vérifier que votre configuration fonctionne correctement.
Terminez-vous ces étapes afin de vérifier le transfert de fichiers réussi entre les deux serveurs de FTP :
Cette section fournit des captures de deux scénarios différents que vous pouvez employer afin de dépanner votre configuration.
Quand l'inspection de FTP est désactivée, comme détaillé dans l'inspection de FTP et la section FXP de ce document, ces données apparaissent sur l'interface client ASA :
Voici quelques notes au sujet de ces données :
Dans cet exemple, le fichier nommé Kiwi_Syslogd.exe est transféré de server1 vers server2.
Quand l'inspection de FTP est activée, ces données apparaissent sur l'interface client ASA :
Voici les captures de baisse ASA :
La demande de PORT est abandonnée par l'inspection de FTP parce qu'elle contient une adresse IP et un port qui diffèrent de l'adresse IP et du port de client. Ultérieurement, la connexion de contrôle au serveur est terminée par l'inspection.