Quels types de proxy FTP le WSA prend-il en charge ?

Introduction

Ce document décrit les trois types de proxy FTP pris en charge par l'appareil de sécurité Web (WSA) et fournit des exemples de journaux d'accès.

Quels types de proxy FTP le WSA prend-il en charge ?

Actuellement, Cisco WSA prend en charge trois méthodes de proxy FTP :

• FTP sur HTTP
• Transmission tunnel FTP sur HTTP
• FTP natif

Ces méthodes utilisent différentes techniques pour communiquer. 

FTP sur HTTP

Cette méthode est couramment utilisée par les navigateurs Web, tels qu'Internet Explorer, Firefox et Opera.  Il s'agit plutôt d'une technique unique où la communication "Client -> WSA" se fait uniquement en HTTP, et où "WSA -> Internet" utilise FTP pour communiquer.  Une fois que le WSA reçoit sa réponse du serveur FTP, le WSA détermine si l'objet demandé est un répertoire ou un fichier.  Si l'objet auquel on accède est un répertoire, le WSA compose une liste de répertoires écrite en HTML qui est ensuite transmise au client.  Si l'objet demandé est un fichier, l'appareil de sécurité Web le télécharge et le diffuse au client.

Voici un exemple de ce que vous verriez dans le journal d'accès pour FTP sur HTTP.

1219138948.126 18058 192.168.10.100 TCP_MISS/200 1993 GET ftp://ftp.example.com/ - DIRECT/ftp.example.com text/html DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-,-,-,->

Transmission tunnel FTP sur HTTP

Cette méthode nécessite que vous autorisiez la majorité des ports sous Web Security Manager > Access Policies > Protocols and User Agents > HTTP CONNECT Ports. En général, les serveurs FTP doivent ouvrir des ports entre 49152 - 65535, mais dans la plupart des cas, ils utilisent les ports 1024 - 65535. Ces ports sont utilisés lorsque le client FTP émet la commande PASV lorsqu'il établit son canal de données.

Si tout se passe bien, vous verrez deux entrées dans votre journal d'accès :

1219137634.898 10707 192.168.10.100 TCP_MISS/0 160 CONNECT ftp.example.com:21/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,0,-,-,-,-,-,-,-> -
1219137698.512 287 192.168.10.100 TCP_MISS/0 240 CONNECT 192.168.10.10:57918/ - DIRECT/192.168.10.10 text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,0,-,-,-> -

Ces journaux montrent que le canal de contrôle (première ligne de journal) et le canal de données (deuxième ligne de journal) ont été correctement établis.

Filezilla est un exemple d'application qui supporte ce type de transaction. Afin d'activer cette fonctionnalité sur Filezilla, choisissez Edit > Settings > Proxy Setting et définissez le type de proxy sur HTTP 1.1. Entrez d'autres détails nécessaires si nécessaire.

Dans l'une ou l'autre de ces deux méthodes, Client - WSA a seulement besoin que le port proxy soit ouvert et WSA - Internet a besoin que tous les ports sortants soient ouverts.

FTP natif

Dans cette méthode, le client FTP se connecte au WSA sur le port 21 ou le port 8021, selon que le proxy a été implémenté en mode transparent ou explicite, respectivement. La communication entre le client FTP et le WSA est basée uniquement sur FTP. Pour le FTP natif, les détails de la connexion peuvent être affichés dans les journaux du proxy FTP. Le transfert de fichiers réel et la liste des répertoires peuvent cependant toujours être affichés dans le journal d'accès.

Voici quelques exemples de ce que vous verriez dans le journal d'accès pour le FTP natif.

1340084525.556 2808 192.168.10.100 TCP_MISS/226 2790 RETR ftp://ftp.example.com/examplefile.txt - DIRECT/ftp.example.com text/plain DEFAULT_CASE-FTPACCESS <nc, ns,0,-,-,-,-,0,-,-,-,-,-,-,-,-> -
1340084512.590 1013 192.168.10.100 TCP_MISS/230 27 FTP_CONNECT tunnel://ftp.example.com/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-,-,-,-,-> -
1340084514.016 1426 192.168.10.100 TCP_MISS/226 413 MLSD ftp://ftp.example.com/ - DIRECT/ftp.example.com text/plain DEFAULT_CASE-FTPACCESS <nc, ns,0,-,-,-,-,0,-,-,-,-,-,-,-,-> -