Inleiding
Dit document beschrijft de drie typen FTP-proxy die door de Web Security Applicatie (WSA) wordt ondersteund en biedt voorbeelden van de toegangslogbestanden.
Welke typen FTP proxy ondersteunt de WSA?
Momenteel ondersteunt Cisco WSA drie methoden van FTP-proxy:
- FTP via HTTP
- FTP over HTTP-tunneling
- Native FTP
Deze methoden gebruiken verschillende technieken om te communiceren.
FTP via HTTP
Deze methode wordt veel gebruikt door webbrowsers, zoals Internet Explorer, Firefox en Opera. Het is eerder een unieke techniek waarbij de "Client -> WSA" communicatie wordt gedaan zuiver in HTTP, en "WSA -> Internet" gebruikt FTP om te communiceren. Zodra de WSA zijn reactie van de FTP-server ontvangt, bepaalt de WSA of het gevraagde object een map of een bestand is. Als het object dat wordt benaderd een directory is, stelt de WSA een directory-vermelding samen in HTML, die vervolgens wordt doorgestuurd naar de client. Als het gevraagde object een bestand is, downloadt de WSA het bestand en stroomt het naar de client.
Hier is een voorbeeld van wat je zou zien in het toegangslogboek voor FTP over HTTP.
1219138948.126 18058 192.168.10.100 TCP_MISS/200 1993 GET ftp://ftp.example.com/ - DIRECT/ftp.example.com tekst/html DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,->
FTP over HTTP-tunneling
Deze methode vereist dat u de meerderheid van de poorten onder Web Security Manager > Toegangsbeleid > Protocollen en Gebruikersagenten > HTTP CONNECT-poorten toestaat. Normaal gesproken moeten FTP-servers poorten openen tussen 49152 - 65535, maar in veel gevallen gebruiken ze poorten 1024 - 65535. Deze poorten worden gebruikt wanneer de FTP-client de PASV-opdracht geeft wanneer deze het gegevenskanaal instelt.
Als alles goed gaat, ziet u twee vermeldingen in uw toegangslogboek:
1219137634.898 10707 192.168.10.100 TCP_MISS/0 160 CONNECT ftp.example.com:21/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -
1219137698.512 287 192.168.10.100 TCP_MISS/0 240 CONNECT 192.168.10.10:57918/ - DIRECT/192.168.10.10 tekst/gewoon DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -
Deze logbestanden tonen aan dat zowel het controlekanaal (eerste logregel) als het gegevenskanaal (tweede logregel) met succes tot stand zijn gebracht.
Filezilla is een voorbeeld van een toepassing die dit soort transacties ondersteunt. Om deze functie op Filezilla in te schakelen, kiest u Bewerken > Instellingen > Proxy-instelling en stelt u het proxytype in op HTTP 1.1. Voer indien nodig andere noodzakelijke gegevens in.
In een van deze twee methoden heeft Client - WSA alleen de proxy poort nodig om open te zijn en WSA - Internet heeft alle uitgaande poorten nodig om geopend te worden.
Native FTP
In deze methode verbindt de FTP client met de WSA op poort 21 of poort 8021, afhankelijk van of de proxy is geïmplementeerd in transparante of expliciete modus, respectievelijk. De communicatie tussen de FTP-client en de WSA is uitsluitend gebaseerd op FTP. Voor native FTP kunnen de verbindingsdetails worden bekeken in de FTP Proxy-logbestanden. De eigenlijke bestandsoverdracht en opsomming van directory's kan echter nog steeds worden bekeken in het toegangslogboek.
Hier zijn een paar voorbeelden van wat je zou zien in het toegangslogboek voor Native FTP.
1340084525.556 2808 192.168.10.100 TCP_MISS/226 2790 RETR ftp://ftp.example.com/examplefile.txt - DIRECT/ftp.example.com tekst/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -
1340084512.590 1013 192.168.10.100 TCP_MISS/230 27 FTP_CONNECT tunnel://ftp.example.com/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -
1340084514.016 1426 192.168.10.100 TCP_MISS/226 413 MLSD ftp://ftp.example.com/ - DIRECT/ftp.example.com tekst/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -