Introdução
Este documento descreve os três tipos de proxy FTP que o Web Security Appliance (WSA) suporta e fornece exemplos de logs de acesso.
Que tipos de proxy FTP o WSA suporta?
Atualmente, o Cisco WSA suporta três métodos de proxy FTP:
- FTP sobre HTTP
- FTP sobre tunelamento HTTP
- FTP nativo
Esses métodos usam técnicas diferentes para se comunicar.
FTP sobre HTTP
Esse método é comumente usado por navegadores da Web, como Internet Explorer, Firefox e Opera. Em vez disso, é uma técnica única em que a comunicação "Cliente -> WSA" é feita puramente em HTTP, e "WSA -> Internet" usa FTP para se comunicar. Quando o WSA recebe sua resposta do servidor FTP, ele determina se o objeto solicitado é um diretório ou um arquivo. Se o objeto acessado for um diretório, o WSA compõe uma listagem de diretório escrita em HTML, que é então encaminhada ao cliente. Se o objeto solicitado for um arquivo, o WSA fará download do arquivo e o transmitirá ao cliente.
Aqui está um exemplo do que você veria no log de acesso para FTP sobre HTTP.
1219138948.126 18058 192.168.10.100 TCP_MISS/200 1993 GET ftp://ftp.example.com/ - DIRECT/ftp.example.com text/html DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-,-,-,->
FTP sobre tunelamento HTTP
Esse método requer que você permita a maioria das portas no Web Security Manager > Políticas de acesso > Protocolos e agentes de usuário > Portas HTTP CONNECT. Normalmente, os servidores FTP devem abrir portas entre 49152 - 65535, mas em muitos casos usam as portas 1024 - 65535. Essas portas são usadas quando o cliente FTP executa o comando PASV quando estabelece seu canal de dados.
Se tudo correr bem, você verá duas entradas em seu registro de acesso:
1219137634.898 10707 192.168.10.100 TCP_MISS/0 160 CONNECT ftp.example.com:21/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-,-,-,-> -
1219137698.512 287 192.168.10.100 TCP_MISS/0 240 CONNECT 192.168.10.10:57918/ - DIRECT/192.168.10.10 text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-,-,->-
Esses registros mostram que o canal de controle (primeira linha de registro) e o canal de dados (segunda linha de registro) foram estabelecidos com êxito.
Filezilla é um exemplo de um aplicativo que suporta este tipo de transação. Para habilitar este recurso no Filezilla, escolha Edit > Settings > Proxy Setting e defina o tipo de proxy como HTTP 1.1. Insira outros detalhes necessários, se necessário.
Em qualquer um desses dois métodos, o Cliente - WSA precisa apenas que a porta de proxy esteja aberta e o WSA - Internet precisa que todas as portas de saída estejam abertas.
FTP nativo
Nesse método, o cliente FTP se conecta ao WSA na porta 21 ou na porta 8021, dependendo se o proxy foi implementado no modo transparente ou no modo explícito, respectivamente. A comunicação entre o cliente FTP e o WSA é baseada puramente no FTP. Para o FTP nativo, os detalhes da conexão podem ser exibidos nos logs do Proxy FTP. A transferência de arquivos real e a listagem de diretórios ainda podem, no entanto, ser visualizadas no registro de acesso.
Aqui estão alguns exemplos do que você veria no log de acesso do FTP nativo.
1340084525.556 2808 192.168.10.100 TCP_MISS/226 2790 RETR ftp://ftp.example.com/examplefile.txt - DIRECT/ftp.example.com text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,-,-,-,-,-,-,-> -
1340084512.590 1013 192.168.10.100 TCP_MISS/230 27 FTP_CONNECT tunnel://ftp.example.com/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-,-,-,-> -
1340084514.016 1426 192.168.10.100 TCP_MISS/226 413 MLSD ftp://ftp.example.com/ - DIRECT/ftp.example.com text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,-,-,-,-,-,-,-> -