FTPサーバに代わってパッシブポートを開くようにCiscoASA5505を設定しようとしています。暗号化されたFTP接続(TLS/SSL)を実行しているときに誰かがこれを試しましたか?
FTPクライアントログは、クライアントがPASVを発行して(そして正しいコマンドを取り戻すまで)すべてが機能していることを報告し、その後「LIST」コマンドを発行します。
これは、ASAに暗号化されたトラフィックを検査する方法がないことを意味していると思いますか?
この問題へのどんな啓蒙も非常に適用されるでしょう!
NATファイアウォールの背後で機能するようにFTPS(暗黙的または明示的)を構成することは、頭痛の種になる可能性があります。
ASAがSSL/TLS暗号化トラフィックを検査できないという点で正しいです。故障は、データチャネルが構築されているときに発生します。アクティブモードでもパッシブモードでも、データチャネルに関するL3(IP)およびL4(ポート)情報はFTP/FTPS制御チャネルで転送されます。従来のFTPおよびASAのFTP検査では、このデータはパブリック/外部/その他のインターフェイスIPに一致するように「検査」および「修正」され、ASAはデータチャネルトラフィックを許可する許可ACLを動的に追加します。
SSL/TLS(FTPSの一部として)を使用すると、ASAは、データチャネルを機能させるために必要なものを「検査」または「修正」するために必要な制御チャネルの詳細を確認できません。そのため、使用しているFTPSサーバーアプリケーションにいくつかの追加のスマート/機能を組み込む必要があります。
機能は次のとおりです。
最後に、ファイアウォールで、(nat/staticandACLを介して)構成された範囲を許可します。 1.1。
Windows環境では、Cerberusは必要な機能を備えた優れたFTP/FTPS/SFTPサーバーです。
例えば:
FTPSサーバーの内部IP192.168.1.10と外部IP1.1.1.2があるとします。
これで、クライアントが暗黙的または明示的なFTPSを使用してWANから接続すると、FTPSサーバーは正しいWAN IPアドレス(プライベートアドレスではない)とTCPデータチャネルで使用される既知の範囲のポート。特にNATを実行し、ACLでTCPポートが許可されているため、ASAの検査/修正は必要ありません。
興味深い(ファイアウォールを介したFTP/FTPS/SFTPに関する長い参照): ファイアウォールを介したFTP