web-dev-qa-db-ja.com

FTPSのCiscoASA検査(FTP明示的SSL / TLS)

FTPサーバに代わってパッシブポートを開くようにCiscoASA5505を設定しようとしています。暗号化されたFTP接続(TLS/SSL)を実行しているときに誰かがこれを試しましたか?

FTPクライアントログは、クライアントがPASVを発行して(そして正しいコマンドを取り戻すまで)すべてが機能していることを報告し、その後「LIST」コマンドを発行します。

これは、ASAに暗号化されたトラフィックを検査する方法がないことを意味していると思いますか?

この問題へのどんな啓蒙も非常に適用されるでしょう!

2
ROAR

NATファイアウォールの背後で機能するようにFTPS(暗黙的または明示的)を構成することは、頭痛の種になる可能性があります。

ASAがSSL/TLS暗号化トラフィックを検査できないという点で正しいです。故障は、データチャネルが構築されているときに発生します。アクティブモードでもパッシブモードでも、データチャネルに関するL3(IP)およびL4(ポート)情報はFTP/FTPS制御チャネルで転送されます。従来のFTPおよびASAのFTP検査では、このデータはパブリック/外部/その他のインターフェイスIPに一致するように「検査」および「修正」され、ASAはデータチャネルトラフィックを許可する許可ACLを動的に追加します。

SSL/TLS(FTPSの一部として)を使用すると、ASAは、データチャネルを機能させるために必要なものを「検査」または「修正」するために必要な制御チャネルの詳細を確認できません。そのため、使用しているFTPSサーバーアプリケーションにいくつかの追加のスマート/機能を組み込む必要があります。

機能は次のとおりです。

  1. パッシブモード(PASV)クライアントで使用されるデータチャネルに使用されるように、制御チャネルで送信されるポート範囲を設定する機能。
  2. パッシブモード(PASV)クライアントで使用されるデータチャネルで使用されるように、制御チャネルで送信されるIPアドレスを設定する機能。
  3. 最後に、ファイアウォールで、(nat/staticandACLを介して)構成された範囲を許可します。 1.1。

    Windows環境では、Cerberusは必要な機能を備えた優れたFTP/FTPS/SFTPサーバーです。

例えば:

FTPSサーバーの内部IP192.168.1.10と外部IP1.1.1.2があるとします。

  • パッシブクライアントの範囲としてTCP/35000〜TCP/35999を使用するようにFTPSサーバーソフトウェアを構成します。
  • パッシブクライアントのIPとして1.1.1.2を送信するようにFTPSサーバーソフトウェアを構成します。注:CerberusはWAN IPを自動検出し、それを自動的に使用します。 Cerberusは、ローカルIPネットワーククライアントに対してこの修正を実行しないようにデフォルトで構成されています(クライアントが破損するため)。ケルベロスは賢いです。 :)
  • TCP/35000からTCP/35999(およびTCP/21、TCP/990など)のASAをNAT(静的NATまたは静的PAT範囲を使用)に設定します。
  • FTPSサーバーへのTCP/35000〜TCP/35999(およびTCP/21、TCP/990など)をACLに許可するようにASAを構成します。

これで、クライアントが暗黙的または明示的なFTPSを使用してWANから接続すると、FTPSサーバーは正しいWAN IPアドレス(プライベートアドレスではない)とTCPデータチャネルで使用される既知の範囲のポート。特にNATを実行し、ACLでTCPポートが許可されているため、ASAの検査/修正は必要ありません。

興味深い(ファイアウォールを介したFTP/FTPS/SFTPに関する長い参照): ファイアウォールを介したFTP

4
Weaver