web-dev-qa-db-ja.com

Cisco IPSが有効になっている場合、VPNを介したファイル転送の問題

IPSモジュールがインストールされたCiscoASA5510ファイアウォールがあります。

FTP経由でファイルを交換するには、VPN経由でネットワークに接続する必要がある顧客がいます。ファイアウォールの背後にあり、IPSの対象となるローカルワークステーションでCisco VPNクライアント(バージョン5.0.01.0600)を使用しています。

VPNクライアントは、リモートサイトへの接続に成功しています。ただし、FTPファイル転送を開始すると、アップロードできるデータは150Kから200Kになり、すべてが停止します。 1分後、VPNセッションはドロップされます。

次のコマンドを使用して、IPSのASAのサービスポリシーを一時的に無効にすることで、これをIPSの問題に分離したと思います。

access-list IPS line 1 extended permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0inactive

このコマンドが発行された後、リモートサイトへのVPNを確立し、ファイル全体を転送することに成功しました。

VPNおよびFTPセッションに接続したまま、IPSを有効にするコマンドを発行しました。

access-list IPS line 1 extended permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

ファイル転送が再試行され、もう一度成功したので、同じVPNセッションを開いたまま、FTPセッションを閉じて再度開きました。このファイル転送も成功しました。これは、FTPプログラムで何もフィルタリングされていないか、問題を引き起こしていないことを私に教えてくれました。さらに、FTPを使用して、毎日多くのサイトと問題なくファイルを交換しています。

次に、アクセスリストが非アクティブのときに確立された元のVPNセッションを切断し、VPNセッションを再接続して、アクセスリストをアクティブにしました。 FTP転送を開始した後、ファイルは150K後に停止しました。

私には、これはIPSがブロックしているか、リモートサイトへの初期VPNセットアップを何らかの形で妨害しているように見えます。

これは、最新のIPS署名の更新が適用された後(sigバージョン407.0)に先週発生し始めました。システム自体が自動更新されなかったため、以前のsigバージョンは95日経過していました。

この問題の原因について何か考えはありますか?

5
Richard West

送信側でMTUを設定してみてください(実際、両方の側でMTUが必要になる可能性があります)。 Path MTUディスカバリパケットを正しく生成していないか、渡していないデバイスがある可能性があります。 mtuを両端で1350に下げると修正される場合は、ICMPをブロックしているACLがあるかどうかを調べます。

1
eric sorenson

FTP転送がPASVの場合は、パケット検査を有効にし、ファイアウォールで適切なACLを有効にする必要があります。

最初にconfigを実行しているバックアップを取ります!

これは、パケット検査のためにCisco ASA5505で行った手順です。

  1. ssh/telnetからファイアウォールへ
  2. 有効にする
  3. conf t
  4. クラスマップinspection_default
  5. default-inspection-trafficに一致
  6. Ctrl + Zを押します
  7. conf t
  8. ポリシーマップglobal_policy
  9. クラスinspection_default
  10. fTPを検査します
  11. wr mem
0
Oneiroi

パッシブFTPまたはアクティブFTPの使用を忘れると思います。 FTPSとFTPのデュアルポートの性質が嫌いです。代わりに、 WinSSHDサーバー をダウンロードして、単一のポート(ポート22)でSFTPサーバーを実行します。そうすれば、1つのピンホールだけを扱うことになります。

Tunnelier clientを使用して接続します。

0
djangofan

MTUまたはウィンドウスケーリングが理由である可能性があります

0
3molo

FTPに関連する407署名には何もありません。一般に、このようなFTPの問題が発生し、開始してから停止する場合、通常はアクティブFTPとパッシブFTPに関連しています。どのftpクライアントを使用していますか? FTPクライアントでアクティブからパッシブに変更してみて、それが役立つかどうかを確認してください。

アクティブなFTPでは、FTPを使用している場所が、着信要求とは異なるポートでデータ転送を開始します。これが、通常、ファイアウォールによってブロックされている理由です。

パッシブFTPでは、別のポートへのデータ転送を開始します。ほとんどのファイアウォールではすべてのアウトバウンドの発生が許可されているため、これは機能します。

追加するために編集:署名は累積的です。 407アップデートにはFTPに関連するものは何も表示されませんが、95日前から現在までの他のすべてのアップデートには何かがある可能性があります。私はあなたのために見つけるためにすべてのアップデートを調査するつもりはありません;)

これに関する他の質問があるため、私も質問する必要があります...トラフィックをIPSモジュールに転送することに加えて、この5510でデフォルトの検査を使用していますか?する必要はありません。

0
GregD

転送を開始するという事実は、FTPセッションのデータ部分を確立するのに問題がないことを示しています。これにより、接続の入出力をブロックするACLが除外されます。大きなファイル転送中にドロップするVPNセッション自体は、接続でアクションを実行するIPSを指しているようです(FTPセッションを終了するだけだと思う​​かもしれませんが、アクションは構成可能なので、誰が知っていますか? )VPNセッションをドロップするのがIPSであると思われる場合は、ログを調べて、IPSがドロップする場合はIPSアラートを送信する必要があります。 IPSは無差別モード(基本的にIDSモード)またはインラインモードで実行されていますか?私の知る限り、無差別モードの場合、トラフィックのコピーのみを受信するため、トラフィックをドロップすることはできません。これまでのところ(署名の更新を除いて)変更なしで機能しているので、特定のサイズを超える大きなファイル転送を許可しないように変更したかどうかをお客様に尋ねます。特に他のサイトに問題なくFTPで転送すると言ったので。この1人の顧客だけの場合、問題は彼らの側にあるに違いありません。

0
August

どのアクセスリストにも、VPNクライアントにサブネットが割り当てられる複数のエントリを含めることができます

IPSのaclの1行目は、VPNクライアントサブネットとの間のトラフィックの検査を拒否する必要があります。aclの2行目は、他のトラフィックに対してIPS isakmp、gre、esp、ahなどの他のトラフィックを検査から除外する価値があります。そうしないと、構成をさらに確認する必要があります。

0
dan pugh