Назад | Перейти на главную страницу

Cisco ASA проверка FTPS (FTP явный SSL / TLS)

Я пытаюсь настроить Cisco ASA 5505 на открытие пассивного порта от имени моего FTP-сервера. Кто-нибудь пробовал это при запуске зашифрованного FTP-соединения (TLS / SSL)?

Журнал FTP-клиента сообщает, что все работает, пока клиент не выдаст PASV (и не получит обратно правильную команду), а затем выдаст команду «LIST».

Полагаю, это означает, что ASA не имеет возможности проверить зашифрованный трафик?

Было бы очень полезно пролить свет на этот вопрос!

Настройка FTPS (неявной или явной) для работы за брандмауэром NAT может быть головной болью.

Вы правы в том, что ASA не может проверять зашифрованный трафик SSL / TLS. Поломка происходит при построении канала данных. В активном или пассивном режиме информация L3 (IP) и L4 (порт), относящаяся к каналу данных, передается по каналу управления FTP / FTPS. При традиционном FTP и проверке FTP ASA эти данные «проверяются» и «фиксируются» для соответствия общедоступному / внешнему / любому IP-адресу интерфейса, и ASA динамически добавляет разрешающий ACL, чтобы разрешить трафик канала данных.

С SSL / TLS (как часть FTPS) ASA не может видеть необходимые детали канала управления, чтобы «проверить» или «исправить» то, что необходимо для работы канала данных. Таким образом, вам нужно будет иметь некоторые дополнительные интеллектуальные возможности / возможности, встроенные в приложение сервера FTPS, которое вы используете.

Возможности включают следующее:

  1. Возможность установить диапазон портов, отправленных в канале управления, который будет использоваться для канала данных, используемого клиентами пассивного режима (PASV).
  2. Возможность установить IP-адрес, отправляемый в канале управления, который будет использоваться для канала данных, который используется клиентами пассивного режима (PASV).
  3. Наконец, в вашем брандмауэре разрешая (через nat / static и ACL) диапазон, настроенный под номером 1.

    В среде Windows Cerberus - отличный FTP / FTPS / SFTP-сервер, который имеет необходимые функции и возможности.

Например:

Допустим, у вашего FTPS-сервера внутренний IP-адрес 192.168.1.10, а внешний IP-адрес 1.1.1.2.

  • Настройте программное обеспечение сервера FTPS на использование TCP / 35000 - TCP / 35999 в качестве диапазона для пассивных клиентов.
  • Настройте программное обеспечение сервера FTPS для отправки 1.1.1.2 в качестве IP для пассивных клиентов. Примечание. Cerberus автоматически определяет ваш IP-адрес в глобальной сети и использует его автоматически. Cerberus также настроен по умолчанию, чтобы не выполнять это исправление для клиентов локальной IP-сети (поскольку это могло бы их сломать). Цербер умен. :)
  • Настройте ASA на NAT (используя статический NAT или статический диапазон PAT) для TCP / 35000 - TCP / 35999 (плюс TCP / 21, TCP / 990 и т. Д.)
  • Настройте свой ASA для разрешения ACL TCP / 35000 на TCP / 35999 для сервера FTPS (плюс TCP / 21, TCP / 990 и т. Д.)

Теперь, когда клиенты подключаются из глобальной сети, используя неявный или явный протокол FTPS, сервер FTPS отправляет обратно правильный IP-адрес глобальной сети (не свой частный адрес) и порт TCP в известном диапазоне, который будет использоваться в канале данных. Если специально NAT и ACL разрешили TCP-порты, проверка / исправление ASA не требуется.

Интересно (пространная ссылка на FTP / FTPS / SFTP через межсетевые экраны): FTP через брандмауэры