Einführung
Dieses Dokument beschreibt die drei Typen von FTP-Proxys, die von der Web Security Appliance (WSA) unterstützt werden, und enthält Beispiele für die Zugriffsprotokolle.
Welche Arten von FTP-Proxys werden von der WSA unterstützt?
Derzeit unterstützt die Cisco WSA drei Methoden für den FTP-Proxy:
- FTP über HTTP
- FTP über HTTP-Tunneling
- Natives FTP
Diese Methoden verwenden unterschiedliche Techniken, um zu kommunizieren.
FTP über HTTP
Diese Methode wird häufig von Webbrowsern wie Internet Explorer, Firefox und Opera verwendet. Es ist eher eine einzigartige Technik, bei der die Kommunikation "Client -> WSA" ausschließlich über HTTP erfolgt und "WSA -> Internet" FTP verwendet, um zu kommunizieren. Sobald die WSA die Antwort vom FTP-Server erhält, bestimmt die WSA, ob es sich bei dem angeforderten Objekt um ein Verzeichnis oder eine Datei handelt. Wenn das Objekt, auf das zugegriffen wird, ein Verzeichnis ist, erstellt die WSA eine in HTML geschriebene Verzeichnisliste, die dann an den Client weitergeleitet wird. Wenn das angeforderte Objekt eine Datei ist, lädt die WSA die Datei herunter und überträgt sie an den Client.
Im folgenden Beispiel sehen Sie das Zugriffsprotokoll für FTP über HTTP.
1219138948.126 18058 192.168.10.100 TCP_MISS/200 1993 GET ftp://ftp.example.com/ - DIRECT/ftp.example CESS <nc,ns,0,-,-,-,-,-,-,-,-,-,-,-
FTP über HTTP-Tunneling
Bei dieser Methode müssen Sie die meisten Ports unter Web Security Manager > Access Policies > Protocols and User Agents > HTTP CONNECT Ports zulassen. FTP-Server sollten normalerweise Ports zwischen 49152 und 65535 öffnen, aber in vielen Fällen die Ports 1024 bis 65535 verwenden. Diese Ports werden verwendet, wenn der FTP-Client den Befehl PASV ausgibt, wenn er den Datenkanal erstellt.
Wenn alles gut geht, werden Sie zwei Einträge im Zugriffsprotokoll sehen:
1219137634.898 10707 192.168.10.100 TCP_MISS/0 160 CONNECT ftp.example.com:21/ - DIRECT/ftp.example - DEFAULT_CASE-FTS PACCESS <nc,ns,0,-,-,-,-,-,-,-,-,-,-> -
1219137698.512 287 192.168.10.100 TCP_MISS/0 240 CONNECT 192.168.10.10:57918/ - DIREKTE/DIREKTE 192.168.10.10 text/blank DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,-,-,-,-> -
Diese Protokolle zeigen, dass sowohl der Steuerkanal (erste Protokollzeile) als auch der Datenkanal (zweite Protokollzeile) erfolgreich eingerichtet wurden.
Filezilla ist ein Beispiel für eine Anwendung, die diese Art von Transaktion unterstützt. Um diese Funktion in Filezilla zu aktivieren, wählen Sie Bearbeiten > Einstellungen > Proxy Setting aus, und legen Sie den Proxytyp auf HTTP 1.1 fest. Geben Sie ggf. weitere erforderliche Details ein.
Bei einer dieser beiden Methoden muss der Proxy-Port für Client - WSA nur offen sein, und WSA - Internet muss alle ausgehenden Ports öffnen.
Natives FTP
Bei dieser Methode stellt der FTP-Client auf Port 21 oder Port 8021 eine Verbindung zur WSA her, abhängig davon, ob der Proxy im transparenten bzw. expliziten Modus implementiert wurde. Die Kommunikation zwischen dem FTP-Client und der WSA basiert ausschließlich auf FTP. Für natives FTP können die Verbindungsdetails in den FTP-Proxyprotokollen angezeigt werden. Die eigentliche Dateiübertragung und die Auflistung von Verzeichnissen können jedoch noch im Zugriffsprotokoll angezeigt werden.
Hier sind einige Beispiele für das, was Sie im Zugriffsprotokoll für Native FTP sehen würden.
1340084525.556 2808 192.168.10.100 TCP_MISS/226 2790 RETR ftp://ftp.example.com/examplefile.txt - DIRECT/ftp.example <nc,ns,0,-,-,-,-,-,-,-,-,-,- oder> -
1340084512.590 1013 192.168.10.100 TCP_MISS/230 27 FTP_CONNECT tunnel://ftp.example.com/ - DIRECT/ftp.example - DEFAULT_CASE-FTPACCESS <nc,ns,0,,-,-,-,-,-,-,-,
1340084514.016 1426 192.168.10.100 TCP_MISS/226 413 MLSD ftp://ftp.example.com/ - DIRECT/ftp.example.com text/Plain DEFAULT_CASE-FTPACCESS c,ns,0,-,-,-,-,-,-,-,-,-,-,-> -
Feedback