5 votes

Richard West avatar

Problèmes de transfert de fichiers via VPN lorsque Cisco IPS est activé

Demandé el 11 de Juin, 2009
Quand la question a-t-elle été
11428 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons un pare-feu Cisco ASA 5510 avec le module IPS installé.

Nous avons un client auquel nous devons nous connecter via VPN à son réseau pour échanger des fichiers via FTP. Nous utilisons le client VPN de Cisco (version 5.0.01.0600) sur nos postes de travail locaux, qui sont derrière le pare-feu et soumis à l'IPS.

Le client VPN réussit à se connecter au site distant. Cependant, lorsque nous lançons le transfert de fichiers FTP, nous ne pouvons télécharger que 150 à 200 Ko de données, puis tout s'arrête. Une minute plus tard, la session VPN est abandonnée.

Je pense avoir isolé le problème de l'IPS en désactivant temporairement la politique de service sur l'ASA pour l'IPS avec la commande suivante :

access-list IPS line 1 extended permit ip 0.0.0.0 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 inactive

Après l'émission de cette commande, j'ai établi le VPN vers le site distant et j'ai réussi à transférer l'intégralité du fichier.

Tout en restant connecté au VPN et à la session FTP, j'ai lancé la commande pour activer l'IPS :

access-list IPS ligne 1 extended permit ip 0.0.0.0 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0

J'ai donc fermé la session FTP et l'ai rouverte, tout en gardant la même session VPN ouverte. Ce transfert de fichier a également réussi. Cela m'a indiqué que rien dans les programmes FTP n'était filtré ou ne causait le problème. En outre, nous utilisons le FTP pour échanger des fichiers avec de nombreux sites tous les jours sans problème.

J'ai ensuite déconnecté la session VPN originale, qui avait été établie lorsque la liste d'accès était inactive, et j'ai reconnecté la session VPN, maintenant avec la liste d'accès active. Après avoir lancé le transfert FTP, le fichier s'est arrêté après 150K.

Il me semble que l'IPS bloque ou interfère d'une manière ou d'une autre avec la configuration initiale du VPN vers le site distant.

Cela n'a commencé à se produire que la semaine dernière après l'application des dernières mises à jour de la signature IPS (sig version 407.0). La version précédente de notre signature datait de 95 jours car le système ne se mettait pas à jour automatiquement.

Avez-vous des idées sur ce qui pourrait causer ce problème ?

Demandé el 11 de Juin, 2009 par Richard West

0 votes

Avatar de buzz

Avez-vous trouvé la solution au problème ?

Commenté el 5 de Janvier, 2010 par buzz

0 votes

Avatar de Richard West

La seule solution trouvée a été de désactiver les règles spécifiques qui ont été tirées. Ce n'est pas vraiment une bonne solution mais je devais la faire fonctionner.

Commenté el 8 de Janvier, 2010 par Richard West

0 votes

Avatar de Kirill Osenkov

Le client peut-il déployer un protocole plus sécurisé tel que scp ? FTP est dépassé et devrait vraiment être abandonné au profit de protocoles qui ne transmettent pas votre mot de passe en clair.

Commenté el 18 de Mars, 2010 par Kirill Osenkov
Afficher 2 autres commentaires

Réponses

Trop de publicités?

1voto

eric sorenson avatar
eric sorenson Points 971

Essayez de réduire le MTU du côté émetteur (en fait, les deux côtés en auront probablement besoin). Il se peut qu'un périphérique ne génère pas ou ne transmette pas correctement les paquets de découverte du MTU. Si l'abaissement du MTU à, disons, 1350 sur les deux extrémités résout le problème, alors cherchez à savoir si vous avez des ACL qui bloquent ICMP.

Répondu el 23 de Octobre, 2009 par eric sorenson (971 Points )

0voto

GregD avatar
GregD Points 8703

Il n'y a rien dans la signature 407 qui concerne le FTP. En général, lorsque vous avez des problèmes FTP de ce type, qui commencent puis s'arrêtent, c'est généralement lié à un ftp actif ou passif. Quel client ftp utilisez-vous ? Essayez de passer du mode actif au mode passif sur votre client FTP et voyez si cela peut vous aider.

Dans le cas d'un FTP actif, l'endroit vers lequel vous vous dirigez lance le transfert de données sur un port différent de celui de la requête entrante... c'est pourquoi il est généralement bloqué par votre pare-feu.

Dans le FTP passif, VOUS initiez le transfert de données vers le port différent et cela fonctionne parce que la plupart des pare-feu autorisent tout ce qui sort.

Modifié pour ajouter : Les signatures sont cumulatives. Alors que la mise à jour 407 ne montre rien en rapport avec FTP, toutes les autres mises à jour depuis 95 jours jusqu'à maintenant, pourraient avoir quelque chose. Je ne vais pas rechercher chaque mise à jour pour le découvrir pour vous ;)

Je dois également demander, en raison de vos autres questions à ce sujet ... utilisez-vous les inspections par défaut sur ce 5510 en plus de détourner le trafic vers le module IPS ? Si oui, vous n'en avez pas besoin.

Répondu el 11 de Juin, 2009 par GregD (8703 Points )

0 votes

Avatar de Richard West

Nous utilisons Ipswitch WS_FTP Pro pour le client et nous utilisons des transferts de fichiers passifs. Je trouve que le transfert passif est beaucoup plus convivial pour les pare-feu. D'après le dépannage, il semble que le FTP fonctionne correctement, et comme nous n'avons pas de problèmes avec le FTP vers d'autres clients (qui ne sont pas sur un VPN), cela m'a conduit à regarder davantage du côté du VPN. Suis-je en train de courir après une audience rouge ?

Commenté el 11 de Juin, 2009 par Richard West

0 votes

Avatar de jwarzech

Comme l'a demandé GregD, utilisez-vous les inspections par défaut ?

Commenté el 15 de Juin, 2009 par jwarzech

0voto

August avatar
August Points 3104

Le fait qu'il commence le transfert indique qu'il n'a aucun problème à établir la partie données de la session FTP, ce qui exclut une ACL bloquant la connexion en entrée ou en sortie. L'interruption de la session VPN pendant le transfert d'un gros fichier semble indiquer qu'un IPS intervient sur la connexion (bien que l'on pourrait penser qu'il mettrait simplement fin à la session FTP, mais les actions sont configurables, alors qui sait ?) Si vous pensez que c'est votre IPS qui interrompt la session VPN, vous devriez avoir des journaux à consulter et des alertes IPS si c'est votre IPS qui l'interrompt. Votre IPS fonctionne-t-il en mode promiscuous (essentiellement en mode IDS) ou en mode inline ? Pour autant que je sache, il ne peut pas supprimer le trafic s'il est en mode promiscuous car il ne reçoit qu'une copie du trafic. Puisqu'il a fonctionné sans aucun changement de votre côté jusqu'à présent (autre qu'une mise à jour de la signature), je demanderais au client s'il a changé quelque chose de son côté pour interdire les transferts de fichiers volumineux au-delà d'une certaine taille, d'autant plus que vous avez dit que vous faites du FTP vers d'autres sites sans problème. Si c'est seulement avec ce client, vous pouvez parier que le problème est de leur côté.

Répondu el 10 de Juillet, 2009 par August (3104 Points )

0voto

3molo avatar
3molo Points 4320

Le MTU ou la mise à l'échelle de la fenêtre peuvent en être la cause.

Répondu el 10 de Décembre, 2009 par 3molo (4320 Points )

0voto

djangofan avatar
djangofan Points 4152

Je dirais qu'il ne faut pas utiliser le FTP passif ou actif. Je déteste la nature à double port de FTPS et FTP. A la place, téléchargez Serveur WinSSHD et faire tourner un serveur SFTP sur un seul port : le port 22 . De cette façon, vous n'avez affaire qu'à un seul trou d'épingle.

Connectez-vous à l'aide de Tunnelier client .

Répondu el 22 de Janvier, 2010 par djangofan (4152 Points )

0 votes

Avatar de Richard West

Je ne contrôle pas le serveur. C'est quelque chose dont notre fournisseur a le contrôle.

Commenté el 24 de Janvier, 2010 par Richard West

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X