FTP ALG
El protocolo de transferencia de archivos es un método ampliamente utilizado para intercambiar archivos a través de redes IP. La ALG FTP monitorea puertos, PASV y 227 comandos. Realiza un TDR en el IP, el puerto o en la abertura del mensaje y la puerta del dispositivo según sea necesario.
Descripción general de ALG FTP
El protocolo de transferencia de archivos (FTP) es un método comúnmente utilizado para intercambiar archivos a través de redes IP. Además de la conexión de control principal, también se realizan conexiones de datos para cualquier transferencia de datos entre el cliente y el servidor; y el host, el puerto y la dirección se negocian a través del canal de control.
Para ftp en modo activo, el servicio de firewall de estado de Junos OS analiza los datos de la aplicación de cliente a servidor para el comando PORT, el cual proporciona la dirección IP y el número de puerto al que se conecta el servidor. Para FTP en modo pasivo, el servicio de firewall con estado de Junos OS analiza los datos de la aplicación de cliente a servidor en busca del comando PASV y, luego, analiza las respuestas de servidor a cliente para la respuesta 227, la cual contiene la dirección IP y el número de puerto a los que se conecta el cliente.
FTP representa las direcciones y los números de puerto en ASCII. Como resultado, cuando se reescriban las direcciones y los puertos, es posible que cambie el número de secuencia TCP y, a partir de ahí, el servicio TDR debe mantener este diferencial en números SEQ y ACK mediante la realización de TDR de secuencia en todos los paquetes subsiguientes.
La ALG FTP admite lo siguiente:
Asigna de forma automática puertos de datos y permisos de firewall para la conexión dinámica de datos
Monitorea la conexión de control en los modos activo y pasivo
Reescritura los paquetes de control con la información TDR dirección e información de puerto adecuadas
Traducción de direcciones de red, traducción de protocolo (TDR-PT)
capa de transporte Seguridad privada (TLS) como mecanismo de seguridad
ALG FTP IPv6 para enrutamiento
Las solicitudes de PUERTO/PASV y las respuestas correspondientes 200/227 en FTP se utilizan para anunciar el puerto TCP, al que el host escucha para la conexión de datos FTP.
Para estas solicitudes y respuestas se utilizan los comandos EPRT/EPSV/229. FTP ALG ya es compatible con EPRT/EPSV/229, pero solo para direcciones IPv4.
En Junos OS versión 10.4, se actualizaron los comandos EPRT/EPSV/229 para admitir direcciones IPv4 e IPv6.
FTP ALG utiliza objcaching preasignado para almacenar sus cookies de sesión. Cuando se admiten direcciones IPv4 e IPv6 en ALG FTP, la estructura de cookies de sesión se ampliará en 256 bits (32 bytes) para almacenar la dirección IPv6.
Compatibilidad con ALG FTP para IPv6
La ALG FTP monitorea los comandos y respuestas en el canal de control FTP para obtener corrección sintética y abre los orificios correspondientes para permitir que se establezcan conexiones de canal de datos. En Junos OS versión 10.4, el ALG FTP admite enrutamiento IPv4, enrutamiento IPv6 y solo TDR modo. En Junos OS versión 11.2 y versiones posteriores, EL ALG FTP también es compatible con los modos IPv6 TDR y TDR-PT..
Descripción de los comandos FTP
La ALG FTP monitorea los comandos y respuestas en el canal de control FTP para obtener corrección sintética y abre los orificios correspondientes para permitir que se establezcan conexiones de canal de datos. En Junos OS versión 10.4, el ALG FTP admite enrutamiento IPv4 y TDR modo de enrutamiento, y solo en modo de enrutamiento IPv6. En Junos OS versión 11.2 y versiones posteriores, EL ALG FTP también es compatible con los modos IPv6 TDR y TDR-PT.
Comando PORT
El comando PORT se usa en modo FTP activo. El comando PORT especifica la dirección y el número de puerto con el que se debe conectar un servidor. Cuando use este comando, el argumento es una concatenación de una dirección de host de Internet de 32 bits y una dirección de puerto TCP de 16 bits. La información de dirección se divide en campos de 8 bits y el valor de cada campo se transmite como un número hexadecimal (en la representación de cadena de caracteres). Los campos están separados por comillas.
El siguiente es un comando PORT de ejemplo, en el que h1 es el orden más alto de 8 bits de la dirección de host de Internet:
PUERTO h1,h2,h3,h4,p1,p2
Comando PASV
El comando PASV solicita a un servidor que escuche en un puerto de datos que no sea el puerto de datos predeterminado del servidor y que espere una conexión en lugar de iniciar otra conexión. La respuesta al comando PASV incluye la dirección de host y de puerto que el servidor está oyendo.
Comandos FTP extendidos
Los comandos FTP extendidos proporcionan un método mediante el cual FTP puede comunicar la información del punto de conexión de datos para protocolos de red distintos de IPv4. Los comandos FTP extendidos se especifican en la RFC 2428. En rfc 2428, los comandos FTP extendidos EPRT y EPSV, sustituyen los comandos FTP PORT y PASV, respectivamente.
Comando EPRT
El comando EPRT permite la especificación de una dirección extendida para la conexión de datos. La dirección extendida debe estar compuesta por el protocolo de red, así como por las direcciones de red y de transporte.
El formato de EPRT es:
EPRT<space><d><net-prt><d><net-addr><d><tcp-port><d>
Parámetro |
Descripción |
|---|---|
net-prt |
Un número de familia de direcciones definido por AANI. |
net-addr |
Una cadena específica de protocolo de la dirección de red. |
tcp-port |
Número de puerto TCP en el que el host está oyendo la conexión de datos. |
Delimitador |
El carácter de delimitador debe ser uno de los caracteres ASCII en el intervalo de 33 a 126 inclusivos. El carácter "|" (ASCII 124) se recomienda. |
El siguiente comando muestra cómo especificar el servidor para usar una dirección IPv4 para abrir una conexión de datos para alojar 132.235.1.2 en el puerto TCP 6275:
|1|132.235.1.2|6275|
El siguiente comando muestra cómo especificar el servidor para usar un protocolo de red IPv6 y una dirección de red para abrir una conexión de datos TCP en el puerto 5282:
EPRT |2|1080::8:800:200 C:417A|5282|
En este modo, ALG FTP solo se enfoca en el comando EPRT; extrae la dirección IPv6 y el puerto del comando EPRT y abre el sondeo.
modo EPSV
El comando EPSV solicita que un servidor escuche en un puerto de datos y espere una conexión. La respuesta a este comando solo incluye el número de puerto TCP de la conexión de escucha.
Una cadena de respuesta de ejemplo es la siguiente:
Entering Extended Passive Mode (|||6446|)
El código de respuesta para entrar en el modo pasivo mediante una dirección extendida debe ser 229. Debe extraer el puerto TCP en 229 cargas y usarla para abrir la clavija.
Ejemplo: configurar el ALG FTP
En este ejemplo, se muestra cómo configurar el TDR-PT para ALG FTP.
Requisitos
Antes de comenzar:
Configure ARP de proxy para todas las direcciones IP del grupo TDR origen.
Comprenda los conceptos de ALG para FTP. Consulte Descripción general de FTP ALG.
Visión general
En este ejemplo, ALG para FTP está configurado para supervisar y permitir el intercambio de tráfico FTP entre los clientes y el servidor ubicado en los lados opuestos de un Juniper Networks dispositivo.
En este ejemplo, se muestra cómo configurar el TDR-PT para ALG FTP.
Configuración
- Configurar un conjunto de TDR de origen, TDR estático y un conjunto de reglas
- Configuración de la extensión de seguridad DE ALG FTP
Configurar un grupo de TDR de origen, un TDR estático y un conjunto de reglas
CLI configuración rápida
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.
set security nat static rule-set rs1 from zone untrust set security nat source rule-set rs-source to zone trust set security nat source rule-set rs-source rule src-nat match source-address 3333::130/128 set security nat source rule-set rs-source rule src-nat match destination-address 40.0.0.211/32 set security nat source rule-set rs-source rule src-nat then source-nat interface set security nat static rule-set rs2 from zone untrust set security nat static rule-set rs2 rule r2 match destination-address 4444::141/128 set security nat static rule-set rs2 rule r2 then static-nat prefix 40.0.0.211/32
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en CLI usuario.
Para configurar un grupo de TDR origen:
Cree un conjunto de reglas TDR, estática TDR y una interfaz TDR origen.
[edit ] user@host# set security nat source rule-set rs-source from zone untrust user@host# set security nat source rule-set rs-source to zone trust user@host# set security nat source rule-set rs-source rule src-nat match source-address 3333::130/128 user@host# set security nat source rule-set rs-source rule src-nat match destination-address 40.0.0.211/32 user@host# set security nat source rule-set rs-source rule src-nat then source-nat interface user@host# set security nat static rule-set rs2 from zone untrust user@host# set security nat static rule-set rs2 rule r2 match destination-address 4444::141/128 user@host# set security nat static rule-set rs2 rule r2 then static-nat prefix 40.0.0.211/32
Asocie la aplicación TDR-PT mediante una política.
[edit] user@host# set security policies from-zone trust to-zone untrust policy ftp-basic match source-address any user@host# set security policies from-zone trust to-zone untrust policy ftp-basic match destination-address any user@host# set security policies from-zone trust to-zone untrust policy ftp-basic match application junos-ftp user@host# set security policies from-zone trust to-zone untrust policy ftp-basic then permit
Resultados
Desde el modo de configuración, escriba el comando para confirmar su show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show security nat
static {
rule-set rs2 {
from zone untrust;
rule r2 {
match {
destination-address 4444::141/128;
}
then {
static-nat {
prefix {
40.0.0.211/32
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone untrust to-zone trust {
policy ftp-basic {
match {
source-address any;
destination-address any;
application [ junos-ping junos-mgcp junos-ftp junos-rsh junos-h323 ];
}
then {
permit;
}
}
}
default-policy {
permit-all;
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar el conjunto de TDR de origen, TDR conjunto de reglas de grupo estático
- Verificación de ALG FTP
Verificar el conjunto de TDR de origen, TDR conjunto de reglas de grupo estático
Propósito
Compruebe que el conjunto TDR origen y el conjunto de reglas utilizados para admitir ALG FTP funcionen correctamente.
Acción
Desde el modo operativo, escriba el show configuration security nat comando.
Verificación de ALG FTP
Propósito
Compruebe que FTP ALG está habilitado.
Acción
Desde el modo operativo, escriba el show security alg status comando.
user@host> show security alg status FTP : Enabled
Significado
El resultado muestra el estado de ALG FTP de la siguiente manera:
Habilitado: muestra que la ALG FTP está habilitada.
Deshabilitado: muestra que la ALG FTP está deshabilitada.
La ALG FTP está habilitada de forma predeterminada.