Firewall Checkpoint ... et FTP

Le
Ascadix
B'soir tout le monde

J'ai un truc qui m'ennui, j'ai besoin de mettre en ligne un FTP, mais le FW
m'emm

Coté FTP, un p'tit FileZilla, monté configuré .. il tourne nickel en LAN et
entre LAN .. et entre un LAN et la DMZ ( depuis un PC qui à full accés vers
la DMZ )

Par contre, dés qu'il s'agit de l'atteindre à travers le FW depuis internet
..ça cafouille en mode PASV.

- la connexion initiale : ok
- login / pwd : ok ( il n'y a pas d'accés anonymous )

et là ..
- en mode PORT ..ça marche, list, get put
- en mode PASV ..le client déconnecte *instantanément* aprés l'envoi de la
commande PASV, or si je regarde la console du serveur, celui-ci à bien
envoyé une réponse PASV avec des valeurs correctes


Je soupçonne fortement un pb dans la config du FW ( un Checkpoint NG )
..sauf que je séche
- il ya une régle
source = ANY --> cible = FTP --> service = FTP
et d'aprés la doc c'est censée être suffisant sur cette génération de FW.
j'ai quand même essayer d'ajouter une régle pour spécifier ma plage de port
pour le PASV ( 10 ..amplement suffisants, les même que configuré dans le
FileZilla) ..mais je cherche encore la nuance entre toutes les variantes de
FTP-xxx dans les options de type de protocol.
faut utiliser quoi ?

l'idée bien sur étant d'ouvrir le moins possible comme d'hab quoi :-)

Merci d'avance pour les infos, pistes, sugestions ..ou mieux ..solutions :-)


--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Denis Cil
Le #866271
Ascadix le 31 mai 2007 a déposé dans les nouilles:

B'soir tout le monde


'soir

Je soupçonne fortement un pb dans la config du FW ( un Checkpoint NG )
..sauf que je séche
- il ya une régle ...
source = ANY --> cible = FTP --> service = FTP
et d'aprés la doc c'est censée être suffisant sur cette génération de
FW. j'ai quand même essayer d'ajouter une régle pour spécifier ma
plage de port pour le PASV ( 10 ..amplement suffisants, les même que
configuré dans le FileZilla) ..mais je cherche encore la nuance entre
toutes les variantes de FTP-xxx dans les options de type de protocol.
faut utiliser quoi ?


Il faudrait que je me replonge dans Checkpoint et je n'ai pas envie de me
mouiller
Sinon pour FileZilla, si mes souvenirs son bons :
autoriser entrant tcp 21
autoriser sortant local, en transit, NAT tcp udp depuis 20 <- derrière une
petite boite vivante sur laquelle on doit ouvrir, aussi, le port 20 mode
passif oblige.
autoriser entrant tcp 52000-52010 (au choix, hein :)

l'idée bien sur étant d'ouvrir le moins possible ... comme d'hab quoi
:-)

Merci d'avance pour les infos, pistes, sugestions ..ou mieux
..solutions :-)


:-)



--
Denis

fredoche
Le #866270
pour le ftp; il faut bien pensée qu'il y a un port pour les commandes et
un port pour le transfert de données (port 20 et 21).
fredoche
Ascadix
Le #866269
"Ascadix" 465f1277$0$25908$
B'soir tout le monde

J'ai un truc qui m'ennui, j'ai besoin de mettre en ligne un FTP, mais le
FW m'emm...

Coté FTP, un p'tit FileZilla, monté configuré .. il tourne nickel en LAN
et entre LAN .. et entre un LAN et la DMZ ( depuis un PC qui à full accés
vers la DMZ )

Par contre, dés qu'il s'agit de l'atteindre à travers le FW depuis
internet ..ça cafouille en mode PASV.

- la connexion initiale : ok
- login / pwd : ok ( il n'y a pas d'accés anonymous )

et là ..
- en mode PORT ..ça marche, list, get put ...
- en mode PASV ..le client déconnecte *instantanément* aprés l'envoi de la
commande PASV, or si je regarde la console du serveur, celui-ci à bien
envoyé une réponse PASV avec des valeurs correctes


Je soupçonne fortement un pb dans la config du FW ( un Checkpoint NG )
..sauf que je séche
- il ya une régle ...
source = ANY --> cible = FTP --> service = FTP
et d'aprés la doc c'est censée être suffisant sur cette génération de FW.
j'ai quand même essayer d'ajouter une régle pour spécifier ma plage de
port pour le PASV ( 10 ..amplement suffisants, les même que configuré dans
le FileZilla) ..mais je cherche encore la nuance entre toutes les
variantes de FTP-xxx dans les options de type de protocol.
faut utiliser quoi ?

l'idée bien sur étant d'ouvrir le moins possible ... comme d'hab quoi :-)

Merci d'avance pour les infos, pistes, sugestions ..ou mieux ..solutions
:-)




Bon ..après plusieurs essais, le problème est mieux cerné ...

c'est le module SmartDefense qui bloque les connexions en mode PASV, si je
désactive l'option de protection "FTP Bounce", plus de pb ça marche nickel.
( il continue de logger le "pb" mais il laisse passer )

par contre je n'arrive pas à "décoder" le message dans les logs ni à voir à
quoi ça correspond.

entre le client et le serveur, ça coupe immédiatement après l'envoi de la
commande PASV par le client

sur le chkpoint, le log m'indique que SmartDefense à bloqué une connexion

* Attack name : FTP Bounce
* Attack Info : IP adress mismatch in PORT/227 command - header IP different
from command IP
* service : ftp (21)
* source : X.X.X.X. ( = adresse IP du client sur internet )
* cible : X.X.X.X ( = adresse publique de mon FTP )
* source port : 4936


est-ce que ya un costaud en checkpoint qui saurait m'aider sur ce coup-là
..j'aimerais bien conserver le SmartDefense complet ..mais avoir mon FTP qui
marche.

NB: il y a déjà un autre FTP sur cette DMZ, et lui marche sans que chkpoint
ne râle, c'est un proftpd.

Merci


--
A+
Ascadix

Ascadix
Le #866268
fredoche viens de tapoter sur son clavier ....

pour le ftp; il faut bien pensée qu'il y a un port pour les commandes
et un port pour le transfert de données (port 20 et 21).
fredoche


Oui, mais là das ce cas particulier de ce FW, la doc ( si j'ai bien tout
compris.) indique que dès lors que l'ondéclare un serveur comme "servant" du
FTP via une régle "FTP" ( régle conteant le port de base - 21, mais aussi al
déclaration que ce qui passe dessus doit être du protocole FTP et pas
unautre protocol qqconque envoyé sur le port 21 ) toutes les ouvertures de
ports nécessaires , aussi bien en mode PORT qu'en mode PASV sont implicites.

Et effectivement ça marche ..presque.

Toutes les ouvertures de port sont effectivemnt faites dynamiquement snas pb
en mode PORt ou PASV

Le pb c'est un module annexe sur le FW CheckPoint, le "SmartDefense" censé
(si j'ai bien compris) analyser un peu plus en profondeur les protocoles et
bloquer les trames malformatées et autres attaques basées sur des
"détournements" ou "malformations" de trames?

Le pb c'est que ce module semble ne pas apprécier qqchose entre mon client
et mon serveur FTP ..et il coupe brutalement la connexion dés que un client
tente de passer en PASV.

Si je désactive ce module "SmartDefense", plus de pb pour le FTP.

Donc, si qqun si connais un CheckPoint "SmartDefense" et peut me donner des
infos sur ce "bug ?" ou sur le réglage que j'aurais oublié qqpart, ça
m'arrangerais drolement.


--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.

Pascal Hambourg
Le #866267
Salut,


c'est le module SmartDefense qui bloque les connexions en mode PASV, si
je désactive l'option de protection "FTP Bounce", plus de pb ça marche
nickel. ( il continue de logger le "pb" mais il laisse passer )

entre le client et le serveur, ça coupe immédiatement après l'envoi de
la commande PASV par le client

sur le chkpoint, le log m'indique que SmartDefense à bloqué une connexion

* Attack name : FTP Bounce
* Attack Info : IP adress mismatch in PORT/227 command - header IP
different from command IP
* service : ftp (21)
* source : X.X.X.X. ( = adresse IP du client sur internet )
* cible : X.X.X.X ( = adresse publique de mon FTP )
* source port : 4936


C'est louche, ton affaire.
Tu parles du mode PASV. Cette commande, envoyée par le client, ne
contient pas de paramètres, ce n'est donc pas elle qui déclenche
l'erreur. En revanche la réponse du serveur à cette commande contient
l'adresse et le port du serveur auxquels le client doit se connecter
pour établir la connexion de donnée en mode passif. On pourrait
envisager que c'est quelque chose dans la réponse du serveur,
éventuellement à cause d'une mauvaise configuration du mode passif du
serveur, qui déclenche la fermeture de la connexion. Mais le log que tu
cites fait état d'une commande PORT envoyée par le client (contenant
l'adresse et le port du client auquel le serveur doit se connecter pour
établir la connexion de données en mode actif), non d'une réponse du
serveur à une commande PASV. D'un autre côté le 227 ressemble plutôt au
code résultat d'une réponse à une commande PASV... J'y perds mon latin...

Denis Cil
Le #866094
fredoche le 01 juin 2007 a déposé dans les nouilles:

pour le ftp; il faut bien pensée qu'il y a un port pour les commandes et
un port pour le transfert de données (port 20 et 21).


Oui, FTP_DATA.



--
Denis

Denis Cil
Le #866093
Ascadix le 01 juin 2007 a déposé dans les nouilles:




Bon ..après plusieurs essais, le problème est mieux cerné ...

c'est le module SmartDefense qui bloque les connexions en mode PASV,
si je désactive l'option de protection "FTP Bounce", plus de pb ça
marche nickel. ( il continue de logger le "pb" mais il laisse passer )

par contre je n'arrive pas à "décoder" le message dans les logs ni à
voir à quoi ça correspond.

entre le client et le serveur, ça coupe immédiatement après l'envoi de
la commande PASV par le client

sur le chkpoint, le log m'indique que SmartDefense à bloqué une
connexion

* Attack name : FTP Bounce
* Attack Info : IP adress mismatch in PORT/227 command - header IP
different from command IP
* service : ftp (21)
* source : X.X.X.X. ( = adresse IP du client sur internet )
* cible : X.X.X.X ( = adresse publique de mon FTP )
* source port : 4936


est-ce que ya un costaud en checkpoint qui saurait m'aider sur ce
coup-là ..j'aimerais bien conserver le SmartDefense complet ..mais
avoir mon FTP qui marche.

NB: il y a déjà un autre FTP sur cette DMZ, et lui marche sans que
chkpoint ne râle, c'est un proftpd.

Merci


Tu as essayé ça :

If you have SmartDefense on your Checkpoint Firewall, check the under
Application Intelligence for FTP bounce and FTP Security Server
settings....
Login to smart dashboard
Manage->Services
Select ftp
Choose edit
Click advanced button
From protocol type drop down box choose FTP_BASIC Install policy

From CheckPoint's FW-1 Datasheet

FTP_BASIC Protocol Type
FTP_BASIC is a new protocol type. This protocol type enforces a reduced
set of the FTP security checks done by the regular FTP protocol type.
Using FTP_BASIC eliminates known connectivity problems with FTP
implementations that are not fully RFC compliant. The following checks
are NOT enforced by FTP_BASIC, and are enforced by the FTP protocol
type:
* That every packet is terminated with a newline character, so that the
PORT command is not split across packets. This protects against the FTP
Bounce attack.
* Data connections to or from well-known ports are not allowed, to
prevent the FTP data connection being used to access some other service.
* Bidirectional traffic on the data connection is not allowed, as it can
be used improperly

Moins sécure mais, hmha, ça devrait marcher.


--
Denis

Ascadix
Le #866092
Pascal Hambourg viens de tapoter sur son clavier ....

Salut,


c'est le module SmartDefense qui bloque les connexions en mode PASV,
si je désactive l'option de protection "FTP Bounce", plus de pb ça
marche nickel. ( il continue de logger le "pb" mais il laisse passer
) entre le client et le serveur, ça coupe immédiatement après l'envoi
de la commande PASV par le client

sur le chkpoint, le log m'indique que SmartDefense à bloqué une
connexion * Attack name : FTP Bounce
* Attack Info : IP adress mismatch in PORT/227 command - header IP
different from command IP
* service : ftp (21)
* source : X.X.X.X. ( = adresse IP du client sur internet )
* cible : X.X.X.X ( = adresse publique de mon FTP )
* source port : 4936


C'est louche, ton affaire.
Tu parles du mode PASV. Cette commande, envoyée par le client, ne
contient pas de paramètres, ce n'est donc pas elle qui déclenche
l'erreur.


à priori non, car le serveur recçoit bien la commande et y répond, donc le
FW ne bloque pas cette commande

En revanche la réponse du serveur à cette commande contient
l'adresse et le port du serveur auxquels le client doit se connecter
pour établir la connexion de donnée en mode passif. On pourrait
envisager que c'est quelque chose dans la réponse du serveur,
éventuellement à cause d'une mauvaise configuration du mode passif du
serveur, qui déclenche la fermeture de la connexion.


C'est aussi ce qu'il me semble, au niveau du log serveur , la derniere ligne
avant déconnexion c'est l'envoi de " 227 Entering Passive Mode
(x,x,x,x,215,36) " ( et les valeurs loguées me semblent correctes, bonne IP
publique, bon port dans la plage ouverte pour ça )
par contre coté client je ne reçoit jamais cette info, ça déconnecte.
et le FW log à ce moment là une "attaque" "FTP Bounce" et indique qu'il à
coupé la connection

Mais le log que
tu cites fait état d'une commande PORT envoyée par le client


Je cite la ligne dans le log du FW, mais si je compare à mes logs
clients/serveur FTP, il n'y a pas eu de commande PORT à ce moment, juste une
commande PASV et sa réponse

(contenant l'adresse et le port du client auquel le serveur doit se
connecter pour établir la connexion de données en mode actif), non
d'une réponse du serveur à une commande PASV. D'un autre côté le 227
ressemble plutôt au code résultat d'une réponse à une commande
PASV... J'y perds mon latin...


Moi itou ..c'est bien pour ça que je fouille ici ( entre autre )

Si au moin je comprenais ce que ça veut dire en clair ce log "IP mismatch
header / command ..", mais je trouve que dalle dans les docs chkpoint


--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.


Ascadix
Le #866091
Denis Cil viens de tapoter sur son clavier ....

Ascadix le 01 juin 2007 a déposé dans les nouilles:




Bon ..après plusieurs essais, le problème est mieux cerné ...

c'est le module SmartDefense qui bloque les connexions en mode PASV,
si je désactive l'option de protection "FTP Bounce", plus de pb ça
marche nickel. ( il continue de logger le "pb" mais il laisse passer
)

par contre je n'arrive pas à "décoder" le message dans les logs ni à
voir à quoi ça correspond.

entre le client et le serveur, ça coupe immédiatement après l'envoi
de la commande PASV par le client

sur le chkpoint, le log m'indique que SmartDefense à bloqué une
connexion

* Attack name : FTP Bounce
* Attack Info : IP adress mismatch in PORT/227 command - header IP
different from command IP
* service : ftp (21)
* source : X.X.X.X. ( = adresse IP du client sur internet )
* cible : X.X.X.X ( = adresse publique de mon FTP )
* source port : 4936


est-ce que ya un costaud en checkpoint qui saurait m'aider sur ce
coup-là ..j'aimerais bien conserver le SmartDefense complet ..mais
avoir mon FTP qui marche.

NB: il y a déjà un autre FTP sur cette DMZ, et lui marche sans que
chkpoint ne râle, c'est un proftpd.

Merci


Tu as essayé ça :

If you have SmartDefense on your Checkpoint Firewall, check the under
Application Intelligence for FTP bounce and FTP Security Server
settings....
Login to smart dashboard
Manage->Services
Select ftp
Choose edit
Click advanced button
From protocol type drop down box choose FTP_BASIC Install policy

From CheckPoint's FW-1 Datasheet

FTP_BASIC Protocol Type
FTP_BASIC is a new protocol type. This protocol type enforces a
reduced set of the FTP security checks done by the regular FTP
protocol type. Using FTP_BASIC eliminates known connectivity problems
with FTP implementations that are not fully RFC compliant. The
following checks are NOT enforced by FTP_BASIC, and are enforced by
the FTP protocol type:
* That every packet is terminated with a newline character, so that
the PORT command is not split across packets. This protects against
the FTP Bounce attack.
* Data connections to or from well-known ports are not allowed, to
prevent the FTP data connection being used to access some other
service. * Bidirectional traffic on the data connection is not
allowed, as it can be used improperly

Moins sécure mais, hmha, ça devrait marcher.


J'ai déjà essayé, même résultat,

Le seul truc pour l'instant qui marche, c'est de désactiver l'option
"protection FTP Bounce" dans le module SmartDefense

Mais j'aimerais bien comprendre ce qui le fait tilter, parceuqe vu du coté
purement FTP, le client et le serveur n'ont eu aucun pb à communiquer.

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.


Nina Popravka
Le #866090
On 02 Jun 2007 16:03:19 GMT, "Ascadix"
Si au moin je comprenais ce que ça veut dire en clair ce log "IP mismatch
header / command ..", mais je trouve que dalle dans les docs chkpoint


Ton client est derrière du NAT ?
--
Nina

Publicité
Poster une réponse
Anonyme