TMG: externer FTP-Zugriff via SSL funktioniert nicht

Alle Antworten

• 

  

  0

  Anmelden

  moin malhol,

  auf welchen ports wird denn dein ftps angeboten? weil unter umständen reicht die protokolldefinition für ftp hier nicht aus um den zugriff zu kanalisieren.

  was bedeutet du hast den proxy deaktiviert? hast du die vewendung von webproxyclients und tmg-clients auf dem internen netzwerk abgeschaltet oder nur eine regel gebaut, welche keine authentifizierung verlangt?

  ---

  gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

  Donnerstag, 4. November 2010 15:53
• 

  

  0

  Anmelden

  Moin Jens,

  läuft auf dem Standard-Port 21. PASV Mode Connections laufen über eine festgelegte Range im hohen Bereich. Sollten die Ports nicht irrelevant sein, da die von mir erstellte Regel den gesamten Verkehr betrifft und nicht auf festgelegte Protokolle oder Ports festgelegt ist?

  Ich habe über die Webzugriffsrichtlinie den Webproxy deaktiviert (zusätzlich Proxyauthentifizierung nicht erforderlich).

  Donnerstag, 4. November 2010 16:02
• 

  

  0

  Anmelden

  Hi,

  FTPS?
  http://technet.microsoft.com/en-us/library/cc302678.aspx
  http://www.experts-exchange.com/Microsoft/Windows_Security/Q_25970291.html

  ---

  regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

  Donnerstag, 4. November 2010 16:09
• 

  

  0

  Anmelden

  moin malhol,

  schauma hier den blogeintrag an:

  http://blog.forefront-tmg.de/?p=42

  hier geht es zwar um eingehendes ftps, aber ausgehend wird sicherlich die gleiche portrange benötigt. ich bin mir nicht sicher ob der integrierte ftp-filter dies abfängt! du kannst es aber einfach testen, indem du eine passende protokolldefinition anlegst mit der sekundären range (richtung: ausgehend!).

  ich habe bisher selber noch kein ausgehendes ftps auf einem tmg konfiguriert, kann diese frage deshalb atm nur versuchen rein akademisch zu beantworten. die werten kellogs melden sich aber sicherlich noch zu wort!

  ;-)

  ---

  gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

  • Als Antwort markiert malhol Montag, 8. November 2010 10:21

  Donnerstag, 4. November 2010 16:10
• 

  

  0

  Anmelden

  Hi,

  AFAIK faengt der das nicht ab, deswegen muss man(n) am Protokoll patchen

  ---

  regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

  Donnerstag, 4. November 2010 16:25
• 

  

  0

  Anmelden

  Ich habe ein eigenes Protokoll erstellt mit den nötigen Einstellungen (Connection Port, PASV Ports, TCP, ausgehend, FTP-Filter nicht selektiert). Regel von "Intern" nach "Externer FTP". Funktioniert leider nicht.

  Freitag, 5. November 2010 15:11
• 

  

  0

  Anmelden

  ah o.k.

  schade. einen versuch war's wert.

  thx 4 info!

  ---

  gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

  Freitag, 5. November 2010 15:19
• 

  

  0

  Anmelden

  Hi,

  was sagt denn das TMG Realtime Logging?

  ---

  regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

  Freitag, 5. November 2010 19:27
• 

  

  0

  Anmelden

  Dort wird mir nur die initiierte Verbindung sowie die getrennte Verbindung angezeigt. Einen Hinweis auf ein Blocken durch TMG finde ich nicht in der Log.

  Montag, 8. November 2010 09:08
• 

  

  0

  Anmelden

  Hi,

  das ist AFAIK typisch fuer das FTPS Problem. Hatte das bei eingehenden Verbindungen auch des oefteren. Der TMG laesst die Verbindung zu, aber die FTP Aushandlung zwischen dem FTP Client und dem FTP Server hakt.
  Nutzt Du einen FTP Client mit umfangreicher Logausgabe? Dann kannst Du da nochmal reinschauen, wo die Verbindung haengt. Kommt der FTP Client ueber den SSL Handshake hinaus und bleibt dann bei dem LIST Befehl haengen?
  Es schlaegt auch Deine Regel an, wo Du den FTP Filter ausgestellt hast?

  ---

  regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

  • Als Antwort vorgeschlagen Marc.Grote Montag, 8. November 2010 11:28

  Montag, 8. November 2010 09:24
• 

  

  0

  Anmelden

  Für mich schaut es so aus, dass der SSL Handshake fehlschlägt (zumindest via Filezilla, siehe erster Beitrag). Beim Verbinden mit via lftp (Linux FTP-Client) sieht es so aus, dass es, wie du beschrieben hast, beim LIST hakt (siehe unten). Da bin ich mir allerdings nicht sicher, ob der Handshake schon durchgeführt wurde. Evtl muss ich mal Wireshark zur Hilfe nehmen.

  lftp :~> debug
  lftp :~> set ftp:ssl-allow yes
  lftp :~> connect xxx
  ---- Löse Hostadresse auf...
  ---- 1  Adresse gefunden: xxx
  lftp xxx:~> login xxx
  Passwort:
  lftp xxx@xxx:~> ls
  ---- Verbinde mit xxx (xxx) Port 21
  <--- 220 (vsFTPd 2.0.7)
  ---> FEAT
  <--- 211-Features:
  <---  AUTH SSL
  <---  AUTH TLS
  <---  EPRT
  <---  EPSV
  <---  MDTM
  <---  PASV
  <---  PBSZ
  <---  PROT
  <---  REST STREAM
  <---  SIZE
  <---  TVFS
  <---  UTF8
  <--- 211 End
  ---> AUTH TLS
  <--- 234 Proceed with negotiation.
  ---> OPTS UTF8 ON
  »ls« bei 0 [Logge ein...]

   

  ...ab hier passiert nichts mehr bis zum Timeout

  Montag, 8. November 2010 09:40
• 

  

  0

  Anmelden

  Hi, schwer zu sagen. AUTH SSL/TLS, da versucht der Server mit dem Client den SSL Handshake auszufuehren und danach scheint es nicht weiter zu gehen. Du kannst zur Sicherheit mal mit NETSH die IP-Adresse des Client vom Firewallprocessing temporaer ausschliessen (NETSH - TMG - set allowedrange). Funzt es dann?

  ---

  regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

  Montag, 8. November 2010 09:58
• 

  

  0

  Anmelden

  Kurz zur Sicherheit:

  "netsh tmg delete allowedrange <clientip> <clientip>" ausführen, um die IP des internen Clients von allen geltenden Firewallregeln auszuschließen?

  Anschließend Verbindung testen und mit:

  "netsh tmg add allowedrange <clientip> <clientip>" den Client wieder aufnehmen?

  Funktioniert das so?

  Montag, 8. November 2010 10:09
• 

  

  0

  Anmelden

  So es läuft. Ich habe nicht bedacht, dass ich eine zweite Regel vor einigen Monaten erstellt habe, die FTP-Verbindungen nach extern für alle internen Clients zulässt. Anscheinend hat diese Regel auch für die SSL-Verbindung gezogen, d.h. die andere erstellte Regel hatte keinen Einfluss. Nachdem ich den externen Server in die Ausnahmen der anderen FTP-Regel eingetragen habe, funktioniert die Verbindung via SSL. Die SSL-spezifische Regel ist allerdings ebenfalls notwendig, um eine Verbindung aufbauen zu können.

  Besten Dank für die Hilfe :)

  • Als Antwort markiert malhol Montag, 8. November 2010 10:22

  Montag, 8. November 2010 10:21
• 

  

  0

  Anmelden

  Nochmal aus Interesse. Wären die netsh-Befehle, wie oben beschrieben, korrekt gewesen? Wäre für die Zukunft durchaus hilfreich.

  Montag, 8. November 2010 10:23
• 

  

  0

  Anmelden

  Hi,

  standardmaessig hat keine IP/Client unbeschraenkten Zugriff. Also erst mit Allowrange einrichten und nach testen wieder loeschen

  ---

  regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

  Montag, 8. November 2010 11:29
• 

  

  0

  Anmelden

  Hi,

  prima das es funzt. Dann war meine Idee, dass da noch eine andere Regel zuschlaegt gar nicht so falsch :-)

  ---

  regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

  Montag, 8. November 2010 11:30