FTP ACTIF OU FTP PASSIF AVEC UN PARE-FEU EN COUPURE. Table des matières

Transcription

1 FTP ACTIF OU FTP PASSIF AVEC UN PARE-FEU EN COUPURE Table des matières TABLE DES MATIERES... 1 TOPOLOGIE RESEAU UTILISEE DANS CE DOCUMENT... 2 PRINCIPES DE FTP... 3 Le mode FTP actif... 3 Le mode FTP passif... 5 Synthèse... 7 MISE EN PLACE DE L ATELIER DE TESTS... 7 Page 1 sur 7 Version du 08/07/2013

2 Topologie réseau utilisée dans ce document eth /24 PARE FEU eth1(ip PUBLIQUE ) /16 BOX (IP PUBLIQUE) /16 CLIENT FTP LOCAL /24 eth /24 Internet SERVEUR FTP /24 CLIENT FTP DISTANT IP PRIVEE NB : Les adresses IP publiques présentées ici ont été choisies au hasard pour les besoins de la présentation. Page 2 sur 7 Version du 08/07/2013

3 Principes de FTP Le mode FTP actif Il s agit du mode par défaut en FTP. Le serveur FTP est en écoute sur le port 21 (par défaut). Le client initie une session FTP vers le serveur. La connexion active ainsi créée entre les 2 sockets est nommée canal de contrôle. L exemple illustre une connexion depuis le LAN vers le serveur en DMZ, passant par le pare-feu sans aucun mécanisme de translation. Outre les informations apparaissant sur le schéma, les informations initiales que le client envoie au serveur sur le canal de contrôle sont les suivantes : Identifiant Mot de passe Lorsque le serveur a accepté la connexion (après vérification des données d authentification), si le client souhaite lancer un téléchargement, il précise au serveur un numéro de port dynamique avec la commande : PORT(w,x,y,z,p1,p2) w.x.y.z est l adresse IP du client. Le port ouvert est calculé selon la formule (p1 x p2) avec p1 et p2 compris entre 0 et 255. Ce port dynamique côté client (donc dans la socket client) est le port sur lequel le serveur initiera une session secondaire (avec le port source n 20). La connexion active ainsi créée entre les 2 sockets est nommée canal de données. Dans l exemple ci-contre (un extrait de dialogue capturé sur un client FTP), le client a envoyé la commande : PORT 192,168,10,200,33,189 Le numéro de port d écoute de la socket client est donc (33 x ) = La page suivante permet de vérifier les informations données par un monitoring sur ces connexions actives dans le pare-feu. Le schéma faisant apparaître le canal de données est également détaillé. Page 3 sur 7 Version du 08/07/2013

4 Voici la connexion active vue par le pare-feu en coupure sur le canal de contrôle : Voici la connexion active vue par le pare-feu en coupure sur le canal de données : Dès lors que le transfert de données est terminé, le canal de données est fermé (il va disparaître des connexions actives). Si le client souhaite effectuer un nouveau téléchargement, il donnera par la commande PORT les détails de sa nouvelle socket dynamique en écoute. Lorsque le client FTP se situe derrière un routeur effectuant de la translation d adresse (NAT) et/ou de port (PAT), il est aisément compréhensible que le mode actif vu ici va poser un problème : le client indique effectivement un port dynamique correspondant à sa socket sur le canal de données, mais l adresse et le port de cette socket vont être translatées par son routeur. Dans ce cas, il faudra utiliser le mode FTP passif pour un fonctionnement correct. Page 4 sur 7 Version du 08/07/2013

5 Le mode FTP passif Pour illustrer le fonctionnement de ce mode, le client FTP choisi sera le client FTP distant situé derrière une box quelque part sur Internet, sachant que le logiciel client FTP a été configuré pour utiliser le mode passif. Cette fois, le pare-feu effectue une translation de type redirection des flux arrivant sur son interface publique pour le port 21. Le parefeu ne voit pas l'adresse et le port privés du client qui sont également masqués par translation (faite par la box). Dans le mode passif, le client est à l initiative des connexions actives (y compris pour ouvrir le canal de contrôle). La première partie du processus est identique au précédent, mais le serveur FTP de destination se trouvant dans une DMZ dont l adressage est privé, le pare-feu effectue une translation de type redirection (les flux arrivant sur l IP publique et sur le port public choisis vont être redirigés vers le serveur en DMZ (sur son IP / port privés). Lorsque le serveur a accepté la connexion (après vérification des données d authentification), le client envoie la commande PASV pour préciser qu il fonctionne en mode passif. L extrait du dialogue entre le client FTP et le serveur ci-contre, illustre que c est alors le serveur qui répond par une commande de type PORT (88,88,88,88,39,16) afin de donner le port côté serveur qui sera utilisé dans le canal de données. Le port public du serveur sur le canal de données est donc (39 x ) = La page suivante fournit les schémas afférents. Page 5 sur 7 Version du 08/07/2013

6 Voici la connexion active vue par le pare-feu en coupure sur le canal de contrôle : Voici la connexion active vue par le pare-feu en coupure sur le canal de données : L examen attentif de la connexion active sur le canal de données ci-contre précise un port de destination de 10001! Alors que sur la page précédente, le calcul donnait le port Pourquoi? La réponse est simple : le port a été utilisé pour lister le contenu du dossier présent sur le serveur FTP et accessible au client. Cette connexion sur le canal de données, comme dit au préalable, est refermée dès le transfert d informations sur le répertoire terminé. Or la capture ci-contre est relative au téléchargement d un fichier, c est-à-dire à une nouvelle connexion active ouverte (donc à un nouveau port dynamique d écoute côté serveur), juste après le listage du contenu de dossier. Page 6 sur 7 Version du 08/07/2013

7 Synthèse Lorsqu un client FTP est situé derrière un routeur effectuant de la translation d adresses et de ports, l utilisation du mode passif est obligatoire. C est le client qui va alors préciser au serveur son mode de fonctionnement. Le mode actif est le mode par défaut car son fonctionnement est plus simple (donc plus rapide), il est approprié pour les clients FTP ne subissant pas de translation. D un point de vue sécurité, un serveur FTP ne sera généralement pas accessible depuis l Internet sans un minimum de précautions, par exemple l utilisation du protocole FTP sécurisé (FTPS) ou le passage par un tunnel VPN depuis le poste client, avant l échange de données. FTP utilise deux canaux pour fonctionner correctement : un canal de contrôle ouvert tant que le client utilise son logiciel client FTP et un canal de données qui s ouvre dynamiquement pour l envoi de données et qui se referme dès cet envoi terminé. Mise en place de l atelier de tests Les tests effectués sont reproductibles en adaptant l adressage IP à votre réseau et en disposant d un pare-feu matériel. Le pare-feu logiciel installé sur les postes clients doit évidemment autoriser votre logiciel client FTP pour les 2 canaux de connexion (le canal de contrôle et le canal de données). Les logiciels clients FTP permettent de choisir entre le mode actif ou le mode passif. Certains commencent même dans un mode actif, et, en cas d échec pour établir une connexion de données avec ce mode, basculent automatiquement sur le mode passif. En ce qui concerne la configuration du pare-feu, elle est très variable en fonction de la marque de ce dernier, mais la compréhension des mécanismes décrits dans ce document vous facilitera grandement la tâche. Page 7 sur 7 Version du 08/07/2013