Jump to content
Sign in to follow this  
1000dinge

fixup protokol tftp, PIX 525 V6.3(5)

Recommended Posts

Guten Morgen,

 

bei dem Update von 6.3.1 auf 6.3.5 (PIX 525) wurde automatisch die Zeile "fixup protokoll tftp" in die Config eingefügt (hatten wir vorher garnicht drin). Seit dem kommen wir nicht mehr von den Routern hinter der Firewall an unseren TFTP-Server auf der anderen Seite (zur Konfigurationssicherung).

 

Bevor ich die Zeile jetzt einfach wieder rausnehme: kann mir jemand genauer erklären, was diese Zeile bewirkt? Aus der Command-Reference wird mir das nicht richtig klar, bzw. sehe ich dort nicht, was problematisch sein könnte.

 

Ach ja, kein NAT, PAT oder VPN. Auch haben wir keine Änderungen am Regelsatz vorgenommen.

 

Danke und Gruß,

Oliver

Share this post


Link to post
Share on other sites

fixup protocol tftp

 

PIX Firewall Version 6.3(2) introduced application inspection for Trivial File Transfer Protocol (TFTP). The default port is 69. Use the port-port option to apply TFTP application inspection to a range of port numbers.

 

The PIX Firewall inspects TFTP traffic and dynamically creates connections and translations, if necessary, to permit file transfer between a TFTP client and server with the fixup protocol tftp command. Specifically, the fixup inspects TFTP read request (RRQ), write request (WRQ), and error notification (ERROR).

 

A dynamic secondary channel and a PAT translation, if necessary, are allocated on a reception of a valid read (RRQ) or write (WRQ) request. This secondary channel is subsequently used by TFTP for file transfer or error notification.

 

Only the TFTP server can initiate traffic over the secondary channel, and at most one incomplete secondary channel can exist between the TFTP client and server. An error notification from the server closes the secondary channel.

 

 

http://www.cisco.com/en/US/customer/products/sw/secursw/ps2120/products_command_reference_chapter09186a00801727a8.html#wp1067379

Share this post


Link to post
Share on other sites

Guten Morgen,

 

das hatte ich ja auch gelesen, aber es hilft mir nicht wirklich weiter. Da steht nichts warum das aktivieren des Fixups dafür sorgen könnte, das eine TFTP-Verbindung nicht mehr klappt. Unter 6.3.1 ohne das Fixup ging es noch.

 

Wie gesagt ich kann das Fixup einfach wieder rausnehmen, vielleicht klappt dann TFTP wieder. Aber ich würde nur gerne verstehen was da passiert sein könnte.

 

Danke und Gruß,

Oliver

Share this post


Link to post
Share on other sites

Specifically, the fixup inspects TFTP read request (RRQ), write request (WRQ), and error notification (ERROR).

 

Die PIX schaut in den o.g. requests z.B. nach verdaechtigen Strings und blockt sie. Nach was genau sie sucht weiss ich nicht, koennte mir vorstellen dass z.B. Leerzeichen im Dateinamen auch nicht erlaubt sind ...

Share this post


Link to post
Share on other sites

Hallo,

 

Teste mal ob es wirklich am fixup liegt, dass du nicht mehr hinkommst. Lösche es mal und teste es dann. Bei meiner PIX (501, V6.3(4)) funktioniert tftp mit und auch ohne fixup.

 

lg

martin

Share this post


Link to post
Share on other sites

So,

 

wir haben das fixup protcol tftp rausgenommen und es geht wieder. Verstehen tue ich es nicht, offensichtlich macht die PIX dort wirklich etwas aktives, auch wenn kein NAT, PAT oder VPN im Spiel ist.

 

Aus der Doku geht das meiner Meinung nach nicht hervor. Werde mal unseren Händler fragen.

 

Gruß,

Oliver

Share this post


Link to post
Share on other sites

•DoS prevention—To prevent a host from opening many invalid connections, a secondary channel is not created if there is an existing incomplete connection between the two hosts. This restriction dictates a client can spoof at most one request.

 

•Penetration prevention—When TFTP request a read or write request, a secondary channel must be opened, and traffic using the secondary channel must be initiated from the server. This restriction prevents the client from creating the secondary connection and then using that connection.

 

 

Probier mal einen anderen TFTP Server, deiner verhaelt sich vielleicht "falsch" beim oeffnen des 2ten Channels.

 

 

 

 

 

 

EDIT: Sorry ... hier noch der Quellenverweis:

http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_book09186a0080172852.html

 

Unter Punkt "fixup" stehts.

Share this post


Link to post
Share on other sites

Hi Wordo,

 

:) die Doku hab ich eben auch gefunden. Außerdem habe ich mir noch einmal alle Release Notes seit der 6.3(1) vorgenommen. Mit der 6.3(2) wurde das fixup protocol tftp eingeführt. Dieses Fixup ist By-Default an, seit dem werden die bereits von dir genannten Prüfungen durchgeführt.

 

Jetzt versuche ich einen TFTP-Server zu finden, der auch mit aktiviertem fixup arbeitet. Der tftpd32 und die Kiwi CatTools funktionieren dann nicht mehr. Werde mal einige Andere testen.

 

Welche TFTP-Server setzt ihr so ein?

 

@Martin: Da es bei dir in jedem Fall klappt, würde mich natürlich interessieren welchen Server du einsetzt.

 

Gruß,

Oliver

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...