Cisco FWSM-> ASA 업그레이드로 메일 서버가 무너졌습니다.

유니 코드 아시아 문자가 포함 된 메일을 WAN 반대편의 메일 서버로 보냅니다. 2.3 (2)를 실행하는 FWSM에서 8.2 (5)를 실행하는 ASA5550으로 업그레이드 한 직후 유니 코드가 포함 된 메일 작업에 실패했습니다 Base64로 인코딩 된 다른 텍스트

ASA의 패킷 캡처 유틸리티를 사용하여 ASA를 떠나기 전후에 트래픽을 포착했습니다.

access-list PCAP line 1 extended permit tcp any host 192.0.2.25 eq 25
capture pcap_inside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface inside
capture pcap_outside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface WAN

나는로 이동하여 ASA에서 pcaps 다운로드 https://<fw_addr>/pcap_inside/pcap및 https://<fw_addr>/pcap_outside/pcapI Wireshark는이> 후속 TCP 스트림, 내부 트래픽이 같은 ASA의 외모에가는 그들을 보았을 때 ...

EHLO metabike

AUTH LOGIN

YzFwbUlciXNlck==

cZUplCVyXzRw

그러나 외부 인터페이스에 ASA를 남기는 동일한 메일은 다음과 같습니다.

EHLO metabike

AUTH LOGIN

YzFwbUlciXNlck==

XXXXXXXXXXXX

XXXX 문자는 다음과 관련되어 있습니다. ESMTP 검사를 비활성화하여 문제를 해결했습니다.

wan-fw1(config)# policy-map global_policy

wan-fw1(config-pmap)# class inspection_default

wan-fw1(config-pmap-c)# no inspect esmtp

wan-fw1(config-pmap-c)# end

5 달러짜리 질문 ... 우리의 기존 FWSM은 문제없이 SMTP 픽스 업을 사용했습니다 ... 우리가 새로운 ASA를 온라인으로 가져 오는 순간에 메일이 다운되었습니다.이 메일을 깰 ASA와 다른 점은 무엇입니까?

참고 : 사용자 이름 / 비밀번호 / 앱 이름이 변경되었습니다 ...이 텍스트를 Base64 디코딩하려고하지 마십시오.

해당 사용자 이름의 '실제'버전에 UTF-8 문자가 있습니까 (디코딩 후)? 검사가 시작되면 특정 라인을 선택한 이유가 있다고 생각합니다.

그러나 아마도 아닐 수도 있습니다. 검사 기능은 IPS보다 혼돈 원숭이와 더 유사합니다. 개인적으로, 검사 기능이 실제로 제공 한 것은 두통 (완전히 유효한 트래픽을 과도하게 소독함으로써)과 보안 취약점이었습니다. 빠른 검색에서 :

• CVE-2011-0394 (에서 ASA를 재부팅 inspect skinny)
• CVE-2012-2472 (의 CPU DoS inspect sip)
• CVE-2012-4660 / 4661 / 4662 (다시 부팅하면 아이디어를 얻음)

ASA 프로토콜 검사의 측면을 끄는 데 필요한 수면을 잃지 않도록 권장합니다. 끝점 서버 응용 프로그램 (또는 웹 응용 프로그램 방화벽과 같은 대상 보안 플랫폼)은 어쨌든 프로토콜 준수를 훨씬 더 잘 수행하는 경향이 있습니다.