Cisco FWSM-> ASA 업그레이드로 메일 서버가 무너졌습니다.


8

유니 코드 아시아 문자가 포함 된 메일을 WAN 반대편의 메일 서버로 보냅니다. 2.3 (2)를 실행하는 FWSM에서 8.2 (5)를 실행하는 ASA5550으로 업그레이드 한 직후 유니 코드가 포함 된 메일 작업에 실패했습니다 Base64로 인코딩 된 다른 텍스트

ASA의 패킷 캡처 유틸리티를 사용하여 ASA를 떠나기 전후에 트래픽을 포착했습니다.

access-list PCAP line 1 extended permit tcp any host 192.0.2.25 eq 25
capture pcap_inside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface inside
capture pcap_outside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface WAN

나는로 이동하여 ASA에서 pcaps 다운로드 https://<fw_addr>/pcap_inside/pcaphttps://<fw_addr>/pcap_outside/pcapI Wireshark는이> 후속 TCP 스트림, 내부 트래픽이 같은 ASA의 외모에가는 그들을 보았을 때 ...

EHLO metabike

AUTH LOGIN

YzFwbUlciXNlck==

cZUplCVyXzRw

그러나 외부 인터페이스에 ASA를 남기는 동일한 메일은 다음과 같습니다.

EHLO metabike

AUTH LOGIN

YzFwbUlciXNlck==

XXXXXXXXXXXX

XXXX 문자는 다음과 관련되어 있습니다. ESMTP 검사를 비활성화하여 문제를 해결했습니다.

wan-fw1(config)# policy-map global_policy

wan-fw1(config-pmap)# class inspection_default

wan-fw1(config-pmap-c)# no inspect esmtp

wan-fw1(config-pmap-c)# end

5 달러짜리 질문 ... 우리의 기존 FWSM은 문제없이 SMTP 픽스 업을 사용했습니다 ... 우리가 새로운 ASA를 온라인으로 가져 오는 순간에 메일이 다운되었습니다.이 메일을 깰 ASA와 다른 점은 무엇입니까?


참고 : 사용자 이름 / 비밀번호 / 앱 이름이 변경되었습니다 ...이 텍스트를 Base64 디코딩하려고하지 마십시오.

답변:


4

해당 사용자 이름의 '실제'버전에 UTF-8 문자가 있습니까 (디코딩 후)? 검사가 시작되면 특정 라인을 선택한 이유가 있다고 생각합니다.

그러나 아마도 아닐 수도 있습니다. 검사 기능은 IPS보다 혼돈 원숭이와 더 유사합니다. 개인적으로, 검사 기능이 실제로 제공 한 것은 두통 (완전히 유효한 트래픽을 과도하게 소독함으로써)과 보안 취약점이었습니다. 빠른 검색에서 :

  • CVE-2011-0394 (에서 ASA를 재부팅 inspect skinny)
  • CVE-2012-2472 (의 CPU DoS inspect sip)
  • CVE-2012-4660 / 4661 / 4662 (다시 부팅하면 아이디어를 얻음)

ASA 프로토콜 검사의 측면을 끄는 데 필요한 수면을 잃지 않도록 권장합니다. 끝점 서버 응용 프로그램 (또는 웹 응용 프로그램 방화벽과 같은 대상 보안 플랫폼)은 어쨌든 프로토콜 준수를 훨씬 더 잘 수행하는 경향이 있습니다.


UTF-8이 유효한지 여부를 조사해야합니다. 기술적 이유로 검사를 비활성화해야하는 것보다 회사의 정치 운영자가 도출 한 비이성적 인 결론 (FWSM으로의 롤백)으로 인해 수면을 더 느슨하게합니다 ...
Mike Pennington

나는 이것에 Mike와 함께있다. "프로토콜 픽스 업"은 일반적으로 RFC의 모든 종류의 코너 케이스를 무시합니다. 왜냐하면 픽스 업 코드에 대한 요구 사항을 작성하기 위해 각 프로토콜에 정통한 사람들을 절대로 갖지 않기 때문입니다. 반면에 MTA는 SMTP의 최신 기술에 정통하며 연결에서 이상을 감지하기에 훨씬 적합합니다. 괜찮은 수준의 강력한 MTA를 확보하고 패치를 잘 유지 한 다음 수정 프로그램을 끄고 안전하게 잠자십시오. 우연히, 프론트 엔드 MTA 릴레이는 걱정이된다면 메인 메일 스토어를 보호하는 일을 훨씬 더 잘 수행 할 수 있습니다 .
MadHatter

2
Base64로 인코딩 된 문자는 유효하고 ASA의 ESMTP 검사는 결함이 있습니다. 영구적으로 비활성화되어 있습니다.
Mike Pennington
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.