Cisco FWSM - > ASA升级破坏了我们的邮件服务器

Modified on: Sat, 13 Jul 2019 02:40:02 +0800

我们将带有unicode亚洲字符的邮件发送到我们广域网另一侧的邮件服务器...从运行2.3(2)的FWSM升级到运行8.2(5)的ASA5550后,我们立即看到邮件作业失败其中包含编码为Base64的unicode和其他文本。

症状非常清楚......使用ASA的数据包捕获实用程序,我们在离开ASA之前和之后阻止了流量......

access-list PCAP line 1 extended permit tcp any host 192.0.2.25 eq 25
capture pcap_inside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface inside
capture pcap_outside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface WAN

我从ASA下载了pcaps,转到https://<fw_addr>/pcap_inside/pcaphttps://<fw_addr>/pcap_outside/pcap ...当我用Wireshark>查看它们时按照TCP Stream,进入ASA的内部流量看起来像这样

EHLO metabike

AUTH LOGIN

YzFwbUlciXNlck==

cZUplCVyXzRw

但在外部界面上离开ASA的同一邮件看起来像这样......

EHLO metabike

AUTH LOGIN

YzFwbUlciXNlck==

XXXXXXXXXXXX

XXXX字符有关......我通过禁用ESMTP检查解决了问题:

wan-fw1(config)# policy-map global_policy

wan-fw1(config-pmap)# class inspection_default

wan-fw1(config-pmap-c)# no inspect esmtp

wan-fw1(config-pmap-c)# end

5美元的问题......我们的旧FWSM使用了SMTP修复而没有出现问题...邮件在我们将新ASA联机的确切时刻发生了故障... ASA现在突破了这个特别不同的地方邮件?


注意:用户名/密码/应用名称已更改...请勿尝试对此文本进行Base64解码。

最佳答案

该用户名的“真实”版本中是否有UTF-8字符(解码后)?如果检查已触发,我猜测有一个原因是它选择了特定的线。

但也许不是;检查功能更像是混沌猴而不是IPS。就个人而言,检查功能为我提供的唯一内容一直是​​头痛(通过对完全有效的流量进行过度积极的消毒)和安全漏洞。从快速搜索:

  • CVE-2011-0394(从inspect skinny重新启动ASA)
  • CVE-2012-2472(来自inspect sip
  • CVE-2012-4660 / 4661/4662(更多重启,你明白了)

我建议不要因为需要关闭ASA协议检查的各个方面而失去很多睡眠;端点服务器应用程序(或者像Web应用程序防火墙这样的目标安全平台)无论如何都倾向于更好地执行协议合规性。

作者:Shane Madden

相关问答

添加新评论