Segurança : Dispositivos de segurança Cisco PIX 500 Series

Testando os recursos para guardar mensagens do PIX Firewall

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

O recurso PIX Software Mailguard desobstrui o tráfego de SMTP. Para o software PIX versões 4.0 e 4.1, o comando mailhost é utilizado para configurar o Mailguard. Nas versões de software de PIX 4.2 e mais atrasado, o comando foi mudado a smtp 25 do fixup protocol. A estática e as indicações de canalização são exigidas igualmente para seu mail server.

Quando configurados, os Recursos para Guardar mensagens permitem somente os comandos seven smtp minimum-required como descrito na seção 4.5.1 do RFC 821leavingcisco.com . Estes sete mínimo-exigiram comandos são HELO, CORREIO, RCPT, DATA, RSET, NOOP, e PARADO. Outros comandos, tais como a MATANÇA, WIZ, são interceptados e assim por diante pelo PIX e são enviados nunca ao mail server no interior de sua rede. O PIX responde com uma APROVAÇÃO mesmo aos comandos negados, assim que os atacantes não sabem que suas tentativas estão sendo estragadas.

Isto pode fazê-la parecer difícil testar a característica de Mailhost. Como você sabe se está "funcionando como anunciado" quando tudo retorna como OK?

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada em versões de Software PIX 4.0 e mais recentes.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Teste Recursos para Guardar mensagens

Esta seção descreve como testar e certificar-se de Recursos para Guardar mensagens trabalha corretamente. Este teste foi executado com as versões de software de PIX 4.0 e 4.1 usando o comando mailhost. A fim testar versões 4.2 e mais recente, use o comando fixup protocol smtp 25 na parte 2, junto com a estatística apropriada e as indicações de canalização para seu mail server.

Parte 1 – Sem proteção de correio

Conclua estes passos:

  1. Use um PIX para criar uma estática e uma conduíte normais para TCP 25 (S TP) e para permitir todos os anfitriões em:

    static  111.222.111.1 10.2.1.1
      conduit 111.222.111.1 25 tcp 0.0.0.0 0.0.0.0
  2. Fora do PIX, telnet na porta 25 a 111.222.111.1.

    yourusername@generic-host%  telnet 111.222.111.1 25
    
    Trying 111.222.121.1 ?
      Connected to 111.222.111.1.
      Escape character is ?^]?
      220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11
      ready for meltdown at Tue, 17 Jun 1997 1:23:23
      20 ESMTP spoken here
  3. Se você incorpora o Algum-falsificação-comando, você deve receber uma mensagem type-500 do server em retorno.

    Some-fake-command
     
    500 Command unrecognized

Parte 2 – Proteção de correio

Termine estas etapas a fim configurar mais seus Recursos para Guardar mensagens:

  1. Configurar o PIX com o comando mailhost.

    mailhost 111.222.111.1 10.2.1.1
    
  2. Tente seus telnet e comando falsificado outra vez.

    yourusername@generic-host%  telnet 111.222.111.1 25
    
    Trying 111.222.121.1 ?
      Connected to 111.222.111.1.
      Escape character is ?^]?
      220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11
      ready for meltdown at Tue, 17 Jun 1997 1:25:42
      220 ESMTP spoken here
    some-fake-command
      
    OK

    O PIX intercepta o comando falsificado e retorna ESTÁ BEM.

Como funciona o Mailguard

Na parte 1, quando o mail server recebe um comando inválido ou inaceitável, gera um mensagem não reconhecida de 500 comandos. Na parte 2, quando os Recursos para Guardar mensagens são configurados, o PIX a seguir intercepta o comando entered, e passa somente os comandos válidos (isto é, um dos comandos seven minimum-required smtp) sobre ao mail server atrás do PIX Firewall. Retorna então uma APROVAÇÃO ao usuário apesar de se o comando entered esteve passado sobre ou negado. Desta maneira, o PIX confunde qualquer um que tenta um ataque no sistema de correio. Os recursos para guardar mensagens igualmente trabalham nas versões 4.2 e mais recente. É ativado usando o comando fixup protocol smtp 25 em vez do comando mailhost.

Nota: Se você tem um servidor ESMTP atrás do PIX, tal como um Microsoft Exchange Server, você pôde precisar de desligar os recursos para guardar mensagens para permitir que o correio flua corretamente. Também, fazer o telnet à porta 25 não pôde trabalhar com o comando fixup protocol smtp, especialmente com um cliente telnet que fizesse o modo de caractere.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 4733