Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Test de la fonction Mailguard du pare-feu PIX Firewall

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

La caractéristique de Mailguard de logiciel PIX assainit le trafic de SMTP. Pour les versions du logiciel PIX 4.0 et 4.1, la commande de mailhost est utilisée de configurer Mailguard. Dans les versions du logiciel PIX 4.2 et plus tard, la commande a été changée au SMTP 25 de protocole de fixup. La charge statique et les instructions de conduit sont également exigées pour votre serveur de messagerie.

Une fois configuré, Mailguard permet seulement les sept SMTP minimum-a exigé des commandes comme décrit dans la section 4.5.1 de RFC 821leavingcisco.com . Ces sept minimum-ont exigé des commandes sont HÉLICOPTÈRE, MESSAGERIE, RCPT, des DONNÉES, ENSEMBLE DE RÉFÉRENCE, NOOP, et QUITTÉ. D'autres commandes, telles que la MISE À MORT, des AS, et ainsi de suite, sont interceptées par le PIX et elles ne sont jamais envoyées au serveur de messagerie sur l'intérieur de votre réseau. Le PIX répond avec un OK même aux commandes refusées, ainsi les attaquants ne savent pas que leurs tentatives sont contrecarrées.

Ceci peut le faire sembler difficile de tester la caractéristique de Mailhost. Comment le connaissez-vous « fonctionne-vous comme annoncé, » est-ce que quand tout revient CORRECT ?

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur les versions du logiciel PIX 4.0 et plus tard.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Test Mailguard

Cette section décrit comment tester et s'assurer des travaux de Mailguard correctement. Cet essai a été réalisé avec les versions du logiciel PIX 4.0 et 4.1 utilisant la commande de mailhost. Afin de tester des versions 4.2 et ultérieures, utilisez la commande du SMTP 25 de protocole de fixup dans la partie, avec la charge statique et les instructions de conduit appropriées pour votre serveur de messagerie.

Partie - Aucun Mailguard

Procédez comme suit :

  1. Employez un PIX pour créer une charge statique et un conduit normaux pour le TCP 25 (SMTP) et pour permettre tous les hôtes dans :

    static  111.222.111.1 10.2.1.1
      conduit 111.222.111.1 25 tcp 0.0.0.0 0.0.0.0
  2. De l'extérieur du PIX, telnet sur le port 25 à 111.222.111.1.

    yourusername@generic-host%  telnet 111.222.111.1 25
    
    Trying 111.222.121.1 ?
      Connected to 111.222.111.1.
      Escape character is ?^]?
      220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11
      ready for meltdown at Tue, 17 Jun 1997 1:23:23
      20 ESMTP spoken here
  3. Si vous écrivez la Quelque-faux-commande, vous devriez recevoir un message type-500 du serveur en échange.

    Some-fake-command
     
    500 Command unrecognized

Partie - Mailguard

Terminez-vous ces étapes afin de configurer plus loin votre Mailguard :

  1. Configurez le PIX avec la commande de mailhost.

    mailhost 111.222.111.1 10.2.1.1
    
  2. Essayez votre telnet et fausse commande de nouveau.

    yourusername@generic-host%  telnet 111.222.111.1 25
    
    Trying 111.222.121.1 ?
      Connected to 111.222.111.1.
      Escape character is ?^]?
      220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11
      ready for meltdown at Tue, 17 Jun 1997 1:25:42
      220 ESMTP spoken here
    some-fake-command
      
    OK

    Le PIX intercepte la fausse commande et retourne CORRECT.

Comment Mailguard fonctionne

Dans la partie, quand le mail server reçoit une commande non valide ou inacceptable, il génère un message non reconnu de 500 commandes. Dans la partie, quand Mailguard est configuré, le PIX puis intercepte la commande entrée, et transmet seulement les commandes valides (c'est-à-dire, une des sept commandes minimum-exigées de SMTP) au serveur de messagerie derrière le Pare-feu PIX. Il renvoie alors un OK à l'utilisateur indépendamment de si la commande entrée a été passée en fonction ou refusée. De cette façon, PIX confond n'importe qui qui tente une attaque sur le système de messagerie. La caractéristique de Mailguard fonctionne également dans les versions 4.2 et ultérieures. Il est lancé utilisant la commande du SMTP 25 de protocole de fixup au lieu de la commande de mailhost.

Remarque: Si vous avez un serveur ESMTP derrière le PIX, tel qu'un Microsoft Exchange Server, vous pourriez devoir arrêter la caractéristique de Mailguard pour permettre à la messagerie pour circuler correctement. En outre, faire le telnet au port 25 ne pourrait pas fonctionner avec la commande de SMTP de protocole de fixup, particulièrement avec un client Telnet qui fait le mode caractère.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 4733