安全 : Cisco PIX 500 系列安全设备

测试PIX防火墙 Mailguard 功能

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

PIX软件邮箱保护功能清洁SMTP流量。对于PIX软件版本4.0和4.1, mailhost命令用于配置Mailguard。在PIX软件版本4.2及以上版本,命令更改对修正协议smtp 25静态管道语句为您的邮件服务器也要求。

配置时,邮件保护只允许按照RFC 821的第4.5.1部分中的描述,使用7个SMTP minimum-required命令。leavingcisco.com 这七最小需求的命令是直升机, MAIL, RCPT, DATA, R装置, NOOP和离开。其他命令如KILL、WIZ等被PIX拦截,并且它们从来不发送到网络内部的邮件服务器上。PIX回应的OK对已拒绝命令,因此攻击者不知道他们的尝试被反对。

这能做它似乎难测试Mailhost功能。如何认识它“工作如通告”,当一切回来时?

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息根据PIX软件版本4.0及以上版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

测验Mailguard

此部分描述如何正确测试和确保Mailguard工作。此测验用PIX软件版本4.0和4.1执行了使用mailhost命令。为了测试版本4.2和以上,请在第2部分中请使用fixup protocol smtp 25命令,与适当的静态和管道语句一起您的邮件服务器。

第1部分-没有Mailguard

完成这些步骤:

  1. 请使用PIX创建一正常静态和conduit TCP的25 (SMTP)和允许所有主机在:

    static  111.222.111.1 10.2.1.1
      conduit 111.222.111.1 25 tcp 0.0.0.0 0.0.0.0
  2. 从PIX外面,请远程登录在端口25到111.222.111.1。

    yourusername@generic-host%  telnet 111.222.111.1 25
    
    Trying 111.222.121.1 ?
      Connected to 111.222.111.1.
      Escape character is ?^]?
      220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11
      ready for meltdown at Tue, 17 Jun 1997 1:23:23
      20 ESMTP spoken here
  3. 如果输入Some-fake-command,您应该收到从服务器的一个type-500消息反回。

    Some-fake-command
     
    500 Command unrecognized

第2部分- Mailguard

完成这些步骤为了进一步配置您的Mailguard :

  1. 配置PIX用mailhost命令

    mailhost 111.222.111.1 10.2.1.1
    
  2. 再试一次您的Telnet和伪造品命令。

    yourusername@generic-host%  telnet 111.222.111.1 25
    
    Trying 111.222.121.1 ?
      Connected to 111.222.111.1.
      Escape character is ?^]?
      220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11
      ready for meltdown at Tue, 17 Jun 1997 1:25:42
      220 ESMTP spoken here
    some-fake-command
      
    OK

    PIX拦截假命令并且返回好。

Mailguard如何工作

第1部分中,当邮件服务器接收一无效或不可接受的命令时,它生成一个500命令无法识别的消息。在第2部分中,当Mailguard配置时, PIX然后拦截输入的命令,并且传递七最小需求的SMTP命令的仅有效命令(即一)到邮件服务器在PIX防火墙后。它然后返回OK给用户不管被输入的命令是否通过或拒绝。这样, PIX混淆尝试在邮件系统的一攻击的任何人。邮箱保护功能在版本4.2和以上也运作。它激活使用fixup protocol smtp 25命令而不是mailhost命令

注意: 如果有在PIX后的一个ESMTP服务器,例如Microsoft Exchange服务器,您也许需要关闭邮箱保护功能允许邮件适当地流。并且,执行对端口25的Telnet也许不与fixup protocol smtp命令一起使用,特别是与执行字符模式的Telnet客户端。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 4733