セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIXファイアウォール メールガード機能のテスト

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2003 年 12 月 1 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

PIXソフトウェアのメールガード機能により、不要なSMTPトラフィックを排除できます。 PIXソフトウェア バージョン4.0および4.1では、 mailhost コマンドを使用してメールガード機能を設定します。 PIX ソフトウェア バージョン 4.2 と それ以降では、コマンドはフィックスアッププロトコル smtp 25 に変更されました。 スタティックがおよびコンジットステートメントはまたメール サーバに必要となります。

設定されたとき、メールガードは RFC 821 のセクション 4.5.1 に記述されているように 7 だけに SMTP 最小限必要 なコマンドを与えますleavingcisco.comこの 7 つの最小限必要 なコマンドはヘリコプター、メール、RCPT、DATA、RSET、NOOP、やめられてであり。 KILL、WIZなどの他のコマンドは、PIXによって傍受され、ネットワーク内部のメール サーバには送信されません。 PIX は否定されたコマンドに OK で応答します、従って試みが妨害されていることを攻撃者は知りません。

これは Mailhost 機能をテストしてそれを困難なようである作ることができます。 すべてが OK として戻されるので、正常に動作しているかどうか確認できないからです。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

この文書に記載されている情報は PIX ソフトウェア バージョン 4.0 と それ以降に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

メールガードをテストして下さい

このセクションはメールガード作業を厳密にテストし確かめる方法を記述します。 このテストは mailhost コマンドを使用して PIXソフトウェアバージョン 4.0 および 4.1 と実行された。 バージョン 4.2 および それ 以降をテストするために、メール サーバに適切な統計およびコンジットステートメントと共に Part 2fixup protocol smtp 25 コマンドを、使用して下さい。

パート 1 - メールガードを使用しない場合

次の手順を実行します。

  1. TCP 25 (SMTP)のための正常なスタティックおよびコンジットを作成し、すべてのホストをの割り当てるのに PIX を使用して下さい:

    static  111.222.111.1 10.2.1.1
      conduit 111.222.111.1 25 tcp 0.0.0.0 0.0.0.0
  2. PIX 以外から、111.222.111.1 にポート 25 で Telnet で接続して下さい。

    yourusername@generic-host%  telnet 111.222.111.1 25
    
    Trying 111.222.121.1 ?
      Connected to 111.222.111.1.
      Escape character is ?^]?
      220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11
      ready for meltdown at Tue, 17 Jun 1997 1:23:23
      20 ESMTP spoken here
  3. 擬似コマンドを入力する場合、サーバから type-500 メッセージをと引き換えに受け取る必要があります。

    Some-fake-command
     
    500 Command unrecognized

パート 2 - メールガードを使用する場合

更にメールガードを設定するためにこれらのステップを完了して下さい:

  1. mailhost コマンドで PIX を設定して下さい。

    mailhost 111.222.111.1 10.2.1.1
    
  2. Telnet を試み、コマンドを再度偽造して下さい。

    yourusername@generic-host%  telnet 111.222.111.1 25
    
    Trying 111.222.121.1 ?
      Connected to 111.222.111.1.
      Escape character is ?^]?
      220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11
      ready for meltdown at Tue, 17 Jun 1997 1:25:42
      220 ESMTP spoken here
    some-fake-command
      
    OK

    PIX は擬似コマンドおよび戻りを良く代行受信します。

メールガードの機能

Part 1 では、メールサーバは無効か受け入れられないコマンドを受け取るとき、500 コマンド 認識されない メッセージを生成します。 Part 2 では、メールガードが設定されるとき、PIX はそれから入力されたコマンドを代行受信し、メール サーバに PIXファイアウォールの後ろで 7 つの最小限必要 な SMTP コマンドの無効なコマンド(すなわち、1 だけ)渡します。 それはユーザにそれから入力されたコマンドが実行または拒否されたかどうかに関係なく OK を戻します。 このように、PIX はメール システムの攻撃を試みるだれでも混同します。 Mailguard 機能はまたバージョン 4.2 および それ 以降で動作します。 それは mailhost コマンドの代りに fixup protocol smtp 25 コマンドを使用してアクティブになります。

注: PIX の後ろの ESMTP サーバが、Microsoft Exchange サーバのようなあれば、メールがきちんとフローするように Mailguard 機能をオフにする必要があるかもしれません。 また、ポート 25 への Telnet をすることはキャラクタ モードをする Telnet クライアントの fixup protocol smtp コマンドを、特に使用しないかもしれません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 4733