セキュリティ : Cisco IOS ファイアウォール

Cisco IOS ファイアウォールを使用して SMTP および ESMTP 接続を検査するための設定例

2012 年 2 月 21 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 3 月 3 日) | フィードバック

Cisco IOS ファイアウォールを使用して SMTP および ESMTP 接続を検査するための設定例

概要

このドキュメントは、Cisco IOS で Cisco IOS® ファイアウォールを着信シンプル メール転送プロトコル(SMTP)接続または拡張 SMTP(ESMTP)を検査するための設定例を示します。この検査は、Cisco PIX 500 Series セキュリティ アプライアンスのメールガード機能に似ています。



前提条件

要件

このドキュメントに関する固有の要件はありません。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS ソフトウェア リリース 12.3(4)T 以降

  • Cisco 3640 ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼動中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



背景説明

SMTP 検査では、SMTP コマンドが違法なコマンドであるかどうかが調べられます。違法なコマンドが含まれているパケットはパターン「xxxx」に変換され、サーバに転送されます。このプロセスによりサーバは否定応答を送信し、この否定応答によりクライアントは有効なコマンドを発行するようになります。無効な SMTP コマンドとは、次に示すコマンドを除くすべてのコマンドです。

  • DATA
  • HELO
  • HELP
  • MAIL
  • NOOP
  • QUIT
  • RCPT
  • RSET
  • SAML
  • SEND
  • SOML
  • VRFY

ESMTP 検査は、SMTP 検査と同様の方法で行われます。違法なコマンドが含まれているパケットはパターン「xxxx」に変換され、サーバに転送されます。これにより、否定応答が返されます。無効な ESMTP コマンドとは、次に示すコマンドを除くすべてのコマンドです。

  • AUTH
  • DATA
  • EHLO
  • ETRN
  • HELO
  • HELP
  • HELP
  • MAIL
  • NOOP
  • QUIT
  • RCPT
  • RSET
  • SAML
  • SEND
  • SOML
  • VRFY

ESMTP 検査では、より詳細なコマンド検査により次の拡張も調べられます。

  • メッセージ サイズ宣言(SIZE)

  • リモート キュー処理宣言(ETRN)

  • バイナリ MIME(BINARYMIME)

  • コマンド パイプライン

  • 認証

  • 配信ステータス通知(DSN)

  • 拡張ステータス コード(ENHANCEDSTATUSCODE)

  • 8 ビット MIMEtransport(8BITMIME)

注: SMTP 検査と ESMTP 検査は同時に設定できません。両方を設定しようとすると、エラー メッセージが出されます。

注:Cisco IOS ソフトウェア リリース 12.3(4)T 以降では、Cisco IOS ファイアウォールでトラフィックを許可するためのダイナミック アクセス リスト項目は作成されません。Cisco IOS ファイアウォールは、検査された接続のセキュリティを制御するため、セッション状態テーブルを維持します。



設定

このセクションでは、このドキュメントで説明する機能の設定に必要な情報を提供します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。



ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

smtp-esmtp-cbac-1.gif



設定

このドキュメントでは次の設定を使用しています。

3640 ルータ
3640-123#show running-config
Building configuration...

Current configuration : 1432 bytes
!
version 12.3
service config
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname 3640-123
!
boot-start-marker
boot-end-marker
!
enable password 7 02050D4808095E731F
!
no aaa new-model
!
resource policy
!
voice-card 3
!
ip subnet-zero
!
!
ip cef
no ip dhcp use vrf connected
!
!

!--- これは Cisco IOS ファイアウォール設定です。


!--- IN-OUT は、ルータの inside インターフェイスから outside インターフェイスへ
!--- 向かうトラフィックの検査ルールです。

ip inspect name IN-OUT tcp
ip inspect name IN-OUT udp
ip inspect name IN-OUT ftp
ip inspect name IN-OUT http
ip inspect name IN-OUT icmp


!--- OUT-IN は、outside インターフェイスから inside インターフェイスへ
!--- 向かうトラフィックの検査ルールです。
!--- このルールでは、SMTP/ESMTP 検査が指定されます。

ip inspect name OUT-IN smtp
!
no ip ips deny-action ips-interface
!
no ftp-server write-enable
!
!
!
!
controller T1 3/0
 framing sf
 linecode ami
!
!
!
!
!

!--- outside インターフェイス。

interface Ethernet2/0
 ip address 172.22.1.16 255.255.255.0


!--- SMTP/ESMTP 接続を許可するためのアクセス リストを
!--- メール サーバに適用します。これにより Cisco IOS ファイアウォールが
!--- SMTP または ESMTP コマンドを検査できるようにもなります。

 ip access-group 101 in
 ip nat outside


!--- 検査ルール OUT-IN インバウンドをこのインターフェイスに適用します。これは
!--- SMTP/ESMTP 検査を定義するルールです。

 ip inspect OUT-IN in
 ip virtual-reassembly
 half-duplex
!
interface Serial2/0
 no ip address
 shutdown
!

!--- inside インターフェイス。

interface Ethernet2/1
 ip address 10.10.10.1 255.255.255.0
 ip nat inside


!--- 検査ルール IN-OUT インバウンドをこのインターフェイスに適用します。

 ip inspect IN-OUT in
 ip virtual-reassembly
 half-duplex
!
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 172.22.1.1
!
!

!--- メール サーバのためのスタティック変換。

ip nat inside source static 10.10.10.2 172.22.1.110
ip nat inside source static 10.10.10.5 172.22.1.111
!

!--- SMTP および ESMTP をメール サーバに対して許可するためのアクセス リスト。
!--- Cisco IOS ファイアウォールが許可されたトラフィックを検査します。

access-list 101 permit tcp any host 172.22.1.110 eq smtp
!
!
!
control-plane
!
!
!
voice-port 1/0/0
!
voice-port 1/0/1
!
voice-port 1/1/0
!
voice-port 1/1/1
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
 password 7 121A0C0411045D5679
 login
!
!
end



確認

このセクションでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

  • show ip inspect all:Cisco IOS ファイアウォール検査ルールとインターフェイスへのこのルールの適用の設定を検証します。

    3640-123#show ip inspect all
    Session audit trail is disabled
    Session alert is enabled
    one-minute (sampling period) thresholds are [400:500] connections
    max-incomplete sessions thresholds are [400:500]
    max-incomplete tcp connections per host is 50. Block-time 0 minute.
    tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
    tcp idle-time is 3600 sec -- udp idle-time is 30 sec
    dns-timeout is 5 sec
    Inspection Rule Configuration
     Inspection name IN-OUT
        tcp alert is on audit-trail is off timeout 3600
        udp alert is on audit-trail is off timeout 30
        ftp alert is on audit-trail is off timeout 3600
        http alert is on audit-trail is off timeout 3600
        icmp alert is on audit-trail is off timeout 10
     Inspection name OUT-IN
        smtp max-data 20000000 alert is on audit-trail is off timeout 3600
    
    Interface Configuration
     Interface Ethernet2/1
      Inbound inspection rule is IN-OUT
        tcp alert is on audit-trail is off timeout 3600
        udp alert is on audit-trail is off timeout 30
        ftp alert is on audit-trail is off timeout 3600
        http alert is on audit-trail is off timeout 3600
        icmp alert is on audit-trail is off timeout 10
      Outgoing inspection rule is not set
      Inbound access list is not set
      Outgoing access list is not set
     Interface Ethernet2/0
      Inbound inspection rule is OUT-IN
        smtp max-data 20000000 alert is on audit-trail is off timeout 3600
      Outgoing inspection rule is not set
      Inbound access list is 101
      Outgoing access list is not set
  • debug ip inspect smtp:Cisco IOS ファイアウォール SMTP 検査イベントに関するメッセージを表示します。

    注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

    ausnml-3600-02#debug ip inspect smtp
    INSPECT SMTP Inspection debugging is on
    ausnml-3600-02#
    *Oct 18 21:51:35.886: CBAC SMTP: reply_type OTHERS 
    *Oct 18 21:51:35.886: CBAC SMTP: OTHER REPLY - Reply len: 64, match_len:64, reply_re_state:18
    *Oct 18 21:51:35.886: CBAC SMTP: OTHER REPLY match id:13
    *Oct 18 21:51:35.886: CBAC SMTP: OTHER REPLY match id:10
    *Oct 18 21:51:35.886: CBAC SMTP: End Of Reply Line - index:0 ,len:64
    
    
    !--- クライアントからコマンドが発行されます。
    
    *Oct 18 21:51:40.810: CBAC SMTP: VERB - Cmd len:1, match_len:1, cmd_re_state:9
    *Oct 18 21:51:40.994: CBAC SMTP: VERB - Cmd len:2, match_len:1, cmd_re_state:24
    *Oct 18 21:51:41.190: CBAC SMTP: VERB - Cmd len:3, match_len:1, cmd_re_state:40
    *Oct 18 21:51:41.390: CBAC SMTP: VERB - Cmd len:4, match_len:1, cmd_re_state:56
    *Oct 18 21:51:41.390: CBAC SMTP: VERB - match id:5
    *Oct 18 21:51:42.046: CBAC SMTP: CMD PARAM - Cmd len:5, match_len:1, cmd_re_state:7
    *Oct 18 21:51:43.462: CBAC SMTP: CMD PARAM - Cmd len:6, match_len:1, cmd_re_state:2
    *Oct 18 21:51:43.594: CBAC SMTP: CMD PARAM - Cmd len:7, match_len:1, cmd_re_state:2
    *Oct 18 21:51:43.794: CBAC SMTP: CMD PARAM - Cmd len:9, match_len:2, cmd_re_state:2
    *Oct 18 21:51:43.994: CBAC SMTP: CMD PARAM - Cmd len:10, match_len:1, cmd_re_state:2
    *Oct 18 21:51:44.194: CBAC SMTP: CMD PARAM - Cmd len:12, match_len:2, cmd_re_state:3
    *Oct 18 21:51:44.194: CBAC SMTP: CMD PARAM - match id:6
    *Oct 18 21:51:44.194: CBAC SMTP: End Of Command Line - index:1, len:12
    
    
    !--- サーバが応答します。
    
    *Oct 18 21:51:44.198: CBAC SMTP: reply_type OTHERS 
    *Oct 18 21:51:44.198: CBAC SMTP: OTHER REPLY - Reply len: 11, match_len:11, reply_re_state:18
    *Oct 18 21:51:44.198: CBAC SMTP: OTHER REPLY match id:13
    *Oct 18 21:51:44.198: CBAC SMTP: OTHER REPLY match id:10
    *Oct 18 21:51:44.198: CBAC SMTP: End Of Reply Line - index:1 ,len:11
    
    
    !--- クライアントからコマンドが発行されます。
    
    *Oct 18 21:51:49.482: CBAC SMTP: VERB - Cmd len:1, match_len:1, cmd_re_state:3
    *Oct 18 21:51:50.222: CBAC SMTP: VERB - Cmd len:2, match_len:1, cmd_re_state:15
    *Oct 18 21:51:50.618: CBAC SMTP: VERB - Cmd len:3, match_len:1, cmd_re_state:31
    *Oct 18 21:51:50.954: CBAC SMTP: VERB - Cmd len:4, match_len:1, cmd_re_state:46
    *Oct 18 21:51:50.954: CBAC SMTP: VERB - match id:15
    *Oct 18 21:51:51.642: CBAC SMTP: CMD PARAM - Cmd len:5, match_len:1, cmd_re_state:7
    *Oct 18 21:51:51.914: CBAC SMTP: CMD PARAM - Cmd len:6, match_len:1, cmd_re_state:2
    *Oct 18 21:51:52.106: CBAC SMTP: CMD PARAM - Cmd len:7, match_len:1, cmd_re_state:2
    *Oct 18 21:51:54.754: CBAC SMTP: CMD PARAM - Cmd len:8, match_len:1, cmd_re_state:4
    *Oct 18 21:51:55.098: CBAC SMTP: CMD PARAM - Cmd len:9, match_len:1, cmd_re_state:2
    *Oct 18 21:51:55.322: CBAC SMTP: CMD PARAM - Cmd len:11, match_len:2, cmd_re_state:3
    *Oct 18 21:51:55.322: CBAC SMTP: CMD PARAM - match id:6
    *Oct 18 21:51:55.322: CBAC SMTP: End Of Command Line - index:2, len:11
    
    
    !--- サーバが応答します。
    
    *Oct 18 21:51:55.326: CBAC SMTP: reply_type OTHERS 
    *Oct 18 21:51:55.326: CBAC SMTP: OTHER REPLY - Reply len: 19, match_len:19, reply_re_state:3
    *Oct 18 21:51:55.326: CBAC SMTP: OTHER REPLY match id:13
    *Oct 18 21:51:55.326: CBAC SMTP: End Of Reply Line - index:2 ,len:19
    
    *Oct 18 21:51:57.070: CBAC SMTP: VERB - Cmd len:1, match_len:1, cmd_re_state:3
    *Oct 18 21:51:57.402: CBAC SMTP: VERB - Cmd len:2, match_len:1, cmd_re_state:15
    *Oct 18 21:51:58.162: CBAC SMTP: VERB - Cmd len:3, match_len:1, cmd_re_state:31
    *Oct 18 21:51:58.462: CBAC SMTP: VERB - Cmd len:4, match_len:1, cmd_re_state:46
    *Oct 18 21:51:58.466: CBAC SMTP: VERB - match id:15
    *Oct 18 21:51:58.746: CBAC SMTP: CMD PARAM - Cmd len:5, match_len:1, cmd_re_state:7
    *Oct 18 21:51:59.006: CBAC SMTP: CMD PARAM - Cmd len:6, match_len:1, cmd_re_state:2
    *Oct 18 21:51:59.234: CBAC SMTP: CMD PARAM - Cmd len:7, match_len:1, cmd_re_state:2
    *Oct 18 21:51:59.418: CBAC SMTP: CMD PARAM - Cmd len:9, match_len:2, cmd_re_state:2
    *Oct 18 21:51:59.618: CBAC SMTP: CMD PARAM - Cmd len:10, match_len:1, cmd_re_state:2
    *Oct 18 21:51:59.818: CBAC SMTP: CMD PARAM - Cmd len:12, match_len:2, cmd_re_state:3
    *Oct 18 21:51:59.818: CBAC SMTP: CMD PARAM - match id:6
    *Oct 18 21:51:59.818: CBAC SMTP: End Of Command Line - index:3, len:12
    
    *Oct 18 21:51:59.818: CBAC SMTP: reply_type OTHERS 
    *Oct 18 21:51:59.818: CBAC SMTP: OTHER REPLY - Reply len: 19, match_len:19, reply_re_state:3
    *Oct 18 21:51:59.822: CBAC SMTP: OTHER REPLY match id:13
    *Oct 18 21:51:59.822: CBAC SMTP: End Of Reply Line - index:3 ,len:19
    
    *Oct 18 21:52:04.974: CBAC SMTP: VERB - Cmd len:1, match_len:1, cmd_re_state:9
    *Oct 18 21:52:05.170: CBAC SMTP: VERB - Cmd len:2, match_len:1, cmd_re_state:24
    *Oct 18 21:52:05.326: CBAC SMTP: VERB - Cmd len:3, match_len:1, cmd_re_state:40
    *Oct 18 21:52:05.526: CBAC SMTP: VERB - Cmd len:4, match_len:1, cmd_re_state:55
    *Oct 18 21:52:05.526: CBAC SMTP: VERB - match id:6
    *Oct 18 21:52:05.742: CBAC SMTP: CMD PARAM - Cmd len:6, match_len:2, cmd_re_state:3
    *Oct 18 21:52:05.742: CBAC SMTP: CMD PARAM - match id:6
    *Oct 18 21:52:05.742: CBAC SMTP: End Of Command Line - index:4, len:6
    
    *Oct 18 21:52:05.746: CBAC SMTP: reply_type OTHERS 
    *Oct 18 21:52:05.746: CBAC SMTP: OTHER REPLY - Reply len: 54, match_len:54, reply_re_state:3
    *Oct 18 21:52:05.746: CBAC SMTP: OTHER REPLY match id:13
    *Oct 18 21:52:05.746: CBAC SMTP: End Of Reply Line - index:4 ,len:54
    
    *Oct 18 21:52:05.746: CBAC SMTP: reply_type OTHERS 
    *Oct 18 21:52:05.746: CBAC SMTP: OTHER REPLY - Reply len: 15, match_len:15, reply_re_state:3
    *Oct 18 21:52:05.746: CBAC SMTP: OTHER REPLY match id:13
    *Oct 18 21:52:05.746: CBAC SMTP: End Of Reply Line - index:5 ,len:15
    
    *Oct 18 21:52:05.746: CBAC SMTP: reply_type OTHERS 
    *Oct 18 21:52:05.746: CBAC SMTP: OTHER REPLY - Reply len: 15, match_len:15, reply_re_state:3
    *Oct 18 21:52:05.746: CBAC SMTP: OTHER REPLY match id:13
    *Oct 18 21:52:05.746: CBAC SMTP: End Of Reply Line - index:6 ,len:15
    
    *Oct 18 21:52:05.746: CBAC SMTP: reply_type OTHERS 
    *Oct 18 21:52:05.750: CBAC SMTP: OTHER REPLY - Reply len: 6, match_len:6, reply_re_state:3
    *Oct 18 21:52:05.750: CBAC SMTP: OTHER REPLY match id:13
    *Oct 18 21:52:05.750: CBAC SMTP: End Of Reply Line - index:7 ,len:6
    
    *Oct 18 21:52:05.750: CBAC SMTP: reply_type OTHERS 
    *Oct 18 21:52:05.750: CBAC SMTP: OTHER REPLY - Reply len: 19, match_len:19, reply_re_state:3
    *Oct 18 21:52:05.750: CBAC SMTP: OTHER REPLY match id:13
    *Oct 18 21:52:05.750: CBAC SMTP: End Of Reply Line - index:8 ,len:19
    
    *Oct 18 21:52:05.750: CBAC SMTP: reply_type OTHERS 
    *Oct 18 21:52:05.750: CBAC SMTP: OTHER REPLY - Reply len: 17, match_len:17, reply_re_state:3
    *Oct 18 21:52:05.750: CBAC SMTP: OTHER REPLY match id:13
    *Oct 18 21:52:05.750: CBAC SMTP: End Of Reply Line - index:9 ,len:17
    
    *Oct 18 21:52:05.750: CBAC SMTP: reply_type OTHERS 
    *Oct 18 21:52:05.750: CBAC SMTP: OTHER REPLY - Reply len: 6, match_len:6, reply_re_state:3
    *Oct 18 21:52:05.750: CBAC SMTP: OTHER REPLY match id:13
    *Oct 18 21:52:05.754: CBAC SMTP: End Of Reply Line - index:10 ,len:6
    
    *Oct 18 21:52:05.754: CBAC SMTP: reply_type OTHERS 
    *Oct 18 21:52:05.754: CBAC SMTP: OTHER REPLY - Reply len: 6, match_len:6, reply_re_state:3
    *Oct 18 21:52:05.754: CBAC SMTP: OTHER REPLY match id:13
    *Oct 18 21:52:05.754: CBAC SMTP: End Of Reply Line - index:11 ,len:6
    
    *Oct 18 21:52:05.754: CBAC SMTP: reply_type OTHERS 
    *Oct 18 21:52:05.754: CBAC SMTP: OTHER REPLY - Reply len: 6, match_len:6, reply_re_state:3
    *Oct 18 21:52:05.754: CBAC SMTP: OTHER REPLY match id:13
    *Oct 18 21:52:05.754: CBAC SMTP: End Of Reply Line - index:12 ,len:6
    
    *Oct 18 21:52:05.754: CBAC SMTP: reply_type OTHERS 
    *Oct 18 21:52:05.754: CBAC SMTP: OTHER REPLY - Reply len: 3, match_len:3, reply_re_state:3
    *Oct 18 21:52:05.754: CBAC SMTP: OTHER REPLY match id:13
    *Oct 18 21:52:05.754: CBAC SMTP: End Of Reply Line - index:13 ,len:3
    
    *Oct 18 21:52:15.646: CBAC SMTP: VERB - Cmd len:1, match_len:1, cmd_re_state:6
    *Oct 18 21:52:15.838: CBAC SMTP: VERB - Cmd len:3, match_len:2, cmd_re_state:37
    *Oct 18 21:52:16.206: CBAC SMTP: VERB - Cmd len:4, match_len:1, cmd_re_state:52
    *Oct 18 21:52:16.206: CBAC SMTP: VERB - match id:9
    *Oct 18 21:52:18.954: CBAC SMTP: CMD PARAM - Cmd len:6, match_len:2, cmd_re_state:3
    *Oct 18 21:52:18.958: CBAC SMTP: CMD PARAM - match id:6
    *Oct 18 21:52:18.958: CBAC SMTP: End Of Command Line - index:5, len:6
    
    *Oct 18 21:52:18.958: CBAC SMTP: reply_type OTHERS 
    *Oct 18 21:52:18.958: CBAC SMTP: OTHER REPLY - Reply len: 21, match_len:21, reply_re_state:18
    *Oct 18 21:52:18.958: CBAC SMTP: OTHER REPLY match id:13
    *Oct 18 21:52:18.958: CBAC SMTP: OTHER REPLY match id:10
    *Oct 18 21:52:18.958: CBAC SMTP: End Of Reply Line - index:14 ,len:21


トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。



関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 69309