Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

Prueba de la función de vigilancia de correo del firewall PIX

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

La función Mailguard del software PIX limpia el tráfico SMTP. Para el Software PIX versiones 4.0 y 4.1, el comando mailhost se usa para configurar Mailguard. En las versiones de software PIX 4.2 y posterior, el comando se ha cambiado a smtp 25 del fixup protocol. Los parásitos atmosféricos y las sentencias de conducto también se requieren para su mail server.

Cuando está configurado, el Mailguard permite solamente los comandos seven smtp minimum-required según lo descrito en la sección 4.5.1 del RFC 821leavingcisco.com . Estos siete mínimo-requirieron los comandos son HELO, CORREO, RCPT, DATA, RSET, NOOP, y SALIDO. Otros comandos, tales como MATANZA, WIZ, y así sucesivamente, son interceptados por el PIX y nunca se envían al mail server en el interior de su red. El PIX responde con una AUTORIZACIÓN incluso a los comandos negados, así que los atacantes no saben que se están frustrando sus tentativas.

Esto puede hacer que parece difícil probar la característica de Mailhost. ¿Cómo sabe que está ''funcionando como lo promocionó'' cuando la respuesta indica que todo está bien?

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa encendido versión 4.0 y posteriores del software PIX.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Pruebe el Mailguard

Esta sección describe cómo probar y aseegurar los trabajos del Mailguard correctamente. Esta prueba fue realizada con las versiones de software PIX 4.0 y 4.1 usando el comando mailhost. Para probar las versiones 4.2 y posterior, utilice el comando fixup protocol smtp 25 en la parte 2, junto con la estática apropiada y las sentencias de conducto para su mail server.

Parte 1 – Sin Mailguard

Complete estos pasos:

  1. Utilice un PIX para crear los parásitos atmosféricos y un conducto normales para TCP 25 (S TP) y para permitir todos los hosts en:

    static  111.222.111.1 10.2.1.1
      conduit 111.222.111.1 25 tcp 0.0.0.0 0.0.0.0
  2. Desde fuera del PIX, Telnet en el puerto 25 a 111.222.111.1.

    yourusername@generic-host%  telnet 111.222.111.1 25
    
    Trying 111.222.121.1 ?
      Connected to 111.222.111.1.
      Escape character is ?^]?
      220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11
      ready for meltdown at Tue, 17 Jun 1997 1:23:23
      20 ESMTP spoken here
  3. Si usted ingresa el Alguno-falsificación-comando, usted debe recibir un mensaje type-500 del servidor a cambio.

    Some-fake-command
     
    500 Command unrecognized

Parte 2 – Mailguard

Complete estos pasos para configurar más lejos su Mailguard:

  1. Configure el PIX con el comando mailhost.

    mailhost 111.222.111.1 10.2.1.1
    
  2. Intente su Telnet y comando falso otra vez.

    yourusername@generic-host%  telnet 111.222.111.1 25
    
    Trying 111.222.121.1 ?
      Connected to 111.222.111.1.
      Escape character is ?^]?
      220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11
      ready for meltdown at Tue, 17 Jun 1997 1:25:42
      220 ESMTP spoken here
    some-fake-command
      
    OK

    El PIX intercepta el comando y las devoluciones falsos OK.

Cómo funciona Mailguard

En la parte 1, cuando el mail server recibe un comando inválido o inaceptable, genera un mensaje no reconocido de 500 comandos. En la parte 2, cuando se configura el Mailguard, el PIX después intercepta el comando entered, y pasa solamente los comandos válidos (es decir, uno de los comandos seven minimum-required smtp) encendido al mail server detrás del firewall PIX. Entonces vuelve una AUTORIZACIÓN al usuario sin importar si pasaron encendido o fueron negado el comando entered. De esta manera, el PIX confunde cualquier persona que intente un ataque en el sistema de correo. La función de vigilancia de correo también trabaja en las versiones 4.2 y posterior. Se activa usando el comando fixup protocol smtp 25 en vez del comando mailhost.

Nota: Si usted tiene un servidor ESMTP detrás del PIX, tal como un Microsoft Exchange Server, usted puede ser que necesite apagar la función de vigilancia de correo para permitir que el correo fluya correctamente. También, hacer Telnet al puerto 25 no pudo trabajar con el comando fixup protocol smtp, especialmente con un cliente Telnet que hace al modo de carácter.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 4733