Безопасность : Устройства защиты Cisco PIX серии 500

Тестирование функции Mailguard брандмауэра PIX

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Функция PIX Software Mailguard "обеззараживает" SMTP-трафик. Для программного обеспечения PIX версий 4.0 и 4.1 команда почтового сервера используется для настройки Mailguard. В Версиях ПО PIX 4.2 и позже, команда была изменена на протокол FIXUP smtp 25. Помехи и инструкции канала передачи данных также требуются для почтового сервера.

Когда настроено, Mailguard позволяет только семи SMTP требуемые от минимума команды, как описано в Разделе 4.5.1 из RFC 821 leavingcisco.com. Эти семь требуемых от минимума команд являются HELO, ПОЧТОЙ, RCPT, ДАННЫМИ, RSET, NOOP и ВЫХОДОМ. Другие команды, те, которые УНИЧТОЖАЮТ, WIZ, и т.д, перехвачены PIX, и они никогда не передаются почтовому серверу на внутренней части сети. PIX отвечает OK даже к запрещенным командам, таким образом, атакующие не знают, что мешают их попыткам.

Это может заставить его казаться трудным протестировать функцию Mailhost. Как убедиться, что все работает правильно, если на все команды приходит ответ "ОК"?

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на Версиях ПО PIX 4.0 и позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Тестовый Mailguard

В этом разделе описывается протестировать и удостовериться, что Mailguard работает должным образом. Этот тест был выполнен с Версиями ПО PIX 4.0 и 4.1 с помощью команды mailhost. Чтобы к тестовым версиям 4.2 и позже, используйте команду fixup protocol smtp 25 в части 2, вместе с подходящим статические и инструкциями канала передачи данных для почтового сервера.

Часть 1 – Нет программы защиты почты Mailguard

Выполните следующие действия:

  1. Используйте PIX, чтобы создать обычные помехи и conduit для (SMTP) TCP 25 и позволить всем хостам войти:

    static  111.222.111.1 10.2.1.1
      conduit 111.222.111.1 25 tcp 0.0.0.0 0.0.0.0
  2. Извне PIX, Telnet порта 25 в 111.222.111.1.

    yourusername@generic-host%  telnet 111.222.111.1 25
    
    Trying 111.222.121.1 ?
      Connected to 111.222.111.1.
      Escape character is ?^]?
      220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11
      ready for meltdown at Tue, 17 Jun 1997 1:23:23
      20 ESMTP spoken here
  3. При вводе Some-fake-command необходимо получить тип 500 сообщений от сервера в ответ.

    Some-fake-command
     
    500 Command unrecognized

Часть 2 - Mailguard

Выполните эти шаги для дальнейшей настройки Mailguard:

  1. Настройте PIX с командой mailhost.

    mailhost 111.222.111.1 10.2.1.1
    
  2. Попробуйте Telnet и фальсифицируйте команду снова.

    yourusername@generic-host%  telnet 111.222.111.1 25
    
    Trying 111.222.121.1 ?
      Connected to 111.222.111.1.
      Escape character is ?^]?
      220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11
      ready for meltdown at Tue, 17 Jun 1997 1:25:42
      220 ESMTP spoken here
    some-fake-command
      
    OK

    PIX перехватывает поддельную команду и возвращается ОК.

Как работает программа защиты почты Mailguard

В части 1, когда mailserver получает недопустимую или недопустимую команду, он генерирует сообщение 500 Command unrecognized. В части 2, когда Mailguard настроен, PIX тогда перехватывает введенную команду и передает только допустимые команды (т.е. одна из семи требуемых от минимума команд SMTP) на почтовом сервере позади Межсетевого экрана PIX. Это тогда возвращает OK к пользователю независимо от того, была ли введенная команда передана или запрещена. Таким образом PIX смущает любого, который делает попытку атаки на почтовую систему. Характеристика защиты почты также работает в версиях 4.2 и позже. Это активировано с помощью команды fixup protocol smtp 25 вместо команды mailhost.

Примечание: Если у вас есть сервер ESMTP позади PIX, такого как Microsoft Exchange Server, вы, возможно, должны были бы выключить Характеристику защиты почты, чтобы позволить почте течь должным образом. Кроме того, выполнение Telnet для портирования 25 не могло бы работать с командой fixup protocol smtp, особенно с Клиентом Telnet, который делает символьный режим.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 4733