Cisco FWSM-> ASAのアップグレードでメールサーバーが破損しました
WANの反対側にあるメールサーバーにUnicodeアジア文字のメールを送信します... 2.3(2)を実行しているFWSMから8.2(5)を実行しているASA5550にアップグレードした直後に、Unicodeを含むメールジョブでエラーが発生しましたおよびBase64としてエンコードされたその他のテキスト。
症状はかなり明確です... ASAのパケットキャプチャユーティリティを使用して、ASAを離れる前後にトラフィックを捕捉しました...
access-list PCAP line 1 extended permit tcp any Host 192.0.2.25 eq 25
capture pcap_inside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface inside
capture pcap_outside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface WAN
Wiresharkでpcapを確認したときにhttps://<fw_addr>/pcap_inside/pcapとhttps://<fw_addr>/pcap_outside/pcap...に移動して、ASAからpcapをダウンロードしました> Follow TCP Stream、内部トラフィックが入りますASAは次のようになります
EHLO metabike
AUTH LOGIN
YzFwbUlciXNlck==
cZUplCVyXzRw
しかし、ASAを外部インターフェイスに残す同じメールは次のようになります...
EHLO metabike
AUTH LOGIN
YzFwbUlciXNlck==
XXXXXXXXXXXX
XXXX文字が関係しています... ESMTP検査を無効にすることで問題を修正しました:
wan-fw1(config)# policy-map global_policy
wan-fw1(config-pmap)# class inspection_default
wan-fw1(config-pmap-c)# no inspect esmtp
wan-fw1(config-pmap-c)# end
5ドルの質問...古いFWSMは問題なくSMTP修正を使用しました...新しいASAをオンラインにした瞬間にメールがダウンしました...現在このメールを壊しているASAの具体的な違いは何ですか?
注:ユーザー名/パスワード/アプリ名が変更されました...このテキストをBase64でデコードしようとしないでください。
そのユーザー名の「実際の」バージョン(デコード後)にUTF-8文字がありますか?検査がトリガーされた場合、その特定の行が選択された理由があると思います。
しかし、そうではないかもしれません。検査機能は、IPSよりもカオスモンキーに似ています。個人的には、検査機能が実際に私に提供してくれたのは、頭痛(完全に有効なトラフィックの過度に積極的なサニタイズによる)とセキュリティの脆弱性だけでした。クイック検索から:
- CVE-2011-0394(
inspect skinnyからのASAのリブート) - CVE-2012-2472(
inspect sipからのCPUDoS) - CVE-2012-4660/4661/4662(再起動を増やすとアイデアが浮かびます)
私の推奨事項は、ASAのプロトコル検査の側面をオフにする必要があることで多くの睡眠を失わないことです。エンドポイントサーバーアプリケーション(またはWebアプリケーションファイアウォールなどのターゲットセキュリティプラットフォーム)は、とにかくプロトコルコンプライアンスを実施する上ではるかに優れた仕事をする傾向があります。