Thi*_*his 8 cisco firewall smtp unicode
我们将带有 unicode 亚洲字符的邮件发送到 WAN 另一端的邮件服务器......从运行 2.3(2) 的 FWSM 升级到运行 8.2(5) 的 ASA5550 后,我们看到包含 unicode 的邮件作业失败和其他编码为 Base64 的文本。
症状非常明显……使用 ASA 的数据包捕获实用程序,我们在流量离开 ASA 之前和之后捕获了流量……
access-list PCAP line 1 extended permit tcp any host 192.0.2.25 eq 25
capture pcap_inside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface inside
capture pcap_outside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface WAN
我从网上下载的ASA通过pcaps去https://<fw_addr>/pcap_inside/pcap和https://<fw_addr>/pcap_outside/pcap...当我看着他们Wireshark的>按照TCP流,内部流量进入了ASA这个样子的
EHLO metabike
AUTH LOGIN
YzFwbUlciXNlck==
cZUplCVyXzRw
但是在外部接口上离开 ASA 的相同邮件看起来像这样......
EHLO metabike
AUTH LOGIN
YzFwbUlciXNlck==
XXXXXXXXXXXX
XXXX 字符是关于...我通过禁用 ESMTP 检查解决了这个问题:
wan-fw1(config)# policy-map global_policy
wan-fw1(config-pmap)# class inspection_default
wan-fw1(config-pmap-c)# no inspect esmtp
wan-fw1(config-pmap-c)# end
5 美元的问题...我们的旧 FWSM 使用 SMTP 修复没有问题...邮件在我们将新 ASA 上线的那一刻就被删除了...现在正在破坏邮件的 ASA 有什么特别之处?
注意:用户名/密码/应用程序名称已更改...不要费心尝试对文本进行 Base64 解码。
该用户名的“真实”版本(解码后)中是否有 UTF-8 字符?如果检查已触发,我猜它选择该特定行是有原因的。
但也许不是;检查功能更类似于混沌猴子而不是 IPS。就我个人而言,检查功能真正为我提供的唯一好处是令人头痛(通过过度积极地清理完全有效的流量)和安全漏洞。快速搜索一下:
inspect skinny)inspect sip)我的建议是不要因为需要关闭 ASA 协议检查的某些方面而失眠;无论如何,端点服务器应用程序(或像 Web 应用程序防火墙这样的目标安全平台)往往在强制执行协议合规性方面做得更好。
| 归档时间: |
|
| 查看次数: |
1870 次 |
| 最近记录: |