Test de la fonction Mailguard du pare-feu PIX Firewall

Test de la fonction Mailguard du pare-feu PIX Firewall
Contenu
Introduction
Conditions préalables
Conditions requises
Composants utilisés
Conventions
Test Mailguard
Partie - Aucun Mailguard
Partie - Mailguard
Comment Mailguard fonctionne
Informations connexes
Introduction
La caractéristique de Mailguard de logiciel PIX assainit le trafic de SMTP. Pour les versions du logiciel PIX 4.0 et 4.1, la commande de mailhost
est utilisée de configurer Mailguard. Dans les versions du logiciel PIX 4.2 et plus tard, la commande a été changée au SMTP 25 de protocole de
fixup. La charge statique et les instructions de conduit sont également exigées pour votre serveur de messagerie.
Une fois configuré, Mailguard permet seulement les sept SMTP minimum-a exigé des commandes comme décrit dans la section 4.5.1 de RFC
821 . Ces sept minimum-ont exigé des commandes sont HÉLICOPTÈRE, MESSAGERIE, RCPT, des DONNÉES, ENSEMBLE DE
RÉFÉRENCE, NOOP, et QUITTÉ. D'autres commandes, telles que la MISE À MORT, des AS, et ainsi de suite, sont interceptées par le PIX et
elles ne sont jamais envoyées au serveur de messagerie sur l'intérieur de votre réseau. Le PIX répond avec un OK même aux commandes
refusées, ainsi les attaquants ne savent pas que leurs tentatives sont contrecarrées.
Ceci peut le faire sembler difficile de tester la caractéristique de Mailhost. Comment le connaissez-vous « fonctionne-vous comme annoncé, »
est-ce que quand tout revient CORRECT ?
Conditions préalables
Conditions requises
Aucune spécification déterminée n'est requise pour ce document.
Composants utilisés
Les informations dans ce document sont basées sur les versions du logiciel PIX 4.0 et plus tard.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les
périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous
que vous comprenez l'effet potentiel de toute commande.
Conventions
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Test Mailguard
Cette section décrit comment tester et s'assurer des travaux de Mailguard correctement. Cet essai a été réalisé avec les versions du logiciel PIX
4.0 et 4.1 utilisant la commande de mailhost. Afin de tester des versions 4.2 et ultérieures, utilisez la commande du SMTP 25 de protocole de
fixup dans la partie, avec la charge statique et les instructions de conduit appropriées pour votre serveur de messagerie.
Partie - Aucun Mailguard
Procédez comme suit :
1. Employez un PIX pour créer une charge statique et un conduit normaux pour le TCP 25 (SMTP) et pour permettre tous les hôtes dans :
static 111.222.111.1 10.2.1.1
conduit 111.222.111.1 25 tcp 0.0.0.0 0.0.0.0
2. De l'extérieur du PIX, telnet sur le port 25 à 111.222.111.1.
yourusername@generic-host%
telnet 111.222.111.1 25
Trying 111.222.121.1 ?
Connected to 111.222.111.1.
Escape character is ?^]?
220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11
ready for meltdown at Tue, 17 Jun 1997 1:23:23
20 ESMTP spoken here
3. Si vous écrivez la Quelque-faux-commande, vous devriez recevoir un message type-500 du serveur en échange.
Some-fake-command
500 Command unrecognized
Partie - Mailguard
Terminez-vous ces étapes afin de configurer plus loin votre Mailguard :
1. Configurez le PIX avec la commande de mailhost.
mailhost 111.222.111.1 10.2.1.1
2. Essayez votre telnet et fausse commande de nouveau.
yourusername@generic-host%
telnet 111.222.111.1 25
Trying 111.222.121.1 ?
Connected to 111.222.111.1.
Escape character is ?^]?
220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11
ready for meltdown at Tue, 17 Jun 1997 1:25:42
220 ESMTP spoken here
some-fake-command
OK
Le PIX intercepte la fausse commande et retourne CORRECT.
Comment Mailguard fonctionne
Dans la partie, quand le mail server reçoit une commande non valide ou inacceptable, il génère un message non reconnu de 500
commandes. Dans la partie, quand Mailguard est configuré, le PIX puis intercepte la commande entrée, et transmet seulement les commandes
valides (c'est-à-dire, une des sept commandes minimum-exigées de SMTP) au serveur de messagerie derrière le Pare-feu PIX. Il renvoie alors un
OK à l'utilisateur indépendamment de si la commande entrée a été passée en fonction ou refusée. De cette façon, PIX confond n'importe qui qui
tente une attaque sur le système de messagerie. La caractéristique de Mailguard fonctionne également dans les versions 4.2 et ultérieures. Il est
lancé utilisant la commande du SMTP 25 de protocole de fixup au lieu de la commande de mailhost.
Remarque: Si vous avez un serveur ESMTP derrière le PIX, tel qu'un Microsoft Exchange Server, vous pourriez devoir arrêter la caractéristique
de Mailguard pour permettre à la messagerie pour circuler correctement. En outre, faire le telnet au port 25 ne pourrait pas fonctionner avec la
commande de SMTP de protocole de fixup, particulièrement avec un client Telnet qui fait le mode caractère.
Informations connexes
Demandes de commentaires (RFC)
Notes techniques de dépannage
© 1992-2010 Cisco Systems Inc. Tous droits réservés.
Date du fichier PDF généré: 18 octobre 2016
http://www.cisco.com/cisco/web/support/CA/fr/109/1091/1091627_22.html