Test de la fonction Mailguard du pare-feu PIX Firewall
Transcription
Test de la fonction Mailguard du pare-feu PIX Firewall
Test de la fonction Mailguard du pare-feu PIX Firewall Contenu Introduction Conditions préalables Conditions requises Composants utilisés Conventions Test Mailguard Partie - Aucun Mailguard Partie - Mailguard Comment Mailguard fonctionne Informations connexes Introduction La caractéristique de Mailguard de logiciel PIX assainit le trafic de SMTP. Pour les versions du logiciel PIX 4.0 et 4.1, la commande de mailhost est utilisée de configurer Mailguard. Dans les versions du logiciel PIX 4.2 et plus tard, la commande a été changée au SMTP 25 de protocole de fixup. La charge statique et les instructions de conduit sont également exigées pour votre serveur de messagerie. Une fois configuré, Mailguard permet seulement les sept SMTP minimum-a exigé des commandes comme décrit dans la section 4.5.1 de RFC 821 . Ces sept minimum-ont exigé des commandes sont HÉLICOPTÈRE, MESSAGERIE, RCPT, des DONNÉES, ENSEMBLE DE RÉFÉRENCE, NOOP, et QUITTÉ. D'autres commandes, telles que la MISE À MORT, des AS, et ainsi de suite, sont interceptées par le PIX et elles ne sont jamais envoyées au serveur de messagerie sur l'intérieur de votre réseau. Le PIX répond avec un OK même aux commandes refusées, ainsi les attaquants ne savent pas que leurs tentatives sont contrecarrées. Ceci peut le faire sembler difficile de tester la caractéristique de Mailhost. Comment le connaissez-vous « fonctionne-vous comme annoncé, » est-ce que quand tout revient CORRECT ? Conditions préalables Conditions requises Aucune spécification déterminée n'est requise pour ce document. Composants utilisés Les informations dans ce document sont basées sur les versions du logiciel PIX 4.0 et plus tard. Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande. Conventions Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco. Test Mailguard Cette section décrit comment tester et s'assurer des travaux de Mailguard correctement. Cet essai a été réalisé avec les versions du logiciel PIX 4.0 et 4.1 utilisant la commande de mailhost. Afin de tester des versions 4.2 et ultérieures, utilisez la commande du SMTP 25 de protocole de fixup dans la partie, avec la charge statique et les instructions de conduit appropriées pour votre serveur de messagerie. Partie - Aucun Mailguard Procédez comme suit : 1. Employez un PIX pour créer une charge statique et un conduit normaux pour le TCP 25 (SMTP) et pour permettre tous les hôtes dans : static 111.222.111.1 10.2.1.1 conduit 111.222.111.1 25 tcp 0.0.0.0 0.0.0.0 2. De l'extérieur du PIX, telnet sur le port 25 à 111.222.111.1. yourusername@generic-host% telnet 111.222.111.1 25 Trying 111.222.121.1 ? Connected to 111.222.111.1. Escape character is ?^]? 220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11 ready for meltdown at Tue, 17 Jun 1997 1:23:23 20 ESMTP spoken here 3. Si vous écrivez la Quelque-faux-commande, vous devriez recevoir un message type-500 du serveur en échange. Some-fake-command 500 Command unrecognized Partie - Mailguard Terminez-vous ces étapes afin de configurer plus loin votre Mailguard : 1. Configurez le PIX avec la commande de mailhost. mailhost 111.222.111.1 10.2.1.1 2. Essayez votre telnet et fausse commande de nouveau. yourusername@generic-host% telnet 111.222.111.1 25 Trying 111.222.121.1 ? Connected to 111.222.111.1. Escape character is ?^]? 220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11 ready for meltdown at Tue, 17 Jun 1997 1:25:42 220 ESMTP spoken here some-fake-command OK Le PIX intercepte la fausse commande et retourne CORRECT. Comment Mailguard fonctionne Dans la partie, quand le mail server reçoit une commande non valide ou inacceptable, il génère un message non reconnu de 500 commandes. Dans la partie, quand Mailguard est configuré, le PIX puis intercepte la commande entrée, et transmet seulement les commandes valides (c'est-à-dire, une des sept commandes minimum-exigées de SMTP) au serveur de messagerie derrière le Pare-feu PIX. Il renvoie alors un OK à l'utilisateur indépendamment de si la commande entrée a été passée en fonction ou refusée. De cette façon, PIX confond n'importe qui qui tente une attaque sur le système de messagerie. La caractéristique de Mailguard fonctionne également dans les versions 4.2 et ultérieures. Il est lancé utilisant la commande du SMTP 25 de protocole de fixup au lieu de la commande de mailhost. Remarque: Si vous avez un serveur ESMTP derrière le PIX, tel qu'un Microsoft Exchange Server, vous pourriez devoir arrêter la caractéristique de Mailguard pour permettre à la messagerie pour circuler correctement. En outre, faire le telnet au port 25 ne pourrait pas fonctionner avec la commande de SMTP de protocole de fixup, particulièrement avec un client Telnet qui fait le mode caractère. Informations connexes Demandes de commentaires (RFC) Notes techniques de dépannage © 1992-2010 Cisco Systems Inc. Tous droits réservés. Date du fichier PDF généré: 18 octobre 2016 http://www.cisco.com/cisco/web/support/CA/fr/109/1091/1091627_22.html