Das Cisco FWSM -> ASA-Upgrade hat unseren Mailserver beschädigt

8

Wir senden E-Mails mit asiatischen Unicode-Zeichen an unseren Mailserver auf der anderen Seite unseres WAN. Unmittelbar nach dem Upgrade von einem FWSM mit 2.3 (2) auf einen ASA5550 mit 8.2 (5) wurden Fehler bei E-Mail-Jobs festgestellt, die Unicode enthielten und anderer als Base64 codierter Text.

Die Symptome sind ziemlich klar ... Mit dem Paketerfassungsdienstprogramm des ASA haben wir den Datenverkehr vor und nach dem Verlassen des ASA blockiert ...

access-list PCAP line 1 extended permit tcp any host 192.0.2.25 eq 25
capture pcap_inside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface inside
capture pcap_outside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface WAN

Ich habe die pcaps von der ASA heruntergeladen, indem ich zu https://<fw_addr>/pcap_inside/pcapund https://<fw_addr>/pcap_outside/pcap... gegangen bin. Als ich sie mit Wireshark> Follow TCP Stream angesehen habe, sieht der interne Datenverkehr, der in die ASA fließt, so aus

EHLO metabike

AUTH LOGIN

YzFwbUlciXNlck==

cZUplCVyXzRw

Aber die gleiche Mail, die den ASA auf der externen Oberfläche belässt, sieht folgendermaßen aus ...

EHLO metabike

AUTH LOGIN

YzFwbUlciXNlck==

XXXXXXXXXXXX

Die XXXX-Zeichen betreffen ... Ich habe das Problem behoben, indem ich die ESMTP-Überprüfung deaktiviert habe:

wan-fw1(config)# policy-map global_policy

wan-fw1(config-pmap)# class inspection_default

wan-fw1(config-pmap-c)# no inspect esmtp

wan-fw1(config-pmap-c)# end

Die 5-Dollar-Frage ... unser alter FWSM hat SMTP-Fixup ohne Probleme verwendet ... E-Mail ging genau in dem Moment aus, in dem wir die neuen ASAs online gestellt haben ... Was ist speziell anders an der ASA, dass sie diese E-Mail jetzt bricht?


Hinweis: Benutzernamen / Passwörter / App-Namen wurden geändert. Versuchen Sie nicht, diesen Text mit Base64 zu dekodieren.

Mike Pennington
quelle

Antworten:

4

Gibt es UTF-8-Zeichen in der "echten" Version dieses Benutzernamens (nach dem Dekodieren)? Wenn die Inspektion darauf ausgelöst hat, gibt es vermutlich einen Grund, warum diese bestimmte Zeile ausgewählt wurde.

Aber vielleicht auch nicht; Die Inspektionsfunktion ähnelt eher dem Chaosaffen als einem IPS. Persönlich waren die einzigen Dinge, die die Inspektionsfunktionen wirklich für mich bereitgestellt haben, Kopfschmerzen (durch übermäßig aggressive Desinfektion von einwandfreiem Datenverkehr) und Sicherheitslücken. Aus einer Schnellsuche:

  • CVE-2011-0394 (Neustart des ASA von inspect skinny)
  • CVE-2012-2472 (CPU DoS von inspect sip)
  • CVE-2012-4660 / 4661/4662 (mehr Neustarts, Sie bekommen die Idee)

Meine Empfehlung ist, nicht viel Schlaf zu verlieren, weil Aspekte der Protokollinspektion der ASA ausgeschaltet werden müssen. Die Endpunktserveranwendungen (oder eine gezielte Sicherheitsplattform wie eine Webanwendungsfirewall) können die Protokollkonformität ohnehin viel besser durchsetzen.

Shane Madden
quelle
Ich muss untersuchen, ob der UTF-8 gültig war ... Ich verliere den Schlaf mehr aufgrund irrationaler Schlussfolgerungen (Rollback zum FWSM), die von politischen Akteuren im Unternehmen gezogen wurden, als weil ich die Inspektion aus technischen Gründen deaktivieren muss ...
Mike Pennington
Ich bin mit Mike in diesem Fall. "Protokollkorrektur" ignoriert im Allgemeinen alle Arten von Eckfällen in den RFCs, da sie (ich vermute stark) niemals Leute in jedem Protokoll dazu bringen, die Anforderungen für den Korrekturcode zu schreiben. MTAs hingegen sind mit der arkanen Kunst des SMTP bestens vertraut und viel besser in der Lage, Verrücktheiten in der Verbindung zu erkennen. Holen Sie sich einen anständigen, starken MTA, halten Sie ihn gut gepatcht, schalten Sie die Reparatur aus und schlafen Sie tief und fest. Übrigens kann ein Front-End-MTA-Relay den Hauptpostspeicher dahinter oft viel besser schützen, wenn Sie sich wirklich Sorgen machen.
MadHatter
2
Die in Base64 codierten Zeichen waren gültig, die ESMTP-Prüfung der ASA ist nur fehlerhaft ... für uns dauerhaft deaktiviert ... und für die Zukunft für sich selbst zu beachten.
Mike Pennington