Cisco -> ASA升级损坏了我们的邮件服务器。

Question

我们将带有unicode亚洲字符的邮件发送到广域网另一端的邮件服务器.从运行2.3(2)的FWSM升级到运行8.2(5)的ASA5550之后，我们立即看到包含unicode和其他以Base64编码的文本的邮件作业出现故障。

症状很明显..。使用ASA的数据包捕获实用程序，我们在它离开ASA之前和之后捕获了流量.

access-list PCAP line 1 extended permit tcp any host 192.0.2.25 eq 25
capture pcap_inside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface inside
capture pcap_outside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface WAN

我通过https://<fw_addr>/pcap_inside/pcap和https://<fw_addr>/pcap_outside/pcap从ASA下载了pcaps .当我使用Wireshark >跟随TCP流查看它们时，进入ASA的内部流量如下所示

EHLO metabike

AUTH LOGIN

YzFwbUlciXNlck==

cZUplCVyXzRw

但是在外部界面上离开ASA的邮件看起来是这样的.

EHLO metabike

AUTH LOGIN

YzFwbUlciXNlck==

XXXXXXXXXXXX

XXXX字符是关于..。我通过禁用ESMTP检查来解决此问题：

wan-fw1(config)# policy-map global_policy

wan-fw1(config-pmap)# class inspection_default

wan-fw1(config-pmap-c)# no inspect esmtp

wan-fw1(config-pmap-c)# end

5美元的问题..。我们以前的FWSM使用SMTP补丁而没有问题..。就在我们把新的ASAs上线的那一刻邮件掉了.特别是ASA有什么不同，因为它现在正在破坏这个邮件？

注意:用户名/密码/应用程序名称被更改.不要费心尝试对这篇文章进行基础64解码。

Answer 1

该用户名的“真实”版本中是否有UTF-8字符(解码后)？如果检查触发了，我猜是有原因的，它选择了具体的路线。

但也许不是，检查功能更像混沌猴子，而不是IPS。就我个人而言，检查功能真正提供给我的唯一东西是头痛(通过过度积极地清除完全有效的流量)和安全漏洞。通过快速搜索：

• CVE-2011-0394 (从inspect skinny重新启动ASA )
• CVE-2012-2472 (CPU DoS来自inspect sip)
• CVE-2012-4660/4661/4662 (更多的重新启动，你明白了)

我的建议是，不要因为需要关闭ASA协议检查的各个方面而失眠；端点服务器应用程序(或者像web应用程序防火墙这样的目标安全平台)在执行协议遵从性方面做得更好。