Das Cisco FWSM -> ASA-Upgrade hat unseren Mailserver beschädigt

Wir senden E-Mails mit asiatischen Unicode-Zeichen an unseren Mailserver auf der anderen Seite unseres WAN. Unmittelbar nach dem Upgrade von einem FWSM mit 2.3 (2) auf einen ASA5550 mit 8.2 (5) wurden Fehler bei E-Mail-Jobs festgestellt, die Unicode enthielten und anderer als Base64 codierter Text.

Die Symptome sind ziemlich klar ... Mit dem Paketerfassungsdienstprogramm des ASA haben wir den Datenverkehr vor und nach dem Verlassen des ASA blockiert ...

access-list PCAP line 1 extended permit tcp any host 192.0.2.25 eq 25
capture pcap_inside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface inside
capture pcap_outside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface WAN

Ich habe die pcaps von der ASA heruntergeladen, indem ich zu https://<fw_addr>/pcap_inside/pcapund https://<fw_addr>/pcap_outside/pcap... gegangen bin. Als ich sie mit Wireshark> Follow TCP Stream angesehen habe, sieht der interne Datenverkehr, der in die ASA fließt, so aus

EHLO metabike

AUTH LOGIN

YzFwbUlciXNlck==

cZUplCVyXzRw

Aber die gleiche Mail, die den ASA auf der externen Oberfläche belässt, sieht folgendermaßen aus ...

EHLO metabike

AUTH LOGIN

YzFwbUlciXNlck==

XXXXXXXXXXXX

Die XXXX-Zeichen betreffen ... Ich habe das Problem behoben, indem ich die ESMTP-Überprüfung deaktiviert habe:

wan-fw1(config)# policy-map global_policy

wan-fw1(config-pmap)# class inspection_default

wan-fw1(config-pmap-c)# no inspect esmtp

wan-fw1(config-pmap-c)# end

Die 5-Dollar-Frage ... unser alter FWSM hat SMTP-Fixup ohne Probleme verwendet ... E-Mail ging genau in dem Moment aus, in dem wir die neuen ASAs online gestellt haben ... Was ist speziell anders an der ASA, dass sie diese E-Mail jetzt bricht?

Hinweis: Benutzernamen / Passwörter / App-Namen wurden geändert. Versuchen Sie nicht, diesen Text mit Base64 zu dekodieren.

Gibt es UTF-8-Zeichen in der "echten" Version dieses Benutzernamens (nach dem Dekodieren)? Wenn die Inspektion darauf ausgelöst hat, gibt es vermutlich einen Grund, warum diese bestimmte Zeile ausgewählt wurde.

Aber vielleicht auch nicht; Die Inspektionsfunktion ähnelt eher dem Chaosaffen als einem IPS. Persönlich waren die einzigen Dinge, die die Inspektionsfunktionen wirklich für mich bereitgestellt haben, Kopfschmerzen (durch übermäßig aggressive Desinfektion von einwandfreiem Datenverkehr) und Sicherheitslücken. Aus einer Schnellsuche:

• CVE-2011-0394 (Neustart des ASA von inspect skinny)
• CVE-2012-2472 (CPU DoS von inspect sip)
• CVE-2012-4660 / 4661/4662 (mehr Neustarts, Sie bekommen die Idee)

Meine Empfehlung ist, nicht viel Schlaf zu verlieren, weil Aspekte der Protokollinspektion der ASA ausgeschaltet werden müssen. Die Endpunktserveranwendungen (oder eine gezielte Sicherheitsplattform wie eine Webanwendungsfirewall) können die Protokollkonformität ohnehin viel besser durchsetzen.