思科FWSM-> ASA升级破坏了我们的邮件服务器

我们将带有Unicode亚洲字符的邮件发送到WAN另一端的邮件服务器...从运行2.3（2）的FWSM升级到运行8.2（5）的ASA5550之后，我们立即发现包含Unicode的邮件作业失败以及其他编码为Base64的文本。

症状非常明显...使用ASA的数据包捕获实用程序，我们在流量离开ASA之前和之后都将流量捕获了...

access-list PCAP line 1 extended permit tcp any host 192.0.2.25 eq 25
capture pcap_inside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface inside
capture pcap_outside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface WAN

我通过转到… 从ASA下载了pcap https://<fw_addr>/pcap_inside/pcap，https://<fw_addr>/pcap_outside/pcap...使用Wireshark> Follow TCP Stream进行查看时，进入ASA的内部流量如下所示

EHLO metabike

AUTH LOGIN

YzFwbUlciXNlck==

cZUplCVyXzRw

但是在外部接口上离开ASA的同一封邮件看起来像这样...

EHLO metabike

AUTH LOGIN

YzFwbUlciXNlck==

XXXXXXXXXXXX

XXXX字符与...有关。我通过禁用ESMTP检查解决了该问题：

wan-fw1(config)# policy-map global_policy

wan-fw1(config-pmap)# class inspection_default

wan-fw1(config-pmap-c)# no inspect esmtp

wan-fw1(config-pmap-c)# end

$ 5的问题...我们的旧FWSM使用SMTP修复没有问题...在我们使新ASA联机的那一刻邮件就掉了...现在正在破坏这封邮件的ASA有何特别区别？

注意：用户名/密码/应用程序名称已更改...不必费心尝试对Base64解码此文本。

该用户名的“真实”版本中（解码后）是否存在UTF-8字符？如果检查已触发，则可能是因为它选择了该特定行是有原因的。

但也许不是；检查功能更像是混乱的猴子，而不是IPS。就个人而言，检查功能真正为我提供的唯一东西是头痛（通过过度积极地清理完全有效的流量）和安全漏洞。快速搜索：

• CVE-2011-0394（从重启ASA inspect skinny）
• CVE-2012-2472（来自的CPU DoS inspect sip）
• CVE-2012-4660 / 4661/4662（更多重新启动，您就明白了）

我的建议是不要因需要关闭ASA协议检查的各个方面而睡得很香。端点服务器应用程序（或目标安全平台，如Web应用程序防火墙）往往在执行协议遵从性方面做得更好。