Seguridad Policy para permitir/denegar un determinado ICMP tipo

Seguridad Policy para permitir/denegar un determinado ICMP tipo

97610
Created On 09/25/18 17:27 PM - Last Modified 06/01/23 03:01 AM


Resolution


Visión general

Hay casos en los que solo se debe permitir un tipo específico de protocolo de mensajes de control de Internet ( ICMP ), en lugar de permitir todos los ICMP tipos. ICMP se utiliza como herramienta de diagnóstico de red y se clasifica en dos categorías principales en función de su funcionalidad:

 

  • Mensajes de notificación de errores (tipo 3,4,5,11,12): los mensajes de informes de errores notifican problemas que un enrutador o un host de destino pueden encontrar cuando intenta procesar un IP paquete.
  • Mensajes de consulta (tipo 0, 8, 13, 14)-los mensajes de consulta, que se producen en pares, ayudan a un host o a un administrador de red a obtener información específica de un router u otro host.

 

Los mensajes de informe de errores son buenos para los administradores, ya que pueden diagnosticar la red basándose en esta información. Sin embargo, con la ayuda de los mensajes de la consulta, hay una buena ocasión que incluso un hacker puede obtener la información potencial de la red. Debe haber un mecanismo para permitir ICMP tipos que son útiles y para negar los que causan daño. En la capa de aplicación, la identificación se basa en la Aplicación ICMP y no se basa en los códigos, sin embargo, palo alto networks tiene un mecanismo para permitir o firewall denegar ICMP tipos específicos.

Nota:
Este documento no se aplica a ICMP los mensajes de informe de errores, ya que los mensajes de informe de errores coincidirán con la sesión del paquete original incrustado y se permitirán. 
Consulte el siguiente documento para comprender cómo bloquear ICMP los mensajes de informe de errores.
HOW TO ALLOW /BLOCK ICMP ERROR REPORTING PACKETS
 

Resolución

Por ejemplo, para permitir solo ICMP solicitudes de eco pero denegar el resto del tráfico, cree una personalización app para el tráfico basada en el ICMP tipo de ICMP ICMP paquete (8). Para este tipo de aplicación personalizada, no es necesario crear una anulación policy de aplicación como en el caso del tráfico tcp/udp.

 

Para bloquear ICMP mensajes de tipo específicos, cree una aplicación personalizada para cada tipo:

 

  1. Ir a objetos > aplicaciones > agregar y crear un nombre personalizado (para este escenario, se utilizaron los mensajes de tipo de bloque 13) y especifique una categoría:
    1.JPG
  2. Vaya a Avanzado, haga clic en ICMP Tipo y especifique los tipos necesarios separados por comas:
    2.JPG
  3. Guarde la aplicación y asígnele el nombre Denegar policy (que se muestra en el ejemplo), coloque en la parte superior de Directivas de cualquier zona a cualquier para que todo el tráfico deniegue esta aplicación: Para bloquear ICMP Tipo 8:

    3.JPG4.JPG
    Captura de pantalla 2013-03-14 a las 5.35.02 PM .png
    La aplicación personalizada se puede aplicar en un valor .policy
    Captura de pantalla 2013-03-14 a las 5.36.45 PM .png

 

Propietario: ymiyashita
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFZCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language