Wie man Palo Alto Networks Firewall von Trace Route verbirgt
Symptom
Resolution
Eine Schnittstelle vor Spuren Ergebnissen verstecken
Trace-Route funktioniert, indem man Pakete mit allmählich steigendem TTL-Wert sendet, beginnend mit TTL 1.
Das erste L3-Gerät empfängt das Paket und lässt die Pakete fallen, da der TTL dann einen Wert von 0 hat. Gleichzeitig sendet das L3-Gerät eine ICMP-Zeit überstieg Nachricht an den Absender zurück (aber damit wird ein Hopfen entdeckt).
Wenn die Quelle die ÜberSchritt Bare Nachricht erhält, erhöht Sie den TTL-Wert, und dieser Prozess geht weiter, bis Sie einen Zielport unerreichbare Nachricht erhält.
Um also jede Schnittstelle vor den Spuren Ergebnissen zu verbergen, müssen wir diese Schnittstelle vom Versenden einer ICMP-Zeit-ÜberSchritten-Nachricht einschränken, die mit Hilfe eines Zonen Schutz Profils erfolgen kann.
Fall 1: Spuren Ergebnisse, wenn kein Zonen Verarbeitung-Profil konfiguriert ist
Wenn Sie eine Spur zu einem Google DNS-Server von einem internen Host aus machen, werden Sie Palo Alto Networks Firewall als ersten Hop beobachten.
C:\Users\Administrator > tracert-d 8.8.8.8
Verfolgungs Route nach 8.8.8.8 über maximal 30 Hopfen
1 1 MS < palo="" alto="" netowks="" firewall="" inside="" interface=""> </>> auch das Gateway für Insider-Benutzer 2 1 ms 1 ms 1 MS 10.50.241.75 3 5 MS 4 MS 3 MS 103.245.157.17 4 10 MS 4 MS 14 ms 103.245.157.177 5 6 ms 31 ms 5 ms 182.74.212.225 6 268 MS 27 MS 129 MS 182.79.243.26 7 27 MS 5 ms 11 MS 72.14.242.178 8 6 MS 13 ms 14 MS 72.14.236.57 9 14 ms 6 ms 5 ms 66.249.94.189<x 9=""> 10 * 17 ms 22 MS 8.8.8.8 </x>
Spur komplett.
Hinweis: das Management-Profil ist nur für den Verkehr, der für diese Schnittstelle bestimmt ist. Jeder Passthrough-Verkehr wird das Management-Profil nicht berücksichtigen. Auch wird die Verwendung einer Sicherheitsrichtlinie eine Schnittstelle nicht von einer Spur verbergen.
Fall 2: Spuren Ergebnisse mit Zonen Schutzprofil
Um die Palo Alto Networks Firewall von der Trace-Route zu verstecken, können Sie den abgelaufenen Fehler von ICMP TTL unterDrücken, der die traceroute-Funktionalität bricht (stoppt das Versenden von ICMP TTL-abgelaufenen Nachrichten).
Da die TTL-Zeit ÜberSchritten wird, wird es nie an die Quelle (auf der Schnittstelle mit Zonen Schutz angewendet), Palo Alto Networks verbirgt seine Identität.
Spuren Ergebnisse nach Anwendung des Zonen Schutz Profils:
C:\Users\Administrator > tracert-d 8.8.8.8
Verfolgungs Route nach 8.8.8.8 über maximal 30 Hopfen
1 * * * Anfrage abgelaufen. * * * Zeigt an, dass Firewall-Einstellungen es davon abhalten, seine Identität aufzudecken.
2 1 ms 1 ms 1 MS 10.50.241.75
3 186 MS 24 MS 4 MS 103.245.157.17
4 212 MS 112 MS 20 ms 103.245.157.177 5 240 MS 170 MS 247 MS 182.74.212.225 6 233 ms 381 MS 160 MS 182.79.243.26 7 213 MS 77 MS 155 MS
72.14.242.178
8 7 ms 11 ms 8 MS 72.14.236.57
9 64 MS 52 MS 56 MS 66.249.94.189
10 17 ms 16 ms 7 MS 8.8.8.8
Spur komplett.
Wenn Sie also Ihre Palo Alto Networks Firewall von einer Trace-Route ausblenden wollen, verwenden Sie die obige Methode.