Cómo ocultar el cortafuegos de Palo Alto Networks desde trazar ruta
Symptom
Resolution
Ocultar una interfaz de los resultados de traza
Trazar-ruta funciona enviando los paquetes con el valor TTL gradualmente cada vez mayor, comenzando con TTL 1.
El primer dispositivo L3 que receiviny el paquete decrementa el TTL y deja caer los paquetes como el TTL entonces tiene un valor de 0. Al mismo tiempo, el dispositivo L3 envía un mensaje ICMP tiempo excedido al remitente (pero con esto se descubre un salto).
Cuando la fuente recibe el mensaje de tiempo excedido, aumenta el valor TTL y este proceso continúa hasta que recibe un mensaje inalcanzable de puerto de destino.
Por lo tanto, para ocultar cualquier interfaz de los resultados de traza, tenemos que restringir que la interfaz de enviar un mensaje de tiempo excedido de ICMP, que se puede hacer mediante el uso de un perfil de protección de zona.
Caso 1: resultados de traza cuando no se configura ningún perfil Proctection de zona
Haciendo una ruta de rastreo a un servidor DNS de Google desde un host interno, se observará el Firewall de Palo Alto Networks como primer salto.
C:\Users\Administrator > tracert-d 8.8.8.8
Trazando ruta a 8.8.8.8 sobre un máximo de 30 saltos
1 1 ms < palo="" alto="" netowks="" firewall="" inside="" interface=""> </>> también la puerta de entrada para los usuarios internos 2 1 MS 1 MS 1 ms 10.50.241.75 3 5 MS 4 MS 3 MS 103.245.157.17 4 10 ms 4 MS 14 MS 103.245.157.177 5 6 ms 31 MS 5 ms 182.74.212.225 6 268 MS 27 MS 129 MS 182.79.243.26 7 27 MS 5 ms 11 MS 72.14.242.178 8 6 MS 13 MS 14 MS 72.14.236.57 9 14 ms 6 ms 5 ms 66.249.94.189<x 9=""> 10 * 17 MS 22 ms 8.8.8.8 </x>
Traza completa.
Nota: el perfil de gestión es sólo para el tráfico destinado a esa interfaz. Cualquier tráfico passthrough no tendrá en cuenta el perfil de gestión. Además, el uso de una directiva de seguridad no ocultará una interfaz de un seguimiento.
Caso 2: resultados de traza con el perfil de protección de zona
Para ocultar el cortafuegos de Palo Alto Networks desde la ruta de seguimiento, Active suprimir el error expirado de ICMP TTL, que rompe la funcionalidad de rutas de rastreo, (deja de enviar mensajes expirados de ICMP TTL).
Como el mensaje de tiempo TTL superado nunca llegará al origen (aplicado en la interfaz mediante protección de zonas), Palo Alto Networks oculta su identidad.
Trazar resultados después de aplicar Perfil de protección de zona:
C:\Users\Administrator > tracert-d 8.8.8.8
Trazando ruta a 8.8.8.8 sobre un máximo de 30 saltos
1 * * * solicitud de tiempo de salida. * * * Indica que la configuración del cortafuegos lo mantiene alejado de revelar su identidad.
2 1 EM MS 1 MS 1 ms 10.50.241.75
3 186 MS 24 ms 4 MS 103.245.157.17 4 212 MS 112 MS 20 MS 103.245.157.177 5 240 MS 170 MS 247 MS 182.74.212.225 6 233 MS 381 MS 160 ms 182.79.243.26 7 213 MS 77 MS 155 MS
72.14.242.178
8 7 ms 11 ms 8 ms 72.14.236.57
9 64 MS 52 MS 56 MS 66.249.94.189
10 17 MS 16 ms 7 ms 8.8.8.8
Traza completa.
Por lo tanto, si desea ocultar su firewall Palo Alto Networks desde una ruta de seguimiento, utilice el método anterior.