Comment cacher Palo Alto Networks Firewall de trace route
Symptom
Resolution
Masquage d'une interface à partir de résultats de traçage
Trace-route fonctionne en envoyant des paquets avec une valeur TTL augmentant graduellement, en commençant par TTL 1.
Le premier appareil L3 receiviny le paquet diminue la durée de la TTL et les gouttes des paquets que le TTL a alors une valeur de 0. En même temps, l'appareil L3 envoie un message ICMP dépassé à l'expéditeur (mais avec cela, un saut est découvert).
Lorsque la source reçoit le message dépassement de temps, elle augmente la valeur TTL et ce processus continue jusqu'à ce qu'il reçoit un message de destination port inaccessible.
Ainsi, afin de masquer n'importe quelle interface à partir des résultats de traçage, nous devons restreindre cette interface d'envoyer un message ICMP temps dépassé, ce qui peut être fait en utilisant un profil de protection de zone.
Cas 1: résultats de la trace lorsqu'aucun profil proctection de zone n'est configuré
Faire un tracé de trace vers un serveur DNS Google à partir d'un hôte interne, vous pourrez observer le pare-feu de Palo Alto Networks comme un premier saut.
C:\users\administrator > tracert-d 8.8.8.8
Tracer la route vers 8.8.8.8 sur un maximum de 30 houblons
1 1 ms < palo="" alto="" netowks="" firewall="" inside="" interface=""> </>> aussi la passerelle pour les utilisateurs intérieurs 2 1 ms 1 ms 1 ms 10.50.241.75 3 5 ms 4 MS 3 ms 103.245.157.17 4 10 ms 4 ms 14 ms 103.245.157.177 5 6 ms 31 ms 5 ms 182.74.212.225 6 268 ms 27 ms 129 MS 182.79.243.26 7 27 ms 5 ms 11 MS 72.14.242.178 8 6 ms 13 ms 14 MS 72.14.236.57 9 14 ms 6 ms 5 ms 66.249.94.189<x 9=""> 10 * 17 MS 22 ms 8.8.8.8 </x>
Trace terminée.
Remarque: le profil de gestion est uniquement destiné au trafic destiné à cette interface. Tout trafic de relais ne tiendra pas compte du profil de gestion. En outre, l'utilisation d'une stratégie de sécurité ne masquera pas une interface à partir d'une trace.
Cas 2: résultats de traçage avec profil de protection de zone
Pour masquer le pare-feu de Palo Alto Networks de trace route, activer supprimer ICMP TTL expirée erreur, qui rompt la fonctionnalité traceroute, (arrête d'envoyer ICMP TTL messages expirés).
Comme le temps TTL dépassé message ne sera jamais le faire à la source (appliquée sur l'interface en utilisant la protection de zone), Palo Alto Networks cache son identité.
Résultats de la trace après application du profil de protection de zone:
C:\users\administrator > tracert-d 8.8.8.8
Tracer la route vers 8.8.8.8 sur un maximum de 30 houblons
1 * * * demande expirée. * * * Indique que les paramètres du pare-feu l'emgardent de révéler son identité.
2 1 ms 1 ms 1 ms 10.50.241.75
3 186 ms 24 ms 4 ms 103.245.157.17
4 212 MS 112 MS 20 ms 103.245.157.177
5 240 ms 170 MS 247 MS 182.74.212.225
6 233 MS 381 MS 160 ms 182.79.243.26
7 213 ms 77 MS 155 MS 72.14.242.178
8 7 ms 11 ms 8 ms 72.14.236.57
9 64 ms 52 ms 56 ms 66.249.94.189
10 17 ms 16 ms 7 ms 8.8.8.8
Trace terminée.
Donc, si vous voulez masquer votre pare-feu Palo Alto Networks à partir d'un itinéraire de trace, utilisez la méthode ci-dessus.