¿Cómo funciona la detección de BitTorrent en el cortafuegos de Palo Alto Networks?

¿Cómo funciona la detección de BitTorrent en el cortafuegos de Palo Alto Networks?

36601
Created On 09/25/18 17:52 PM - Last Modified 06/01/23 21:11 PM


Resolution


Detalles

Debido a la forma en que el Firewall de Palo Alto Networks maneja la detección de aplicaciones P2P, el usuario puede ver un startlog confuso que indica que BitTorrent está permitido, aunque una regla de denegación está en su lugar y el tráfico es realmente negado.  La siguiente es una explicación de cómo funciona la detección.

Para muchas de las aplicaciones P2P y Skype usamos predecir-fluir para predecir algunas sesiones basadas en otras sesiones.  Con BitTorrent por ejemplo, predecimos muchas de las sesiones TCP basadas en las sesiones UDP, y para eMule, una sesión UDP predice muchas otras sesiones UDP de eMule.  La predicción ocurre como parte del decodificador para la aplicación.

El flujo para BitTorrent es el siguiente:

  1. Las sesiones UDP entran en el cortafuegos de Palo Alto Networks.
  2. App id detecta que es BitTorrent.
  3. La aplicación se convierte en BitTorrent.
  4. El decodificador de BitTorrent funciona.
  5. Se establece el flujo de predicción para la sesión TCP.
  6. La sesión TCP llega, y se convierte en BitTorrent, como se esperaba.

Todo funciona muy bien cuando estamos permitiendo que el tráfico.  Sin embargo, si el usuario configura BitTorrent para ser negado, lo siguiente ocurrirá:

  1. La sesión UDP entra en el cortafuegos de Palo Alto Networks.
  2. App id detecta que es BitTorrent.
  3. La aplicación se convierte en BitTorrent, y se niega.
  4. El decodificador de BitTorrent no funciona y no se establece ningún flujo de predicción.
  5. La sesión TCP llega y, dado que no se ha establecido ningún flujo de predicción, se convierte en "desconocido".

Para superar la tala "desconocida", introducimos algunas aplicaciones internas (p.ej. bit-Internal). Esta aplicación se reporta como BitTorrent en la UI. Esto es lo que va a pasar para BitTorrent:

  1. La sesión UDP entra en el cortafuegos de Palo Alto Networks.
  2. App id detecta que es un bit interno. Se reporta como BitTorrent en UI (pero la acción es todavía permitir).
  3. La aplicación se vuelve bit-interno.
  4. El descodificador pedacito-interno funciona.
  5. Se establece el flujo de predicción para la sesión TCP.
  6. La aplicación está configurada en BitTorrent.
  7. La sesión se bloquea si la acción es denegar para BitTorrent.
  8. La sesión TCP llega, y se convierte en BitTorrent, como se esperaba.

Mientras que el tráfico se identifica como BitTorrent, si el usuario tiene inicio de sesión habilitado y la acción se establece en deny for BitTorrent, dos registros se mostrarán para las sesiones UDP.  Un log diciendo BitTorrent, allow (el que está siendo reportado para bit-interno), y el otro diciendo BitTorrent, Drop.

El tráfico realmente se cae, aunque la entrada inicial de "permitir" registro puede ser confuso.

dueño: panagent
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClL9CAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language