DotW: 非対称ルーティングと TCP syn は、インターフェイスまたはゾーンに基づいてチェック?

先週、コミュニティメンバーゴーストライダーは、非対称ルーティングに関する興味深い質問を投稿しました。コミュニティメンバー licenseluとpulukas は、それぞれ別のソリューションを提供, 我々は以下を強調表示されます:

ゴーストライダーが示すように、送信パケットがインタフェース eth1/1 を送出し、インタフェース eth1/2 でパケットを受信すると、非対称ルーティングと呼ばれる現象が起こります。パロアルトネットワークファイアウォールは、パケットがイベントの論理的なシーケンスに従うことを確認するために組み込まれたチェックを持っています。別のインターフェイスからのパケットが、アクティブなセッションでパケットを挿入するために悪意のあるソースによって試行される可能性があるため、パケットが同じインターフェイスを使用し続けるというのが1つの期待です。予期しない非対称性が発生した場合、パケットは破棄されます。

デバイスのグローバルカウンタを確認すると、これらのカウンタが表示されている場合、これらの種類のパケットを簡単に識別できます。

> カウンタグローバルフィルタデルタの表示はい 

結果を検索するか、"|一致する "これらのカウンタのフィルタ

tcp_drop_out_of_wnd のウィンドウ外のパケットが削除
されました tcp_out_of_sync は、セッションマッチ flow_tcp_non_syn_drop パケットなしで非 syn tcp パケットが同期していないので、tcp 再アセンブルを続けることができませんでした

: 非 syn tcp なしセッションマッチ 

licenselu は、インターフェイスゾーンのゾーン保護プロファイルを使用してチェックを無効にできることを指摘しています。

この方法の利点は、両方のインターフェイスを異なるゾーンに設定し、必要に応じてセキュリティプロファイルにより細かく適用できることです。短所は、低レベルのセッションの健全性チェックが無効になり、その影響が生じる可能性があることです。

コミュニティメンバー pulukas は、オペレーティングシステムがパケットを処理し、フローを管理する方法に基づいて2番目の回避策を提案: ファイアウォールは、セッションの作成と後続のパケットの間に受信したすべてのパケットのために、ソースを意味するゾーンベースです。ゾーンルックアップは、既存のセッションと一致する次のステップに移る前に行われます。したがって、両方のインターフェイスが同じゾーンに配置されている場合、それらは同じ領域として扱われ、非対称性は同じゾーン内では適用されません。この方法では、非対称保護を無効にする必要はありません。

PAN-OS のパケットフローシーケンス の詳細については、この記事をご覧ください。

セージと他のコミュニティのメンバーを支援するための licenselu と pulukas に大きな感謝助言!

死神