DotW: Probleme mit asymmetrischem Routing

DotW: Probleme mit asymmetrischem Routing

225067
Created On 09/25/18 18:59 PM - Last Modified 06/13/23 04:49 AM


Resolution


Was ist asymmetrisches routing, wie kann es identifiziert werden, und welche Maßnahmen können ergriffen werden, um Ihr Risiko zu minimieren? Erfahren Sie, wie die Palo Alto Networks Firewall, bei der Aufdeckung von asymmetrischem routing, bietet nicht nur Schutz, sondern einige Flexibilität mit Fehlerbehebung und Integration ermöglicht.

 

Diese Woche Diskussion der Woche (DotW) konzentriert sich auf eine Frage vom Benutzer Apadilla über asymmetrischem routing.

 

2015-10-05_09-51-44.png

 

 

Asymmetrisches routing ist eine Situation, wo Pakete einen anderen Weg in eine ausgehende Richtung folgen, als sie bei der Rückkehr in die eingehenden Richtung folgen.

 

 2015-10-05_10-11-08.png

Im Allgemeinen ist eine asymmetrische Konfiguration ziemlich normal in vielen Netzwerk-Umgebungen. Es kann durch die Verwendung von dynamischen routing-Protokolle erstellt werden, sondern kann auch durch Fehlkonfiguration verursacht werden. In grundlegenden Netzen ist asymmetrisches routing kein Problem, wie TCP ist es egal welchen Weg ein Paket durchläuft, solange Pakete von beiden Seiten in einer fristgerechten Weise empfangen werden.

 

Asymmetrisches routing wird zum Problem, wenn eine Firewall mit dem Netzwerk hinzugefügt wird, und die Asymmetrie verhindert, dass die Firewall sehen die beiden Durchflussrichtungen. Palo Alto Networks Firewall nicht nur inspiziert Sitzungen auf Ebene 7, sondern prüft auch auf niedrigeren Ebenen überprüfen Sitzungen fließen wie erwartet und nicht manipuliert wurde. Ein paar Kontrollen, die ins Spiel kommen, bei asymmetrischem routing der Einführung gehören Kontrollen durch, um zu bestätigen, dass Pakete in der richtigen Reihenfolge empfangen werden.  Wenn Pakete sind innerhalb der Schiebefenster erhalten, und wenn die TCP-Handshake die richtige Reihenfolge folgt, d. h. eine ACK-Paket kann nicht empfangen werden bevor ein SYN-Paket gesehen wird.

 

Um anzuzeigen, dass Pakete verworfen werden, weil eine der obigen Bedingungen erfüllt ist, können mehrere Zähler inkrementieren:

 

tcp_drop_out_of_wnd nicht-Fenster-Pakete fallen gelassen
tcp_out_of_sync können TCP-Wiederherstellung nicht fortsetzen, weil es nicht mehr synchron ist
flow_tcp_non_syn nicht-SYN-TCP-Pakete ohne Session-Match
flow_tcp_non_syn_drop-Pakete fallen gelassen: nicht-SYN TCP ohne Session Match

Die Palo Alto Networks Firewall, basierend auf dem Typ des Verkehrs, schafft ein Schiebefenster Reihenfolge, beginnend mit der letzten Ack erhielt sie in einem Fluss.

  • Tcp_drop_out_of_wnd und Tcp_out_of_sync Inkrement kontert, wenn Pakete empfangen werden, die nicht das Schiebefenster fallen.
  • Wenn Ack-Pakete empfangen werden, die passen nicht zu einer vorhandenen Sitzung, die über ein TCP-Dreiwege-Handshake, Flow_tcp_non_syn ordnungsgemäß eingerichtet wurde und Flow_tcp_non_syn_drop Zähler inkrementieren.

Beide Situationen können gleichzeitig oder zu verschiedenen Zeiten auftreten, wenn die Firewall nur in eine Richtung der Sitzung sieht.

 

In einigen Fällen sollten Sie deaktivieren diese TCP-Prüfungen, um einfachere Fehlerbehebung oder Integration zu ermöglichen. Beispielsweise wenn eine neue Firewall in ein bestehendes Netzwerk bereitgestellt wird, verursachen einfaches Einstecken der Firewalls die Zähler Inkrement und Pakete fallen zu lassen, aufgrund der Firewall nach TCP-Dreiwege-Handshake und die Firewall nicht dessen bewusst, dass dies eine gültige Sitzung ist in einer Sitzung eingefügt werden.

 

Wenn die Quelle Zone der asymmetrische Ströme unbekannt ist oder alle Netzwerke deckt, können diese CLI-Befehle deaktivieren Sie die TCP-Vernunft Kontrollen eingestellt werden:

> Konfigurieren Sie die 
Eingabe des Konfigurations Modus
[Bearbeiten] 
# Set DeviceConfig Einstellung TCP asymmetrisch-Pfad Bypass
# Satz DeviceConfig Setting Session TCP-ablehnen-nicht-SYN No
# Commit

Wenn die Quelle Zone der asymmetrischen Strömung, z. B. eine neu hinzugefügte WAN MPLS-Verbindung bekannt ist kann ein Schutzprofil Zone ermöglichen diese Art von fehlerhaften Zugriffszahlen für eine oder mehrere bestimmte Zonen, während noch durchführen TCP Vernunft für alle anderen Zonen, angeschlossen an die Firewall prüft konfiguriert werden.

 

Dies kann erreicht werden, durch die Schaffung einer Zone Schutzprofil in Netzwerken > Netzwerkprofile > Schutzzone > <profile>> Paket Basis Schutz vor Angriffen > TCP-Drop > ablehnen Non-SYN TCP & asymmetrisch Pfad:</profile>

 

Zoneprotection ablehnen-Syn asymmetrische bypass.png

 

Dieses Profil kann dann zu einer Zone zugewiesen werden diese Prüfungen für diese spezielle Zone deaktivieren:

Schutz profile.png Zone

 

Nachdem die systemweiten Einstellungen deaktiviert sind oder das Schutzprofil Zone wird eine Zone hinzugefügt, ist der einzige Zähler, der noch zu erhöhen, sollte

flow_tcp_non_syn

 Da dies ein Indikator-Zähler wurde, asymmetrischem routing, aber keine Maßnahmen festgestellt.

 

Bitte beachten Sie, dass deaktivieren diese TCP-Verstand prüft Auswirkungen auf die schwere Sicherheit wie ein Angreifer Pakete Spritzen könnte, die normalerweise verworfen werden können. Es wird empfohlen, nur diese Befehle um die Behandlung der Ursache von asymmetrischem routing oder vorübergehend umgehen, die Kontrollen bei der Bewältigung der Asymmetrie, jedoch nicht als eine dauerhafte Lösung festgelegt.

 

Für eine dauerhaftere Lösung bitte bleiben Sie dran für kommende Community-Team Artikel, oder werfen Sie einen Blick hier:

PAN-OS aktiv/aktiv Hochverfügbarkeit

 

Um die ursprüngliche Diskussion zu sehen, folgen Sie bitte diesem Link: Probleme mit asymmetrischem Routing

 

Alle Kommentare oder Anregungen werden gefördert.

 

Danke fürs Lesen!

 

Tom Piens
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSHCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language