DotW: Problemas con el enrutamiento asimétrico

DotW: Problemas con el enrutamiento asimétrico

225047
Created On 09/25/18 18:59 PM - Last Modified 06/13/23 04:49 AM


Resolution


¿Qué es asimétrica de enrutamiento, ¿cómo puede que identificarse, y qué medidas pueden adoptarse para reducir al mínimo su exposición? Aprender cómo el firewall Palo Alto Networks, en la detección de enrutamiento asimétrico, no sólo ofrece protección, pero permite cierta flexibilidad con la solución de problemas y la integración.

 

Discusión de la semana de la semana (DotW) se centra en la pregunta del usuario Apadilla sobre enrutamiento asimétrico.

 

2015-10-05_09-51-44.png

 

 

Enrutamiento asimétrico es una situación donde los paquetes seguir una ruta diferente en sentido saliente que siguen al regresar en la dirección entrante.

 

 2015-10-05_10-11-08.png

En general, una configuración asimétrica es bastante normal en muchos entornos de red. Se pueden crear mediante el uso de protocolos de enrutamiento dinámico, pero también puede ser causada por una mala configuración. En las redes más básicas, enrutamiento asimétrico no es un problema, como TCP no importa qué camino recorre un paquete, como los paquetes son recibidos por ambos lados en forma oportuna.

 

Enrutamiento asimétrico se convierte en un problema cuando un servidor de seguridad se agrega a la red y el cortafuegos la asimetría impide ver ambas direcciones del flujo. El firewall de Palo Alto Networks no sólo inspecciona las sesiones de capa 7 sino también inspecciona en capas inferiores para verificar las sesiones están fluyendo como se esperaba y no alteradas. Unos cheques que entran en juego cuando se introduce el enrutamiento asimétrico incluyen verificaciones para confirmar los paquetes se reciben en el orden de la secuencia correcta.  Si los paquetes se reciben dentro de la ventana, y si el protocolo TCP sigue la secuencia apropiada, es decir, un paquete ACK no se puede recibir antes de que se ve un paquete SYN.

 

Para indicar que paquetes se está descartando porque una de las anteriores condiciones se están cumpliendo, pueden incrementar varios contadores:

 

tcp_drop_out_of_wnd paquetes fuera de la ventana se han soltado
tcp_out_of_sync no puede continuar el reensamblado TCP porque está fuera de sincronización
flow_tcp_non_syn paquetes TCP no SYN sin coincidencia de sesión
flow_tcp_non_syn_drop paquetes eliminados: no SYN TCP sin coincidencia de sesión

El firewall de Palo Alto Networks, basado en el tipo de tráfico, crea una ventana deslizante de la secuencia, empezando por el último ack recibido en un flujo.

  • Contra el incremento de tcp_drop_out_of_wnd y tcp_out_of_sync cuando se reciben los paquetes que caen fuera de la ventana.
  • Si se reciben paquetes ack que no corresponden a una sesión existente que se creó correctamente a través de un enlace de tres vías TCP, flow_tcp_non_syn y flow_tcp_non_syn_drop contadores aumentaban.

Ambas situaciones pueden ocurrir, ya sea simultáneamente o en diferentes momentos, si el firewall ve solamente una dirección de la sesión.

 

En algunos casos, puede deshabilitar estas comprobaciones TCP para permitir la solución de problemas o la integración más fácil. Por ejemplo, cuando se está implementando un nuevo cortafuegos en una red existente, simplemente insertar el firewall puede provocar los contadores al incremento y los paquetes a ser soltada por el cortafuegos que se inserta en una sesión después del enlace de tres vías TCP y el cortafuegos no consciente de que se trata de una sesión válida.

 

Si la zona de origen de los flujos asimétricos es desconocida o cubre todas las redes, se pueden establecer estos comandos de la CLI para deshabilitar los controles de sanidad TCP:

> configurar 
entrar en el modo
de configuración [editar] 
# establecer deviceconfig configuración del TCP asimétrico-path bypass
# establecer deviceconfig sesión de configuración TCP-rechazar-no-SYN no
# commit

Si se conoce la zona de la fuente de la corriente asimétrica, como una conexión WAN MPLS recién agregada, puede configurarse un perfil de protección de la zona para permitir que a este tipo de tráfico incorrecto de una o más zonas específicas mientras que todavía realizar cordura TCP comprueba todas las demás zonas que se conecta al cortafuegos.

 

Esto puede lograrse mediante la creación de un perfil de protección de la zona en redes > perfiles de red > zona protección > <profile>> protección de ataque en paquete > TCP gota > rechazar no SYN TCP y asimétrico trazado:</profile>

 

zoneprotection rechazar no syn bypass.png asimétrica

 

Este perfil se puede asignar a una zona para desactivar estos controles para esta zona específica:

zona de protección profile.png

 

Después de la configuración del sistema está deshabilitada, o el perfil de protección de la zona se agrega a una zona, es el único contador que todavía debe incrementar

flow_tcp_non_syn

 como se trata de un contador de indicador enrutamiento asimétrico ha sido detectado, pero no acciones.

 

Tenga en cuenta desactivar estos cordura TCP comprueba haber implicaciones de seguridad severo como un atacante podría inyectar paquetes que normalmente se descartan. Se recomienda establecer solamente estos comandos con el fin de solucionar la causa de la encaminamiento asimétrica, o para omitir temporalmente los controles mientras se dirigía a la asimetría, pero no como una solución permanente.

 

Para una solución más permanente, estad atentos a próximos artículos de equipo de la comunidad, o echar un vistazo aquí:

PAN-OS activo/activo de alta disponibilidad

 

Para ver la discusión original, por favor siga este enlace: problemas con enrutamiento asimétrico

 

Animamos a todos los comentarios o sugerencias.

 

¡Gracias por leerme!

 

Tom Piens
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSHCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language