DotW: 非対称のルーティングの問題

DotW: 非対称のルーティングの問題

225033
Created On 09/25/18 18:59 PM - Last Modified 06/13/23 04:49 AM


Resolution


何が非対称ルーティングでは、どのようにそれを識別できるし、あなたの露出を最小限に抑えるためにどのような手順を取ることができるか。非対称ルーティングを検出するに、パロ ・ アルトのネットワーク ファイアウォールだけでなく、保護を提供する方法を学ぶが、統合のトラブルシューティングといくつかの柔軟性を可能にします。

 

今週 (DotW) の今週の議論は、ユーザー Apadilla 非対称ルーティングについての質問について説明します。

 

2015-10-05_09-51-44.png

 

 

非対称ルーティング受信方向に返す際に従うよりも、パケットが送信方向に別のルートを次の状況です。

 

 2015-10-05_10-11-08.png

一般に、非対称構成はかなり多くのネットワーク環境で正常です。それは、動的ルーティング プロトコルを使用して作成することができますが、設定ミスによることができるも。最も基本的なネットワークにおける非対称のルーティング問題ではない、限り、タイムリーに、両方の側によって受信パケット、TCP はパケットが通過するパスを気遣わないよう。

 

非対称ルーティング ネットワークにファイアウォールを追加すると非対称性は、流れの両方の方向を見てからファイアウォールを防止問題になります。パロ ・ アルトのネットワーク ファイアウォールは、レイヤー 7 でセッションを検査だけでなく、セッションどおりに流れているし、改ざんされていないことを確認するために下層で検査も。非対称ルーティングを導入したときに遊びに来て、いくつかのチェックには、正しい順序でパケットが受信されていることを確認するチェックが含まれます。 スライディング ウィンドウ内のパケットを受信する場合、TCP のハンドシェイク手順適切な場合、つまり、ACK パケットは SYN パケットを見る前に受信できません。

 

上記の条件のいずれかが満たされているのでパケットは破棄されますを示す、いくつかのカウンターをインクリメントすることができます。

 

tcp_drop_out_of_wnd のウィンドウ外のパケットが削除
されました tcp_out_of_sync は、セッションマッチ flow_tcp_non_syn_drop パケットなしで非 syn tcp パケットが同期していないので、tcp 再アセンブルを続けることができませんでした

: 非 syn tcp なしセッションマッチ

パロ ・ アルトのネットワーク ファイアウォールは、トラフィックのタイプに基づいては、フローに受信した最後の ack で始まる、引き戸でシーケンスを作成します。

  • スライディング ウィンドウ外にあるパケットを受信したときは、tcp_drop_out_of_wnd と tcp_out_of_sync のインクリメントをカウンターします。
  • Ack パケットを受信した場合は、TCP 3 ウェイ ハンドシェイク、flow_tcp_non_syn 経由で正しくセットアップが既存のセッションと一致しないし、flow_tcp_non_syn_drop カウンター インクリメントします。

両方の状況、場合に発生、同時にまたは別の回でファイアウォールがセッションの 1 つだけの方向を見ています。

 

いくつかのケースで簡単にトラブルシューティングや統合を許可するこれらの TCP のチェックを無効にする可能性があります。たとえば、新しいファイアウォールが既存のネットワークに展開されている、単にファイアウォールを挿入可能性がありますインクリメント、およびファイアウォールの TCP 3 ウェイ ハンドシェイクおよびこれは有効なセッションを認識されていないファイアウォールの後にセッションで挿入されているため、削除するパケットのカウンター。

 

非対称流れのソース ゾーンは知られているすべてのネットワークをカバー、これらの CLI コマンドは TCP の健全性チェックを無効に設定できます。

> 設定
モードの設定
[編集] 
# set deviceconfig 設定 tcp 非対称パスバイパス
# set deviceconfig 設定セッション tcp-拒否-非 syn
# コミットなし

非対称流れのソース ゾーンは、新しく追加された WAN MPLS 接続など知られている場合は、ファイアウォールに接続されている他のすべてのゾーンを確認まだ TCP 正気を実行する 1 つまたは複数の特定のゾーンからの不正なトラフィックのこのタイプを許可するようにゾーンの保護プロファイルを構成できます。

 

これはネットワークのゾーン プロテクション ・ プロファイルを作成することによって実現できます > ネットワーク プロファイル > ゾーンの保護 > <profile>> パケットによる攻撃保護 > Tcp > 非 SYN TCP ・非対称パスの拒否:</profile>

 

zoneprotection 拒否非 syn 非対称 bypass.png

 

このプロファイルは、この特定のゾーンでこれらのチェックを無効にするゾーンに割り当てることができます。

ゾーンの保護 profile.png

 

まだ増やす必要があります唯一のカウンターは、システム全体の設定を無効にすると、または、ゾーンにゾーン ・ プロテクション ・ プロファイルを追加後、

flow_tcp_non_syn

 インジケーターのカウンターで、非対称ルーティングが検出されました、ないアクションが。

 

これらの TCP 正気を無効にするチェックが深刻なセキュリティ上の影響に攻撃者は、通常パケット注入は破棄できますので、予めご了承ください。非対称のルーティングの原因をトラブルシューティングするためにまたは一時的に永久的な解決ではなく、非対称性に対応しながらチェックをバイパスするだけこれらのコマンドを設定することをお勧めします。

 

恒久的な解決策をしてください今後のコミュニティ チームの記事用にチューニング滞在またはここを見てみましょう。

パン OS アクティブ/アクティブの高い可用性

 

元のディスカッションを表示するには、次のリンクをクリックしてください。非対称ルーティングに関する問題

 

すべてのコメントや提案を歓迎しています。

 

読書をありがとう!

 

トム Piens
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSHCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language