DotW︰ 问题与非对称路由
Resolution
什么是不对称路由,如何能被确定,并可以采取什么步骤,尽量减少您的曝光?了解如何帕洛阿尔托网络防火墙,在检测非对称路由,不仅提供保护,但允许一些灵活性的故障排除和集成。
周 (DotW) 本周的讨论重点用户 Apadilla 关于非对称路由的提问。
非对称路由是数据包会跟随的地方不同的路线,在出站方向比他们跟随是入站方向返回时的情况。
一般情况下,非对称的配置是相当正常的在许多网络环境中。它可以由使用动态路由协议,但也由配置错误引起。在最基本的网络中,非对称路由不是一个问题,TCP 不在乎数据包遍历,哪一条路,只要双方都及时地收到数据包。
非对称路由成为一个问题,当防火墙添加到网络,并不对称阻止防火墙查看这两个方向的流量。帕洛阿尔托网络防火墙只检查会议在 7 层外,还检查在较低层的验证会话流动如预期和未被篡改。当引入了非对称路由时起作用的几个检查包括检查,以确认数据包正在接收的正确顺序。 如果内滑动窗口,接收数据包,如果 TCP 握手遵循正确的顺序,就是不能收到 ACK 数据包,才能看到 SYN 数据包。
若要指示数据包被丢弃,因为正在满足上述条件之一,才可以增加几个计数器︰
tcp_drop_out_of_wnd 已丢弃的窗口外数据包
tcp_out_of_sync 无法继续进行 tcp 重组, 因为它不同步
flow_tcp_non_syn 非 syn tcp 数据包, 但没有会话匹配
flow_tcp_non_syn_drop 丢弃的数据包: 非 syn tcp 没有会话匹配
帕洛阿尔托网络防火墙,根据交通部的类型创建一个滑动的序列窗口,开始与最后的 ack,它收到的流中。
- 当接收数据包,滑动窗口之外计数器 tcp_drop_out_of_wnd 和 tcp_out_of_sync 的增量。
- 如果收到 ack 数据包不匹配现有会话,正确地设置通过 TCP 三路握手,flow_tcp_non_syn 和 flow_tcp_non_syn_drop 计数器递增。
这两种情况可以发生,同时或在不同的时间,如果防火墙看到只有一个方向的会议。
在某些情况下,您可能想要禁用这些 TCP 检查,以便更容易进行故障排除或集成。例如,当一个新的防火墙被部署在现有的网络中,简单插入防火墙可能会导致对增量和数据包被丢弃,因为防火墙后 TCP 三向握手和防火墙不是意识到这是一个有效的会话会话中插入计数器。
如果源区的非对称流动是未知或涵盖所有的网络,可以设置这些 CLI 命令来禁用 TCP 检查︰
>> 配置
输入配置模式
[编辑]
# 设置 deviceconfig 设置 tcp 非对称路径旁路
# 设置 deviceconfig 设置会话 tcp 拒绝-非 syn no
# 提交
如果非对称流的源区已知的如新添加的广域网 MPLS 连接,区保护配置文件可以配置为允许这种类型的格式不正确的交通,从一个或多个特定区域,虽然仍然执行 TCP 理智检查,对于连接到防火墙的所有其他区域。
这可以通过在网络中创建一个区域保护配置文件 > 网络配置文件 > 区保护 > <profile>> 包基于攻击保护 > TCP 下降 > 拒绝非-SYN TCP & 非对称路径︰</profile>
此配置文件然后被分配到一个区域来禁用这些检查此特定的区域︰
全系统设置被禁用,或添加到区域中的区域保护配置文件后,应仍然递增的唯一计数器是
flow_tcp_non_syn
由于这是一个指示器计数器,非对称路由已被检测,但却没有采取的行动。
请务必注意禁用这些 TCP 理智检查可以有严重的安全隐患,攻击者可以注入数据包通常会被丢弃。它建议只能设置这些命令排查的非对称路由,原因,暂时绕过检查同时解决不对称,但不是作为一个永久性的解决方案。
一个更永久的解决方案,请敬请期待即将到来的社区组文章,或看看这里︰
要查看原始讨论, 请按照以下链接: 不对称路由问题
鼓励所有的意见或建议。
感谢阅读 !
汤姆各地