Syn Data Nutzlastschutz
37278
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:42 PM
Symptom
Neue Funktion oder Funktion, die in PAN-OS 8.0 eingeführt wurde
Die Syn Data Payload Protection-Erweiterung bietet Administratoren die Möglichkeit, die SYN Datennutzlastprüfung innerhalb eines Zonenschutzprofils zu aktivieren oder zu deaktivieren. Der Scan der Nutzlasten während des Drei-Wege-Handshakes findet sowohl für Pakete als auch für SYN SYN-ACK Pakete statt. Darüber hinaus bietet die Funktion auch Unterstützung beim Scannen der Nutzlast für den TCP Fast Open-Standard.
Environment
- PAN-OS 8.0
Resolution
- Syn- und Syn-Ack-Datenprüfungen werden standardmäßig bei der Erstellung eines Zonenschutzprofils aktiviert.
- Syn und Syn-Ack mit TCP Fast Open Option ist standardmäßig erlaubt. Aktivieren TCP der Option "Fast Open" "Strips" TFO zusätzlich zur Datennutzlast für beide SYN und SynAck-Pakete
- Wenn Syn Cookie aktiviert und aktiviert ist, wenn TCP Fast Option nicht aktiviert ist, wird das Palo Alto-Gerät zusätzlich zur Option, die das Syn Cookie-Verhalten beibehält, die Datennutzlast TFO weitergazastreifen.
Umgang mit TCP Syn/SynAck-Paketen mit Datennutzlast
- Drop SYN Paket
- Drop SynAck Packet
Handhabung von TFO Paketen
- Fast TCP Option-Feld "Kind-Length-Data" mit "TCP_OPT_NOP" (0x01) überschreiben
- Paket mit Optionen überschrieben NOP
Das Abziehen der Daten Nutzlast besteht aus folgenden:
- Ändern des IP /IPv6-Pakets, um die Segmentlänge Null L4 widerzuspiegeln
- IP/IPv6-Prüfsummen neu berechnen TCP
Feature-Interaktion mit TCP SYN Cookie
- SYN und SYN-ACK Pakete mit Datennutzlast, aber TFO fehlen, werden unabhängig von der TCP SYN Cookie-Konfiguration gelöscht
- TCP Pakete mit TFO aktiviert, PANOS führt eine Neuschreibung der Segmentlänge durch und berechnet Prüfsummen wie folgt neu:
- TCP SYN Cookie ist deaktiviert
- TCP SYN Cookie ist aktiviert, aber noch nicht durch Zonenprofilschwellenwerte aktiviert
- Fallback auf vorhandenes SYN Cookie-Verhalten, wenn es aktiviert und durch Schwellenwerte ausgelöst wird
Konfiguration
CLI Befehle
- Zone-Schutzzone anzeigen v1-untrust
> show zone-protection zone v1-untrust ------------------------------------------------------------------------------------------ Number of zones with protection profile: 1 ------------------------------------------------------------------------------------------ Zone v1-untrust, vsys vsys1, profile Zone_Protection ------------------------------------------------------------------------------------------ tcp-syn SYN cookie enabled: yes DP alarm rate: 10000 cps, activate rate: 0 cps, maximal rate: 1000000 cps current: 0 packets dropped: 0 packets ------------------------------------------------------------------------------------------ IPv(4/6) Filter: discard-ip-spoof: enabled: yes, packet dropped: 0 discard-ip-frag: enabled: yes, packet dropped: 0 tcp-reject-non-syn: enabled: yes, (global), packet dropped: 0 tcp-timestamp: enabled: yes, packets modified: 0 discard-tcp-syn-with-data: enabled: yes, packet dropped: 0 discard-tcp-synack-with-data: enabled: yes, packet dropped: 0 IPv4 packet filter: ....
- Globalen | anzeigen Übereinstimmung mit syn
admin@PA-5020> show counter global | match syn flow_dos_pf_tcpsyndata 126367 489 drop flow dos Packets dropped: Zone protection option 'discard-tcp-syn-with-data' flow_dos_pf_tcpsynackdata 1000 3 drop flow dos Packets dropped: Zone protection option 'discard-tcp-synack-with-data'
show counter global | match tfo
admin@PA-5020> show counter global | match tfo flow_dos_pm_tcptfodata 21868 1217 info flow dos Packets modified: Zone protection option 'strip-tcp-fast-open-and-data'
.
Additional Information
Um mehr über dieses Thema oder allgemein zu PAN-OS erfahren, schauen Sie sich bitte die TechDocs PAN-OS Landing-Seite an