Protección de carga útil de datos syn
37276
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:42 PM
Symptom
Nueva funcionalidad o característica introducida en PAN-OS 8.0
La mejora de Syn Data Payload Protection proporcionará a los administradores la opción de habilitar o deshabilitar la SYN comprobación de carga útil de datos dentro de un perfil de protección de zona. El escaneo de cargas útiles durante el apretón de manos de tres vías se llevará a cabo para ambos SYN y SYN-ACK paquetes. Además, la función también proporcionará soporte en el escaneo de la carga útil para el TCP estándar Fast Open.
Environment
- PAN-OS 8.0
Resolution
- Las comprobaciones de datos Syn y Syn-Ack se habilitarán de forma predeterminada tras la creación de un perfil de protección de zona.
- Syn y Syn-Ack con TCP opción Fast Open están permitidos de forma predeterminada. Habilitar la TCP opción 'Fast Open option' "tiras" TFO además de la carga útil de datos para ambos y paquetes SYN SynAck
- Si Syn Cookie está habilitado y activado con TCP opción rápida no marcada, el dispositivo Palo Alto seguirá eliminando la carga útil de datos, además de TFO la opción que conserva el comportamiento de Syn Cookie.
Manejo de TCP paquetes Syn/SynAck con carga útil de datos
- Drop SYN Paquete
- Drop SynAck paquete
Manejo de TFO paquetes
- Sobrescribir TCP el campo opción rápida "Kind-Length-Data" con "TCP_OPT_NOP" (0x01)
- Paquete sobrescrito con NOP Opciones
El desmontaje de la carga útil de datos consiste en lo siguiente:
- Modificar IP el paquete /IPv6 para reflejar la longitud del segmento L4
- Recalcular IP las TCP sumas de comprobación /IPv6
Interacción de características con TCP SYN Cookie
- SYN y SYN-ACK los paquetes con carga útil de datos pero carentes serán TFO eliminados independientemente de la configuración de TCP SYN cookies
- TCP paquetes con TFO habilitado, PANOS realizará la reescritura de la longitud del segmento y recalculará las sumas de comprobación de la siguiente manera:
- TCP SYN cookie está desactivada
- TCP SYN cookie está habilitada pero aún no activada por valores de umbral de perfil de zona
- Reserva al comportamiento de cookies existente SYN si está habilitado y desencadenado por valores de umbral
Configuración
CLI Comandos
- mostrar zona de protección de zona v1-desconfianza
> show zone-protection zone v1-untrust ------------------------------------------------------------------------------------------ Number of zones with protection profile: 1 ------------------------------------------------------------------------------------------ Zone v1-untrust, vsys vsys1, profile Zone_Protection ------------------------------------------------------------------------------------------ tcp-syn SYN cookie enabled: yes DP alarm rate: 10000 cps, activate rate: 0 cps, maximal rate: 1000000 cps current: 0 packets dropped: 0 packets ------------------------------------------------------------------------------------------ IPv(4/6) Filter: discard-ip-spoof: enabled: yes, packet dropped: 0 discard-ip-frag: enabled: yes, packet dropped: 0 tcp-reject-non-syn: enabled: yes, (global), packet dropped: 0 tcp-timestamp: enabled: yes, packets modified: 0 discard-tcp-syn-with-data: enabled: yes, packet dropped: 0 discard-tcp-synack-with-data: enabled: yes, packet dropped: 0 IPv4 packet filter: ....
- mostrar contra | global partido syn
admin@PA-5020> show counter global | match syn flow_dos_pf_tcpsyndata 126367 489 drop flow dos Packets dropped: Zone protection option 'discard-tcp-syn-with-data' flow_dos_pf_tcpsynackdata 1000 3 drop flow dos Packets dropped: Zone protection option 'discard-tcp-synack-with-data'
show counter global | match tfo
admin@PA-5020> show counter global | match tfo flow_dos_pm_tcptfodata 21868 1217 info flow dos Packets modified: Zone protection option 'strip-tcp-fast-open-and-data'
.
Additional Information
Para obtener más información sobre este tema o PAN-OS en general, consulte la página de aterrizaje de TechDocs PAN-OS