Protection de charge utile syn data
43375
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:42 PM
Symptom
Nouvelle fonctionnalité introduite dans PAN-OS 8.0 L’amélioration
de la protection de la charge utile syn data offrira aux administrateurs la possibilité d’activer ou de désactiver la vérification de la charge utile des SYN données dans un profil de protection de zone. L’analyse des charges utiles pendant la poignée de main à trois aura lieu pour les SYN paquets et SYN-ACK les paquets. En outre, la fonctionnalité fournira également une prise en charge dans la numérisation de la charge utile pour TCP la norme Fast Open.
Environment
- PAN-OS 8.0
Resolution
- Les contrôles de données Syn et Syn-Ack seront activés par défaut lors de la création d’un profil de protection de zone.
- Syn et Syn-Ack avec TCP option Fast Open sont autorisés par défaut. Activation de TCP l’option « Options ouvertes rapides » « bandes TFO » en plus de la charge utile des données pour les SYN paquets SynAck et les paquets SynAck
- Si Syn Cookie est activé et activé avec TCP Option Rapide non vérifiée, l’appareil Palo Alto va toujours dépouiller la charge utile des données en plus TFO de l’option qui conserve le comportement Syn Cookie.
Traitement des TCP paquets Syn/SynAck avec charge utile de données
- Drop syn paquet
- Drop SynAck paquet
Traitement du TFO paquet
- Overwrite TCP Fast Option champ « Kind-Length-Data » avec « TCP_OPT_NOP » (0x01)
- Paquet écrasé avec NOP options
Le décapage de la charge utile de données se compose des éléments suivants:
- Modifier IP le paquet /IPv6 pour refléter la longueur du segment L4 zéro
- Recalculer IP /IPv6 TCP checksums
Interaction avec les fonctionnalités avec TCP SYN Cookie
- SYN et SYN-ACK les paquets avec charge utile de données mais TFO manquants seront supprimés indépendamment de la TCP SYN configuration des cookies
- TCP paquets TFO activés, PANOS effectuera la réécriture de la longueur du segment et recalculera les checksums comme suit :
- TCP SYN cookie est désactivé
- TCP SYN cookie est activé mais pas encore activé par les valeurs de seuil de profil de zone
- Repli sur le comportement des SYN cookies existants s’il est activé et déclenché par des valeurs de seuil
Configuration
CLI Commandes
- afficher zone-zone de protection v1-faux
> show zone-protection zone v1-untrust ------------------------------------------------------------------------------------------ Number of zones with protection profile: 1 ------------------------------------------------------------------------------------------ Zone v1-untrust, vsys vsys1, profile Zone_Protection ------------------------------------------------------------------------------------------ tcp-syn SYN cookie enabled: yes DP alarm rate: 10000 cps, activate rate: 0 cps, maximal rate: 1000000 cps current: 0 packets dropped: 0 packets ------------------------------------------------------------------------------------------ IPv(4/6) Filter: discard-ip-spoof: enabled: yes, packet dropped: 0 discard-ip-frag: enabled: yes, packet dropped: 0 tcp-reject-non-syn: enabled: yes, (global), packet dropped: 0 tcp-timestamp: enabled: yes, packets modified: 0 discard-tcp-syn-with-data: enabled: yes, packet dropped: 0 discard-tcp-synack-with-data: enabled: yes, packet dropped: 0 IPv4 packet filter: ....
- montrer contre les problèmes | syn match
admin@PA-5020> show counter global | match syn flow_dos_pf_tcpsyndata 126367 489 drop flow dos Packets dropped: Zone protection option 'discard-tcp-syn-with-data' flow_dos_pf_tcpsynackdata 1000 3 drop flow dos Packets dropped: Zone protection option 'discard-tcp-synack-with-data'
show counter global | match tfo
admin@PA-5020> show counter global | match tfo flow_dos_pm_tcptfodata 21868 1217 info flow dos Packets modified: Zone protection option 'strip-tcp-fast-open-and-data'
.
Additional Information
Pour en savoir plus sur ce sujet PAN-OS ou en général, veuillez consulter la page TechDocs PAN-OS Landing