Syn データ ペイロード保護

• Syn および Syn-Ack のデータチェックは、ゾーン保護プロファイルの作成時にデフォルトで有効になります。
• デフォルトでは、シンとSyn-Ackと TCP 高速オープンオプションが許可されています。 両方の TCP TFO データ ペイロードと SynAck パケットのデータ ペイロードに加えて、高速オープン オプションの 「ストリップ」 オプションを有効にします SYN 。
• Syn Cookieが有効で TCP 、高速オプションがチェックされていない状態でアクティブ化されている場合、パロアルトデバイスは TFO Syn Cookieの動作を保持するオプションに加えて、データペイロードを取り除きます。

TCPデータペイロードを使用した Syn/SynAck パケットの処理

• ドロップ Syn パケット
• ドロップ SynAck パケット

パケットの取り扱い TFO

• TCP高速オプションフィールド「種類-長さ-データ」を「TCP_OPT_NOP」で上書きする(0x01)

• オプションで上書きされたパケット NOP

データペイロードのストリッピングは、次のもので構成されます。

• IPL4 セグメントの長さがゼロを反映するように /IPv6 パケットを変更する
• IP/IPv6 TCP チェックサムを再計算する

クッキーとの機能の相互作用 TCP SYN

1. SYN SYN-ACKデータ ペイロードが不足しているパケット TFO は TCP SYN 、Cookie の構成に関係なく破棄されます
2. TCP TFO有効になっているパケット PANOS は、セグメントの長さの書き換えを実行し、チェックサムを次のように再計算します。

• TCP SYN クッキーは無効です
• TCP SYN クッキーは有効ですが、ゾーンプロファイルのしきい値によってまだアクティブ化されていません
• 有効にし SYN 、しきい値によってトリガーされる場合、既存の Cookie 動作にフォールバックする

構成

CLI コマンド

• ゾーン保護ゾーン v1-untrust を表示する

> show zone-protection zone v1-untrust 

------------------------------------------------------------------------------------------
Number of zones with protection profile: 1
------------------------------------------------------------------------------------------
Zone v1-untrust, vsys vsys1, profile Zone_Protection
------------------------------------------------------------------------------------------
  tcp-syn              SYN cookie enabled: yes
    DP alarm rate:       10000 cps, activate rate:       0 cps, maximal rate: 1000000 cps
    current:                 0 packets
    dropped:                 0 packets
------------------------------------------------------------------------------------------
IPv(4/6) Filter:
  discard-ip-spoof:                           enabled: yes, packet dropped: 0
  discard-ip-frag:                            enabled: yes, packet dropped: 0
  tcp-reject-non-syn:                         enabled: yes, (global), packet dropped: 0
  tcp-timestamp:                              enabled: yes, packets modified: 0
  discard-tcp-syn-with-data:                  enabled: yes, packet dropped: 0
  discard-tcp-synack-with-data:               enabled: yes, packet dropped: 0
IPv4 packet filter:
 ....

• カウンタグローバル|を表示するマッチシン

admin@PA-5020> show counter global | match syn
flow_dos_pf_tcpsyndata                126367      489 drop      flow      dos       Packets dropped: Zone protection option 'discard-tcp-syn-with-data'
flow_dos_pf_tcpsynackdata               1000        3 drop      flow      dos       Packets dropped: Zone protection option 'discard-tcp-synack-with-data'

• show counter global | match tfo
  

admin@PA-5020> show counter global | match tfo
flow_dos_pm_tcptfodata                 21868     1217 info      flow      dos       Packets modified: Zone protection option 'strip-tcp-fast-open-and-data'

.