Palo Alto Networks Firewall sesión Overview

Palo Alto Networks Firewall sesión Overview

339094
Created On 09/25/18 19:10 PM - Last Modified 06/15/23 22:02 PM


Resolution


Resumen

En un cortafuegos de Palo Alto Networks, una sesión se define mediante dos flujos UNI-direccionales cada uno identificado únicamente por una clave de 6 tuplas: dirección de origen, dirección de destino, Puerto de origen, Puerto de destino, protocolo y zona de seguridad.

 

Además de los seis atributos que identifican una sesión, cada sesión tiene pocos identificadores más notables:

  • Hosts finales: la IP de origen y la propiedad intelectual de destino que se marcarán como cliente (IP de origen) y servidor (IP de destino)
  • Dirección del flujo-puesto que cada sesión es identificada por un flujo unidireccional dos, cada flujo debe ser identificado correctamente. Los cortafuegos de Palo Alto Networks identificarán el primer flujo como cliente a servidor (C2S) y el flujo de retorno como servidor a cliente (s2c).

 

Mostrar comando de sesión

Para ver cualquier información relacionada con las sesiones, el usuario puede utilizar el comando > Mostrar sesión seguido de la opción deseada:

  • > Mostrar sesión todos mostrarán todas las sesiones actuales que son procesadas por el firewall en el momento en que se introduce el comando.
    Nota: hay un límite en el número de sesiones que se pueden mostrar con el comando > Show Session All . El límite se basa en el tamaño de byte de la sesión que no se puede cambiar.
    Para más información, consulte el siguiente documento: ¿se puede exportar todo el registro de sesión     ?
  • > Mostrar ID de sesión [ID] mostrará información detallada en una sesión basada en el identificador de sesión introducido
  • > Mostrar información de sesión mostrará la configuración general en el Firewall sobre la gestión de sesiones y sus estadísticas actuales
  • > Mostrar medidor de sesión mostrará el número máximo de sesiones para cada VSYS en firewalls con múltiples capacidades de sistema virtual

 

A continuación se muestra un ejemplo de salida del comando > Mostrar sesión ID :

 

En la captura de pantalla de abajo, identifique algunos de los detalles importantes de una sesión:

  • ID de sesión: en el ejemplo, el identificador de sesión es 524342
  • flujo de C2S y flujo de s2c-identifica el flujo del tráfico del cliente al servidor (C2S) y del servidor al cliente (s2c).
  • Dirección de origen y DST (destino) con Zone: identifica las direcciones de origen y DST para cada flujo de la sesión. En el ejemplo anterior, la IP de DST en s2c Flow no coincide con la IP de origen en el flujo de C2S debido a una NAT de origen de IP y Puerto dinámico.
  • Fuente (Sport) y puerto de destino (dport): identifica los puertos de origen y de destino para cada flujo de la sesión. En el ejemplo, los flujos de C2S y s2c muestran diferentes puertos debido a la Directiva NAT configurada.
  • usuario src y DST -si el usuario-ID está configurado en el firewall, los usuarios se identificarían si estuvieran disponibles.
  • estado de la sesión. Los Estados se definen a continuación, en la sección siguiente.
  • tipo -hay 2 tipos de sesiones: flujo y predecir.   Los tipos de sesión se definen a continuación, en la sección siguiente.

 

Tipos de sesión, Estados y banderas

En los cortafuegos de Palo Alto Networks hay dos tipos de sesiones:

  • Flujo -tipo regular de sesión donde el flujo es el mismo entre C2S y s2c (ej. HTTP, Telnet, SSH).
  • Predecir : este tipo se aplica a las sesiones que se crean cuando se requiere la pasarela de capa de aplicación de Layer7 (ALG). Se ha identificado la aplicación y es necesario que se permita una nueva sesión en el cortafuegos sin ninguna regla de seguridad adicional (ej. FTP activo/pasivo, protocolos de voz H323/SIP etc). Estas sesiones pueden crearse con un 0 como IP/puerto de origen/destino, ya que es posible que no se conozca la información todavía. Los paquetes que coincidan con las sesiones de predicción se cambiarán a la sesión normal de flujo.

 

Con el fin de tener una vista detallada de las sesiones de predicción (hacer) en el cortafuegos, utilice la > Mostrar sesión todo el tipo de filtro predecir comando. El comando mostrará sólo la sesión de predicción que está activa actualmente en el cortafuegos. Es posible que este comando no muestre muchas sesiones de predicción en el cortafuegos debido al hecho de que cada sesión de predicción se convertirá en una sesión de flujo una vez que se empareje con un solo paquete. Por lo tanto, el comando mostrará sólo las sesiones de predicción que actualmente están pendientes de ser emparejadas por paquetes.

Nota: la sesión de predicción de cada aplicación tiene su propio ajuste de tiempo de espera.

 

En el ejemplo siguiente está la salida de una sesión de preDICCIÓN creada para el modo activo FTP:

 

La captura de pantalla anterior muestra el número de paquetes como 0 para ambas direcciones y que el cliente ha desencadenado la sesión de predicción.

 

Cada sesión estará en un determinado Estado en cualquier momento dado. Hay tres Estados, conocido como los Estados estables , que aparecerán más en la tabla de sesiones:

  • INIT -cada sesión comienza, por defecto, en el estado init. UNA sesión en el estado INIT es parte de la piscina gratuita y se puede utilizar en cualquier momento. La sesión puede ser usada anteriormente, pero ahora ha sido devuelta a la piscina gratuita.
  • Activo : cualquier sesión que coincida con un flujo de tráfico determinado y que se haya procesado para inspección y reenvío.
  • Descarte : tráfico que ha sido igualado por una sesión pero que se deniega debido a una política de seguridad, detección de amenazas.

 

Los otros Estados de una sesión en el cortafuegos de Palo Alto Networks son: apertura, cierre, cerrado y libre. Estos Estados se llaman transitorios . Las sesiones en Estados transitorios son difíciles de ver ya que hacen la transición a uno de los Estados estables muy rápidamente.

 

En condiciones normales, cada estado pasará por el siguiente ciclo de transición: init > apertura > activo > descartar/cerrar > Closed > gratis. Desde el estado libre, la sesión se moverá de nuevo al estado inicial de la sesión (INIT) para iniciar el siguiente ciclo. La siguiente transición de estado representa el ciclo de vida de la sesión:

                                           

 

El estado más importante en el ciclo de vida es el estado activo. Desde el estado activo, la sesión pasará a la descartar o al estado de cierre basándose en las siguientes condiciones:

  • Si se ha alcanzado el tiempo de espera de la sesión, la sesión se agotará y la transición a cerrar. El tiempo de espera de la sesión se describe en la sección siguiente.
  • Si se ha negado el tráfico debido a una regla de seguridad o se ha detectado una amenaza (con la acción establecida en Drop), la sesión pasará a ser descartada.

 

En la salida de > Mostrar sesión todas las sesiones se pueden identificar por un valor de indicador . A continuación se describe el significado de cada valor de indicador de sesión:

  • NS -se ha aplicado NAT de origen en la sesión
  • ND -se ha aplicado NAT de destino en la sesión
  • NB -se ha aplicado tanto la fuente como el destino NAT en la sesión
  • Sin bandera -no hay NAT aplicado en la sesión.

 

Tiempo de espera de sesión

Cada sesión tiene un valor de tiempo de espera definido que se configura en el dispositivo. Hay algunos detalles que se pueden observar con respecto al temporizador de una sesión observando la salida del comando > show Session ID . La captura de pantalla a continuación muestra la salida de una sesión de DNS a través del cortafuegos:

 

 

Tres detalles significativos sobre el tiempo de espera de la sesión son:

  • Timeout : el tiempo de espera específico configurado para la aplicación.
  • Tiempo de vida -el tiempo que queda hasta que expire la sesión. En el ejemplo, quedan 2 segundos hasta que expire la sesión y el estado de la sesión cambiará.
  • Sesión en sesión de edad-para cada sesión hay una corriente de flujo, que es un proceso de envejecimiento que hace un seguimiento de la vida de las sesiones. Mientras la sesión esté activa y el tiempo de vida no llegue a 0 seg, la sesión de la sesión de la hora se marcará como verdadera.

 

En el ejemplo siguiente, vea la salida de la misma sesión, pero ahora la sesión se ha agotado (debido a que no hay tráfico que coincida con la sesión):

 

Ahora vea que el estado de la sesión está cerrado y también la sesión en la sesión de la que se ha convertido en false.

 

Administración de sesiones en implementación de HA

En las implementaciones donde se está utilizando una alta disponibilidad, ciertas sesiones activas que no se crean en el cortafuegos local, pero en el dispositivo del mismo nivel deben estar sincronizadas entre pares. El tener estas sesiones sincronizadas entre pares, en caso de fallo en las sesiones activas no se perderá y el flujo de tráfico continuará en el otro dispositivo (activo en caso de despliegue activo/pasivo). Para obtener información detallada sobre los escenarios de implementación de ha, consulte la guía de administración en la sección ha.

 

El usuario puede saber si una sesión no se ha creado en el cortafuegos local observando la sesión sincronizada desde ha peer desde > Mostrar salida de ID de sesión.  Una sesión creada localmente en el cortafuegos tendrá el valor false y una creada en el dispositivo del mismo nivel y sincronizada con el cortafuegos local tendrá el valor verdadero.

 

Info adicional

El comando > Mostrar sesión ID muestra otra información sobre el flujo de tráfico a través del cortafuegos. Mientras que gran parte de la información adicional es para la solución de problemas avanzada por los representantes de soporte de Palo Alto Networks, aquí hay tres atributos que pueden ser útiles para la auto-resolución de problemas:

  • Sesión que se registrará al final -cuando configure las reglas de seguridad hay 2 opciones para el registro de reglas: al final (true) o al principio (false) de la sesión.
    En este ejemplo (vea la captura de pantalla anterior), la configuración ha especificado que la regla debe ser registrada al final.        
  • Descargar sí -marca el tráfico para el que ya se ha identificado la aplicación y se procesará en hardware.
  • Procesamiento Layer7 -si está activado, entonces app-id se ha activado en el flujo de tráfico y la aplicación se identifica constantemente. Si el procesamiento de Layer7 está configurado como completado, se ha identificado la aplicación.

 

Véase también

Guías de administración de PAN-OS y guías de referencia de CLI en la documentación

 

Propietario: aciobanu
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVECA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language