Session Tracker Feature

PAN-OS 6.0, 6.1

Details

PAN-OS 6,0 hat eine Session-Tracker-Funktion im CLI-Befehl, Show-Session-ID, eingeführt und wird am unteren Ende der Ausgabe der Show-Session-ID <id #=""> als Tracker-Stage-Firewall angezeigt. </id>

In verschiedenen Phasen während der Paket Bearbeitung kann eine Sitzung aufgrund von Ursachen wie:

• Session verweigert oder Auszeit
• Abgefallene Pakete wegen Bedrohung verschiedener Behandlungsbedingungen
• Reset von einem der endrechner

Der Zweck des Session-Trackers besteht darin, die genauen Gründe für Minderungsmaßnahmen zu berücksichtigen, die zu bestimmten Sitzungen ergriffen wurden. Die bereitgestellten Informationen können für eine rückwirkende Analyse nützlich sein und die meiste Zeit den Bedarf an Ausgabe Wiedergabe verringern, was oft nicht gelingt.

Es gibt mehrere Tracker-Bühnen Zustände, wie:

• Altert -tritt auf, wenn eine Sitzung wegen des Alterns beendet wird
• TCP FIN -tritt auf, wenn eine TCP-Flosse verwendet wird, um die Hälfte oder beide Seiten einer Verbindung zu schließen
• TCP RST -Client-tritt auf, wenn der Client einen TCP-Reset an den Server sendet
• TCP RST -Server-tritt auf, wenn der Server einen TCP-Reset an den Client sendet
• AppID Policy Lookup Denial -tritt auf, wenn eine Sitzung mit einer Sicherheitspolitik mit einer Deny-oder Drop-Aktion übereinstimmt
• Mitigation TDB -tritt auf, wenn eine Sitzung aufgrund einer Bedrohungserkennung endet
• Ressourcenbegrenzung -tritt auf, wenn eine Sitzung aufgrund einer Systemressourcen Begrenzung fallen gelassen wird, wie etwa die Überschreitung der Anzahl der von der Bestellung erlaubten Pakete pro Flow oder die globale out-of-Order-Paket Schlange. Viele andere Gründe werden sich aus diesem Grund Rollen.
• Host -Service-Verkehr für Firewall bestimmt, aber Service nicht erlaubt oder aktiviert

Das Beispiel des Show-Session-ID- Befehls mit der Tracker-Bühnen Linie wird unten gezeigt:

> Session ID 4632

Session 4632

C2S fließen:

Quelle: 192.168.210.103 [Trust]

DST: 198.172.88.58

Proto: 6

Sport: 4475 dport: 80

Zustand: INIT-Typ: FLOW

SRC-Benutzer: unbekannt

DST-Benutzer: unbekannt

PBF-Regel: WT-VPNTest 1

S2C Durchfluss:

Quelle: 198.172.88.58 [VPN]

DST: 192.168.210.103

Proto: 6

Sport: 80 dport: 4475

Zustand: INIT Typ: FLOW

SRC-Benutzer: unbekannt

DST-Benutzer: unbekannt

Startzeit: Mo Sep 9 16:39:06 2013

Zeitlimit: 30 Sek.

Gesamtzahl der Byte (C2S): 1063

Gesamtzahl der Byte (S2C): 1461

layer7 Packet count (C2S): 12

layer7 Paket Zählung (S2C): 10

[.....]

Sitzung über Syn-Cookies: False

Sitzung beendet auf Host: False

Session Traversen Tunnel: true

Captive Portal Sitzung: False

Eindringen-Schnittstelle: Ethernet1/6

Egress-Schnittstelle: Tunnel. 179

Sitzung-QoS-Regel: N/A (Klasse 4)

Tracker Stage Firewall: TCP FIN

Der folgende Befehl listet alle Sitzungen auf, die das "Tracker Stage"-Flag aktiviert haben:

> Log-Traffic-Richtung gleiche rückwärts Show anzeigen-Tracker gleich Ja

Time-App von Src Port Quelle

Regelaktion auf Sommerzeit Bestimmungshafen

Src-Benutzer DST User Session Info

===============================================================================

2013/09/09 16:44:01 Flash Trust 4433 192.168.210.103

TCP-Logging erlauben VPN 80 74.125.239.124

                                                    TCP FIN

2013/09/09 16:44:00 unvollständige Untrust 52405 10.30.6.210

erlauben-alle erlauben unvertrauen 135 10.30.14.212

                                                    Gealtert

2013/09/09 16:40:25 MS-Update Trust 4402 192.168.210.103

TCP-Logging erlauben VPN 80 96.17.148.40

                                                    TCP RST – Client

Besitzer: Djoksimovic