Función de seguimiento de sesión
Resolution
PAN-OS 6.0, 6.1
Detalles
PAN-OS 6,0 introdujo una función de seguimiento de sesión en el comando CLI, Mostrar identificador de sesión, y se muestra en la línea inferior de la salida del identificador de sesión de show <id #=""> como firewall de Tracker Stage. </id>
En varias fases durante el procesamiento de paquetes, una sesión puede cerrarse debido a causas tales como:
- Sesión denegada o tiempo fuera
- Paquetes caídos debido a la amenaza varias condiciones de tratamiento
- Restablecer por cualquiera de los hosts finales
El objetivo del seguimiento de sesión es presentar las razones precisas para las acciones de mitigación tomadas en sesiones particulares. La información proporcionada puede ser útil para el análisis retroactivo y la mayor parte del tiempo reduce la necesidad de reproducción de emisión, que a menudo no tiene éxito.
Hay varios Estados de etapa de Tracker, tales como:
- Envejecido fuera -ocurre cuando una sesión se cierra debido al envejecimiento hacia fuera
- TCP FIN -se produce cuando se utiliza una aleta TCP para cerrar la mitad o ambos lados de una conexión
- TCP RST -Client-se produce cuando el cliente envía un restablecimiento TCP al servidor
- TCP RST -Server-se produce cuando el servidor envía un restablecimiento TCP al cliente
- AppID de búsqueda de directivas deny -se produce cuando una sesión coincide con una directiva de seguridad con una acción deny o Drop
- mitigación TDB -se produce cuando una sesión finaliza debido a una detección de amenazas
- límite de recursos : se produce cuando una sesión se establece en Drop debido a una limitación de recursos del sistema, como exceder el número de paquetes fuera de servicio permitidos por flujo o la cola de paquetes fuera de orden global. Muchas otras razones se enrollan hasta esta razón.
- servicio de host -tráfico destinado al firewall pero servicio no permitido o habilitado
A continuación se muestra el ejemplo del comando Mostrar sesión ID con la línea Stage Tracker:
> Mostrar Session ID 4632
Sesión 4632
flujo de C2S:
Fuente: 192.168.210.103 [Trust]
DST: 198.172.88.58
Proto: 6
deporte: 4475 dport: 80
Estado: tipo de INIT: flujo
usuario fuente: desconocido
usuario de DST: desconocido
regla de PBF: WT-VPNTest 1
flujo de s2c:
Fuente: 198.172.88.58 [VPN]
DST: 192.168.210.103
Proto: 6
deporte: 80 dport: 4475
Estado: tipo de Inicio: flujo
usuario fuente: desconocido
usuario de DST: desconocido
hora de Inicio: Lun Sep 9 16:39:06 2013
tiempo de espera: 30 segundos
cuenta total del octeto (C2S): 1063
conteo total de bytes (s2c): 1461
cuenta del paquete de layer7 (C2S): 12
conteo de paquetes layer7 (s2c): 10
[.....]
sesión vía cookies syn: falso
sesión terminada en host: falso
sesión atraviesa túnel: true
sesión portal cautivo: falso
interfaz de ingreso: ethernet1/6
interfaz de la salida: Tunnel. 179
regla de QoS de sesión: N/A (clase 4)
Tracker Stage Firewall: TCP FIN
El siguiente comando enumera todas las sesiones que tienen activada la marca "Tracker Stage":
> Mostrar registro dirección de tráfico igual hacia atrás Mostrar-Tracker igual sí
Tiempo de aplicación de Puerto fuente fuente
Acción de regla a Dst puerto destino
Información de sesión del usuario del usuario de src
===============================================================================
2013/09/09 16:44:01 Flash Trust 4433 192.168.210.103
TCP-Logging permite VPN 80 74.125.239.124
FIN del TCP
2013/09/09 16:44:00 incomplete Untrust 52405 10.30.6.210
permitir-cualquier permitir Untrust 135 10.30.14.212
Envejecido
2013/09/09 16:40:25 ms-Update Trust 4402 192.168.210.103
TCP-Logging permite VPN 80 96.17.148.40
TCP RST – cliente
Propietario: djoksimovic