Fonction Tracker session
Resolution
PAN-OS 6.0, 6.1
Détails
PAN-OS 6,0 a introduit une fonctionnalité de suivi de session dans la commande CLI, Afficher l'ID de sessionet s'affiche en bas de la sortie de l' ID de session Show <id #=""> comme pare-feu de stade Tracker. </id>
À diverses phases pendant le traitement des paquets, une session peut se fermer en raison de causes telles que:
- Session refusée ou délai d'inversion
- Paquets abandonnés en raison de la menace diverses conditions de traitement
- Réinitialiser par L'un des hôtes end
L'objectif de la session Tracker est de présenter les raisons précises des mesures d'atténuation prises lors de sessions particulières. Les informations fournies peuvent être utiles pour l'analyse rétroactive et la plupart du temps réduire le besoin de reproduction des problèmes, qui n'est souvent pas réussie.
Il existe plusieurs statuts d'étape Tracker, tels que:
- Vieillit -se produit lorsqu'une session se ferme en raison du vieillissement
- TCP FIN -se produit lorsqu'UNE fin TCP est utilisée pour fermer la moitié ou les deux côtés d'une connexion
- TCP RST -client-se produit lorsque le client envoie une réinitialisation TCP au serveur
- TCP RST -Server-se produit lorsque le serveur envoie une réinitialisation TCP au client
- AppID de recherche de stratégie Deny -se produit lorsqu'une session correspond à une stratégie de sécurité avec une action Deny ou Drop
- atténuation BDM -se produit lorsqu'une session se termine en raison d'une détection de menace
- limite de ressource -se produit lorsqu'une session est définie pour être supprimée en raison d'une limitation de ressource système telle que le dépassement du nombre de paquets hors commande autorisés par flux ou la file d'attente globale de paquets hors d'ordre. Beaucoup d'autres raisons vont rouler jusqu'à cette raison.
- service hôte -trafic destiné au pare-feu mais service non autorisé ou activé
L'Exemple de la commande show session ID avec Tracker Stage Line est indiqué ci-dessous:
> Show session ID 4632
Session 4632
C2S flux :
Source: 192.168.210.103 [Trust]
DST: 198.172.88.58
proto : 6
sport: 4475 dport: 80
État: INIT type: FLOW
utilisateur de SRC : inconnu
l’utilisateur DST : inconnu
règle PBF: WT-VPNTest 1
S2C flux :
Source: 198.172.88.58 [VPN]
DST: 192.168.210.103
proto : 6
sport: 80 dport: 4475
Etat : type INIT : FLOW
utilisateur de SRC : inconnu
l’utilisateur DST : inconnu
heure de début: Lun Sep 9 16:39:06 2013
Timeout : 30sec
nombre total d'octets (C2S): 1063
nombre total d'octets (S2C): 1461
nombre de paquets layer7 (C2S): 12
nombre de paquets layer7 (S2C): 10
[.....]
session par l’intermédiaire de cookies syn : faux
session terminée sur l’hôte : faux
session traverse tunnel: true
session de portail captive : faux
interface d'infiltration: ethernet1/6
interface de sortie: tunnel. 179
règle de QoS de session : N/D (classe 4)
Firewall étape Tracker: TCP FIN
La commande suivante répertorie toutes les sessions dont l'indicateur "stage Tracker" est activé:
> Show log direction de la circulation égale en arrière Show-Tracker égal Oui
App de temps de Src Port Source
Action de règle de Dst Port Destination
SRC utilisateur DST session utilisateur info
===============================================================================
2013/09/09 16:44:01 Flash Trust 4433 192.168.210.103
TCP-Logging autoriser VPN 80 74.125.239.124
TCP FIN
2013/09/09 16:44:00 Incomplete Untrust 52405 10.30.6.210
allow-any autoriser la non-confiance 135 10.30.14.212
Vieilli
2013/09/09 16:40:25 MS-Update Trust 4402 192.168.210.103
TCP-Logging autoriser VPN 80 96.17.148.40
TCP RST – client
propriétaire : djoksimovic