Fonction Tracker session

PAN-OS 6.0, 6.1

Détails

PAN-OS 6,0 a introduit une fonctionnalité de suivi de session dans la commande CLI, Afficher l'ID de sessionet s'affiche en bas de la sortie de l' ID de session Show <id #=""> comme pare-feu de stade Tracker. </id>

À diverses phases pendant le traitement des paquets, une session peut se fermer en raison de causes telles que:

• Session refusée ou délai d'inversion
• Paquets abandonnés en raison de la menace diverses conditions de traitement
• Réinitialiser par L'un des hôtes end

L'objectif de la session Tracker est de présenter les raisons précises des mesures d'atténuation prises lors de sessions particulières. Les informations fournies peuvent être utiles pour l'analyse rétroactive et la plupart du temps réduire le besoin de reproduction des problèmes, qui n'est souvent pas réussie.

Il existe plusieurs statuts d'étape Tracker, tels que:

• Vieillit -se produit lorsqu'une session se ferme en raison du vieillissement
• TCP FIN -se produit lorsqu'UNE fin TCP est utilisée pour fermer la moitié ou les deux côtés d'une connexion
• TCP RST -client-se produit lorsque le client envoie une réinitialisation TCP au serveur
• TCP RST -Server-se produit lorsque le serveur envoie une réinitialisation TCP au client
• AppID de recherche de stratégie Deny -se produit lorsqu'une session correspond à une stratégie de sécurité avec une action Deny ou Drop
• atténuation BDM -se produit lorsqu'une session se termine en raison d'une détection de menace
• limite de ressource -se produit lorsqu'une session est définie pour être supprimée en raison d'une limitation de ressource système telle que le dépassement du nombre de paquets hors commande autorisés par flux ou la file d'attente globale de paquets hors d'ordre. Beaucoup d'autres raisons vont rouler jusqu'à cette raison.
• service hôte -trafic destiné au pare-feu mais service non autorisé ou activé

L'Exemple de la commande show session ID avec Tracker Stage Line est indiqué ci-dessous:

> Show session ID 4632

Session 4632

C2S flux :

Source: 192.168.210.103 [Trust]

DST: 198.172.88.58

proto : 6

sport: 4475 dport: 80

État: INIT type: FLOW

utilisateur de SRC : inconnu

l’utilisateur DST : inconnu

règle PBF: WT-VPNTest 1

S2C flux :

Source: 198.172.88.58 [VPN]

DST: 192.168.210.103

proto : 6

sport: 80 dport: 4475

Etat : type INIT : FLOW

utilisateur de SRC : inconnu

l’utilisateur DST : inconnu

heure de début: Lun Sep 9 16:39:06 2013

Timeout : 30sec

nombre total d'octets (C2S): 1063

nombre total d'octets (S2C): 1461

nombre de paquets layer7 (C2S): 12

nombre de paquets layer7 (S2C): 10

[.....]

session par l’intermédiaire de cookies syn : faux

session terminée sur l’hôte : faux

session traverse tunnel: true

session de portail captive : faux

interface d'infiltration: ethernet1/6

interface de sortie: tunnel. 179

règle de QoS de session : N/D (classe 4)

Firewall étape Tracker: TCP FIN

La commande suivante répertorie toutes les sessions dont l'indicateur "stage Tracker" est activé:

> Show log direction de la circulation égale en arrière Show-Tracker égal Oui

App de temps de Src Port Source

Action de règle de Dst Port Destination

SRC utilisateur DST session utilisateur info

===============================================================================

2013/09/09 16:44:01 Flash Trust 4433 192.168.210.103

TCP-Logging autoriser VPN 80 74.125.239.124

                                                    TCP FIN

2013/09/09 16:44:00 Incomplete Untrust 52405 10.30.6.210

allow-any autoriser la non-confiance 135 10.30.14.212

                                                    Vieilli

2013/09/09 16:40:25 MS-Update Trust 4402 192.168.210.103

TCP-Logging autoriser VPN 80 96.17.148.40

                                                    TCP RST – client

propriétaire : djoksimovic