Secuencia de flujo de paquetes en PAN-OS

Secuencia de flujo de paquetes en PAN-OS

1091952
Created On 09/25/18 19:10 PM - Last Modified 06/04/21 21:44 PM


Resolution


Este documento describe la secuencia de manejo de paquetes en PAN-OS .

Día en la vida de un paquete

PAN-OSSecuencia de flujo de paquetes. Desde PAN-OS 7.0.2 y 6.1.7 ( PAN-48644 ), la búsqueda de protección se realiza antes de la búsqueda de DOS policy seguridad. Este documento fue actualizado para reflejar este cambio en el comportamiento:
 

Contenido:
SECTION1: OVERVIEW
SECTION 2: INGRESS STAGE
  • 2.1 PACKET PARSING   
  • 2.2 TUNNEL DECAPSULATION  
  • 2.3 IP DEFRAGMENTATION  

SECTION 3: FIREWALLSESSION LOOKUP

  • 3.1. ZONE PROTECTION CHECKS      
  • 3.2. TCP STATE CHECK   
  • 3.3. FORWARDING SETUP   
  • 3.4. NAT POLICY LOOKUP   
  • 3.5. USER - ID   
  • 3.6. DOS PROTECTION POLICY LOOKUP  
  • 3.7. SECURITY POLICY LOOKUP    
  • 3.8. SESSION ALLOCATION  

SECTION 4: FIREWALL SESSION FAST PATH

  • SECURITY  PROCESSING
  • CAPTIVE  PORTAL
SECTION 5: APPLICATION IDENTIFICATION( APP - ID)
SECTION 6: CONTENT INSPECTION
SECTION 7: FORWARDING EGRESS /
SECTION 8: SUMMARY
 


Sección 1: Visión general

Este documento describe la secuencia de manejo de paquetes dentro de PAN-OS los dispositivos. Las etapas de entrada y reenvío/salida manejan las funciones de red y toman el paquete, reenviando las decisiones sobre una base por paquete. Las etapas restantes son módulos de seguridad basados en sesiones resaltados por App- ID y Content- ID . Este desacoplamiento ofrece funciones de seguridad con estado en la capa de aplicación y la resistencia del reenvío por paquete y la flexibilidad de las topologías de implementación.
 

Sección 2: Etapa de entrada

La etapa de entrada recibe los paquetes de la interfaz de red, analiza esos paquetes, y después determina si un paquete dado está sujeto a una inspección adicional. Si el paquete está sujeto a una inspección adicional, el firewall continúa con una búsqueda de sesión y el paquete ingresa la etapa de procesamiento de seguridad. De lo contrario, el firewall reenvía el paquete a la etapa de salida.La sección 3 resume los casos cuando los firewall paquetes de reenvío sin inspección, dependiendo del tipo de paquete y del modo operativo de la interfaz.

Nota: Durante el procesamiento de paquetes, el firewall puede descartar un paquete debido a una infracción del protocolo. En ciertos casos, debido a firewall las características de prevención de ataques, descarta los paquetes sin opciones configurables. La sección 2.1 enumera tales casos cuando los firewall descartes de paquetes en esta etapa.
 
El diagrama de flujo de paquetes que tiene cada etapa (Entrada, FW Configuración de sesión/Slowpath, FW Fastpath, Identificación de aplicaciones, Fowarding/Egress) de la firewall
Tutorial de flujo de paquetes

Haga HERE clic para obtener una imagen de alta res

 

2.1 Análisis de paquetes

El análisis de paquetes comienza con el encabezado Ethernet (Layer-2) del paquete recibido del cable.
El puerto de entrada, 802.1q tag y la dirección de destino se utilizan como claves para buscar la interfaz lógica de MAC entrada. Si no se encuentra la interfaz, se descarta el paquete. El hardware contador de interfaz "error de recepción" y el contador global "flow_rcv_dot1q_tag_err" se incrementan.

A continuación, se analiza el IP encabezado (Capa-3).
 
IPv4: El firewall descartará el paquete por cualquiera de las siguientes razones:
  • Desajuste del tipo ethernet y IP la versión
  • Cabezazo IP truncado
  • IP protocolo número 0
  • TTL Cero
  • Ataque a tierra
  • Ping de muerte
  • Dirección IP marciana
  • IP errores de suma de comprobación
 
IPv6: El firewall descartará el paquete por cualquiera de las siguientes razones:
  • Desajuste del tipo ethernet y IP la versión
  • Encabezado IPv6 truncado
  • Paquete truncado IP IP (longitud del búfer de carga útil menor que IP el campo de carga útil)
  • Extensión JumboGram ( RFC 2675)
  • Encabezado de extensión truncada
 
A continuación, se analiza el encabezado capa 4 ( TCP / UDP ).
 
TCP: El firewall descartará el paquete por cualquiera de las siguientes razones:
  • TCP encabezado se trunca.
  • Datos: el campo de desplazamiento es inferior a 5
  • Error de suma de comprobación
  • El puerto es cero
  • Combinación inválida de TCP banderas
 
UDP: El firewall descartará el paquete por cualquiera de las siguientes razones:
  • UDP encabezado truncado
  • UDP carga útil truncada (no IP longitud de fragmento y UDP búfer inferior al campo UDP de longitud)
  • Error de suma de comprobación
 

2.2 Decapsulación del túnel

Realiza firewall decapsulación/descifrado en la etapa de análisis. Después de analizar el paquete, si el firewall determina que hace juego un túnel, es decir, IPSec, con el SSL-VPN SSL transporte, después realiza la secuencia siguiente:
  • El firewall decapsula el paquete primero y lo descarta si existen errores.
  • La interfaz de túnel asociada con el túnel se asigna al paquete como su nuevo interfaz de entrada y luego el paquete es alimentado a través del proceso de análisis, a partir de la cabecera del paquete definida por el tipo de túnel. Actualmente, los tipos de túnel soportados son IP la tunelización de capa, por lo tanto el análisis de paquetes (para un paquete tunelizado) comienza con el IP encabezado.
 

2.3 IP Desfragmentación

El firewall analiza IP fragmentos, vuelve a ensamblar usando el proceso de desfragmentación y, a continuación, vuelve a alimentar el paquete al analizador a partir del IP encabezado.En esta etapa, un fragmento se puede descartar debido al ataque de caída lagrimal (fragmentos superpuestos), errores de fragmentación, o si el firewall sistema alcanza límites en fragmentos almacenados en búfer (alcanza el umbral máximo del paquete).
 

Sección 3: Búsqueda de Firewallsesión

A paquete está sujeto al firewall procesamiento dependiendo del tipo de paquete y del modo de interfaz. La tabla siguiente resume el comportamiento de procesamiento de paquetes para un modo de operación de interfaz determinado y un tipo de paquete:
 
Tipo de paqueteModos de operación de interfaz
Layer-3Capa-2Virtual WireGrifo
Unidifusión IPv4inspeccionar & adelanteinspeccionar & adelanteinspeccionar & adelanteInspeccione y gota

Multidifusión de IPv4

(224.0.0.1 - 239.255.255.255)

inspeccionar & adelantesólo hacia adelante (inundación)

hacia adelante, pero inspeccionar sólo si multidifusión

cortafuegos es el

Inspeccione y gota

IP difusión

(255.255.255.255)

de la gotaadelante sólo (inundación)

hacia adelante, pero inspeccionar sólo si multidifusión

cortafuegos es el

de la gota
IP difusión localde la gotaadelante sólo (inundación)

hacia adelante, pero inspeccionar sólo si multidifusión

cortafuegos es el

de la gota
IPv6

Inspeccione y adelante si activado

adelante, pero Revise si IPv6 cortafuegos está en (por defecto)

adelante, pero Revise si IPv6 cortafuegos está en (por defecto)la gota, pero Revise si IPv6 cortafuegos está en (por defecto)
No-IPproceso si es aplicable, no hacia adelantehacia adelante sólohacia adelante sólode la gota
 
Si el paquete está sujeto a firewall la inspección, realiza una búsqueda de flujo en el paquete. A  firewall sesión consta de dos flujos unidireccionales, cada uno identificado de forma única. En PAN-OS la implementación de 's, el flujo identifica el flujo utilizando una clave de firewall 6 tuplas:
  • Direcciones de origen y destino: IP direcciones del IP paquete. 
  • Puertos de origen y destino: números de puerto de / encabezados de TCP UDP protocolo.Para los TCP UDP no- / , se utilizan diferentes campos de protocolo (por ejemplo, para ICMP el identificador y los números de secuencia se ICMP utilizan, para la terminación IPSec en el dispositivo se utiliza el índice de parámetros de seguridad ( SPI ) y, para desconocidos, se utiliza un valor reservado constante para omitir la coincidencia de capa 4).
  • Protocolo: El IP número de protocolo del encabezado se utiliza para IP derivar la clave de flujo.
  • Zona de seguridad: este campo se deriva de la interfaz de entrada a la que llega un paquete.
Los firewall almacenes activas fluyen en la tabla de búsqueda de flujo. Cuando se determina que un paquete es elegible para firewall la inspección, el firewall extrae la clave de flujo de 6 tuplas del paquete y después realiza una búsqueda de flujo para hacer juego el paquete con un flujo existente. Cada flujo tiene un cliente y un componente de servidor, donde el cliente es el remitente del primer paquete de la sesión desde la firewall perspectiva de 's, y el servidor es el receptor de este primer paquete.
 
Nota: La distinción de cliente y servidor es desde el firewall punto de vista 's y puede o no ser la misma desde el punto de vista de los hosts finales'. Sobre la base de la definición anterior del cliente y del servidor, habrá un flujo de cliente a servidor (C2S) y de servidor a cliente (S2C), donde todos los paquetes de cliente a servidor deben contener la misma clave que la del flujo C2S, y así sucesivamente para el flujo S2C.
 

Firewall Configuración de sesión

Realiza firewall los pasos siguientes para configurar una firewall sesión:
 

3.1. Controles de protección de zona

Después de que el paquete llegue en una interfaz, la información de la interfaz de ingreso firewall se utiliza para determinar la zona de ingreso. Si los perfiles de protección de la zona existen para esa zona, el paquete está sujeto a evaluación en función de la configuración de perfil.
 

3.2. TCP State Check  

Si el primer paquete de una sesión es un TCP paquete y no tiene el bit SYN establecido, el lo descarta firewall (predeterminado).Si SYN la configuración de inundación está configurada en el perfil de protección de zona y la acción se establece en SYN Cookies, la cookie se activa si el TCP SYN número coincide con el umbral de SYN activación. SYN funciones de implementación de cookies de la siguiente manera:
  • La semilla para codificar la cookie se genera mediante el generador de números aleatorios cada vez que el plano de datos botas arriba.
  • Si un ACK paquete recibido del cliente no hace juego la codificación de cookies, trata el paquete como no SYN paquete.
  • A sesión que pasa SYN el proceso de la cookie está sujeto a la traducción de números de secuencia porque el actuado TCP como proxy para el firewall TCP apretón de manos de 3 vías.
Si la SYN acción Protección contra inundaciones se establece en Aleatoria de caída temprana ( ) en su RED lugar, que es el valor predeterminado, firewall simplemente quita los mensajes que se reciben después de alcanzar el SYN umbral. SYN Las cookies se prefieren cuando desea permitir que pase un tráfico más legítimo mientras es capaz de distinguir SYN los paquetes de inundación y soltarlos en su lugar. RED, por otro lado, caerá SYN paquetes al azar y puede afectar el tráfico legítimo por igual.
 
Nota: Usted puede configurar el firewall permitir el primer TCP paquete, incluso si no tiene el SYN bit fijado.Alterar el comportamiento predeterminado y permitir que los SYN TCP no paquetes pasen plantea un riesgo de seguridad al abrir los Firewall paquetes malintencionados que no forman parte de una secuencia de TCP conexión válida. Aunque esto no es una opción recomendada, puede ser necesario para escenarios con flujos asimétricos.  Debe configurar firewall el para rechazar TCP SYN no- cuando SYN las cookies están habilitadas.
 

3.3. Reenvío Setup

Esta etapa determina la ruta de reenvío de paquetes. Reenvío de paquetes depende de la configuración de la interfaz. La siguiente tabla resume el comportamiento de reenvío de paquetes:
 
Modo de interfaz
Acción de reenvío
GrifoLa interfaz/zona de salida es lo mismo que la interfaz/zona de entrada desde una policy perspectiva. El firewall descarta el paquete.
Cable virtualInterfaz de salida es el par configurado en el alambre virtual
Capa - 2
La interfaz de salida para el destino MAC se recupera de la MAC tabla. Si la información no está presente, la trama se inunda a todas las interfaces en el VLAN dominio de broadcast asociado, excepto para la interfaz de entrada.
Capa - 3El firewall utiliza la tabla de búsqueda de ruta para determinar el salto siguiente, o descarta el paquete si no hay coincidencia.
 

3.4. NAT Policy Lookup  

Esto es aplicable sólo en modo de alambre Virtual o Layer-3. En esta etapa, la información de la zona de entrada y salida está disponible. El firewall evalúa las reglas para el paquete NAT original.
  • Para NAT el destino, realiza firewall una segunda búsqueda de ruta para la dirección traducida para determinar la interfaz/zona de salida.  
  • Para el origen NAT , el evalúa la regla para la asignación de firewall NAT IP origen. Si la verificación de asignación falla, el firewall descarta el paquete.

 

3.5. Usuario-ID

El firewall utiliza la dirección del paquete para consultar la tabla de asignación de usuario IP IP (mantenida VSYS por). Se recupera la información del usuario correspondiente. A firewall continuación, toma esta información de usuario para consultar la tabla de asignación de grupos de usuarios y obtiene la asignación de grupo asociada a este usuario (devuelve todos los grupos a los que pertenece el usuario).
 
Existe la posibilidad de que la información de usuario no está disponible en este momento. En ese caso, si se configura el portal policy cautivo, el firewall intentará averiguar la información del usuario a través de la autenticación del portal cautivo (descrita en la Sección 4).
 

3.6. Búsqueda de protección Policydos

A continuación, firewall comprueba la protección dos (denegación de servicio) para los umbrales de tráfico basados en el perfil de policy protección dos.Si la acción de protección dos policy se fija a "Proteger", las firewall comprobaciones de los umbrales especificados y si hay una coincidencia (ataque DoS detectado), descarta el paquete.
 
Si la policy acción es permitir o denegar, la acción tiene prioridad independientemente de los límites de umbral establecidos en el perfil dos.
 

3.7. Seguridad Policy Lookup

En esta etapa, está disponible la información de zona de entrada y salida.La firewall aplicación utiliza para realizar la búsqueda y comprobar si hay una coincidencia de ANY reglas.En caso de una coincidencia de regla, si la policy acción se fija a 'denegar', el cae el firewall paquete.El firewall niega el tráfico si no hay ninguna coincidencia de regla de seguridad. El firewall tráfico intrazona permite por abandono. Puede modificar este comportamiento predeterminado para el tráfico intrazona e interzona desde la base de reglas de directivas de seguridad.  
 
Nota: Las reglas de seguridad se aplican al contenido del paquete firewall original, incluso si hay reglas NAT configuradas.    
 

3.8. ALlocation de sesión

El firewall asigna una nueva entrada de sesión desde el grupo gratuito después de que todos los pasos anteriores se completen correctamente. Fallo de asignación de la sesión puede ocurrir en este punto debido a las limitaciones de recursos:
  • VSYS sesión máxima alcanzada, o
  • Asigna firewall todas las sesiones disponibles.
Después de que la asignación de sesión se realice correctamente:
  • El firewall contenido de la sesión de relleno con las claves de flujo extraídas del paquete y el reenvío/ policy resultados.
  • Cambios de estado de sesión de INIT (preasignación) a OPENING (posterior asignación).
  • Si la aplicación no ha sido identificada, se establecen los valores de tiempo de espera de sesión en valor predeterminado del Protocolo de transporte. Puede configurar estos valores globales de tiempo de espera desde la Firewall configuración del dispositivo.Los valores de tiempo de espera específicos de la aplicación invalidan la configuración global y serán los valores de tiempo de espera efectivos para la sesión una vez que se identifique la aplicación.  
Después de la configuración, se lleva a cabo la instalación de la sesión:
  • Firewall consulta la tabla de búsqueda de flujo para ver si existe una coincidencia para las claves de flujo que coinciden con la sesión.Si se encuentra una coincidencia de búsqueda de flujo (ya existe una sesión con la misma tupla), esta instancia de sesión se descarta como ya existe la sesión, de lo contrario
  • La sesión se agrega a la tabla de búsqueda de flujo para los flujos C2S y S2C y firewall cambia el estado de la sesión de a OPENING ACTIVE .
firewallEl entonces envía el paquete a la fase de trayecto rápido de la sesión para el procesamiento de seguridad.
 

Sección 4 : Firewall Ruta rápida de la sesión

A paquete que coincida con una sesión existente entrará en la ruta rápida. Esta etapa comienza con el procesamiento de capa 2 a capa firewall 4:
  • Si la sesión está en estado de descarte, después el firewall descarta el paquete.Puede firewall marcar una sesión como en el estado de descarte debido a un cambio de acción para policy denegar o detección de amenazas.
  • Si la sesión está activa, actualice el tiempo de espera de la sesión.
  • Si el paquete es un TCP FIN / , el temporizador medio cerrado de la sesión se inicia si éste es el primer RST paquete recibido TCP FIN (mitad sesión cerrada) o el temporizador de espera de TCP tiempo se inicia si éste es el segundo paquete o FIN RST paquete. La sesión se cierra tan pronto como expira cualquiera de estos temporizadores.
  • Si NAT es aplicable, traduzca el encabezado L3/L4 según corresponda.
Si una aplicación utiliza TCP como transporte, el firewall módulo de TCP reensamblaje lo procesa antes de enviar el flujo de datos al módulo de procesamiento de seguridad. El TCP módulo de reensamblaje también realizará la comprobación de ventanas, almacenará en búfer los datos fuera de servicio mientras omite TCP la retransmisión. El firewall cae los paquetes si hay un error del reensamblaje o si recibe demasiados fragmentos fuera de servicio, lo que resulta en los buffers del reensamblaje llenando.
 

4.1. Procesamiento de seguridad

A paquete que coincida con una sesión existente está sujeto a un procesamiento posterior (identificación de la aplicación y/o inspección de contenido) si el paquete tiene TCP / UDP datos (carga útil), o es un paquete que no TCP es / UDP .
 
Si firewall no detecta la aplicación de sesión, realiza una búsqueda de ID aplicaciones. Si la búsqueda de aplicaciones ID no es concluyente, el módulo de inspección de contenido ejecuta comprobaciones de decodificador de protocolo conocidas y heurística para ayudar a identificar la aplicación.  
 
Si detecta firewall la aplicación, la sesión está sujeta a inspección de contenido si se aplica alguna de las siguientes opciones:
  • Application Layer Gateway ( ALG ) está implicada.
  • Aplicación es tunelizado.
  • La regla de seguridad tiene el perfil de seguridad asociado.
Las etapas identificación de aplicaciones (app- ID ) e inspección de contenido se describen en detalle en secciones posteriores (Sección 5 y 6).  
 

4.2. Portal cautivo

Si la información de usuario wa s no está disponible para la dirección de origen IP extraída del paquete, y el paquete se destina a TCP /80, el firewall realiza una búsqueda de reglas del portal cautivo para ver si el paquete está sujeto a la autenticación del portal cautivo. Si el portal cautivo es aplicable, el paquete se redirige al daemon del portal cautivo.
 
Nota: Puesto que el portal cautivo es aplicable al tráfico http y también admite una URL búsqueda basada policy en categorías, esto se puede patear solo después de que se complete el TCP apretón de manos y los encabezados de host http estén disponibles en el intercambio de sesiones.
 

Sección 5 : IDentificación de aplicaciones (App-ID)

La firewall primera realiza una búsqueda de invalidación de aplicación para ver si hay una coincidencia de policy reglas. Si la hay, se conoce la aplicación y se omite la inspección de contenido para esta sesión.
Si no hay ninguna regla de aplicación-override, firmas de solicitud se utilizan para identificar la aplicación.El firewall protocolo utiliza la decodificación en la fase de inspección de contenido para determinar si una aplicación cambia de una aplicación a otra.
 
Después de firewall identificar la aplicación de sesión, el control de acceso, la inspección de contenido, la administración de tráfico y el registro se configurarán según lo configurado.
  • Búsqueda policy de seguridad: la aplicación identificada, así como IP la categoría /port/protocol/zone/user/ URL de la sesión, se utilizan como clave para encontrar la coincidencia de reglas.
  • Si la seguridad policy tiene habilitado el registro al inicio de la sesión, genera un registro de firewall tráfico, cada vez que la aplicación cambia ID a lo largo de la vida útil de la sesión.  
  • Si la acción de seguridad policy está establecida para permitir y tiene perfil y/o aplicación asociados está sujeta a inspección de contenido, entonces pasa todo el contenido a través de Content- ID .
  • Si la acción de seguridad policy está establecida para permitir, realiza una búsqueda firewall de QoS policy y asigna una clase QoS en función de la coincidencia policy .
  • Si la acción de seguridad policy está establecida para permitir y la aplicación es o , realizar una búsqueda de SSL SSH policy descifrado y configurar contextos proxy si hay una regla de descifrado coincidente .
 

Sección 6 : Inspección de contenido  

Realiza firewall la inspección de contenido, si procede, cuando el protocolo decodifica el flujo y analiza e identifica las aplicaciones de firewall tunelización conocidas (aquellas que suelen llevar a cabo otras aplicaciones como la navegación web).
Si la aplicación identificada cambia debido a esto, consulta firewall las directivas de seguridad una vez más para determinar si se debe permitir que la sesión continúe.
 
Si la aplicación no cambia, inspecciona firewall el contenido según todos los perfiles de seguridad asociados a la regla de coincidencia original. Si da como resultado la detección de amenazas, se realiza la acción de perfil de seguridad correspondiente.
 
El firewall reenvía el paquete a la etapa de reenvío si una de las condiciones se mantiene verdadera:
  • Si la inspección da lugar a una acción de "detección" y el perfil de seguridad está establecido para permitir, o
  • Inspección de contenido no devuelve 'detección'.
firewallA continuación, vuelve a cifrar el paquete antes de entrar en la fase de reenvío, si corresponde SSL (descifrado y SSH descifrado de proxy de reenvío).
 

Sección 7: Expedición/salida

Identifica firewall un dominio de reenvío para el paquete, basado en la configuración de reenvío (discutida anteriormente).
El firewall modelado QoS realiza según corresponda en el proceso de salida. También, basado en la MTU interfaz de salida y las configuraciones de bits de fragmento en el paquete, la firewall fragmentación lleva a cabo si es necesario.

Si la interfaz de salida es una interfaz de túnel, después se realiza el cifrado ipsec/túnel SSL-VPN y se reevalua el reenvío de paquetes.
 
Finalmente el paquete se transmite fuera de la interfaz de salida física.
 

Sección 8 : Resumen

Firewalls de última generación de Palo Alto Networks utilizan una arquitectura única pasar paralelo procesamiento simple (SP3), que permite la seguridad de red de alto rendimiento, baja latencia, al mismo tiempo la incorporación de tecnología y características sin precedentes. Palo Alto Networks resuelve los problemas de rendimiento que plagan la infraestructura de seguridad actual con la arquitectura SP3, que combina dos componentes complementarios - software Single Pass, Procesamiento hardware paralelo. El resultado es una mezcla excelente de rendimiento materia prima, procesamiento, de transacciones y seguridad de la red requieren de redes de alto rendimiento actual.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVHCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language