Comportamiento de reglas de seguridad con aplicaciones permitidas con ' any ' de servicio

Comportamiento de reglas de seguridad con aplicaciones permitidas con ' any ' de servicio

43056
Created On 09/25/18 19:20 PM - Last Modified 06/09/23 05:47 AM


Resolution


Resumen

La opción de servicio ' aplicaciones-valores predeterminados ' bajo la regla de seguridad sólo permite las aplicaciones con puertos predeterminados definidos por Palo Alto Networks. Si hay una necesidad de permitir la aplicación en otro puerto, el servicio debe ser agregado.

Aplicación. Jpg

 

Si la aplicación se permite con el servicio como cualquiera, a continuación, algunos paquetes se envían a través de identificar el tipo de tráfico.

 

Ejemplo

La Directiva de seguridad está configurada con la aplicación ping y ICMP, allow, con servicio como cualquiera.

Al intentar enviar mensajes de texto en puertos aleatorios a través de netcat al servidor, el texto aleatorio pasa a través, aunque no está permitido por ninguna otra política de seguridad.

Los detalles de la sesión muestran la aplicación como indeciso.

El motor de la aplicación sigue intentando identificar el tipo de tráfico de los paquetes aleatorios que se envían.

Cuando la aplicación se identifica como Unknown-TCP, se descarta.

Ping. Jpg

 

Sesión 985347

        flujo de C2S:

                Fuente: 199.58.199.98 [Untrust]

                DST: 192.41.90.141

                Proto: 6

                deporte: 23005 dport: 45632

                Estado: tipo activo: flujo

                usuario fuente: desconocido

                usuario de DST: desconocido

 

 

        flujo s2c:

                Fuente: 10.200.65.1 [Trust]

                DST: 199.58.199.98

                Proto: 6

                deporte: 45632 dport: 23005

                Estado: tipo activo: flujo

                usuario fuente: desconocido

                usuario de DST: desconocido

 

 

        hora de Inicio: Wed Oct 24 17:08:39 2012

        timeout: 3600 sec

        tiempo de vida: 2816 seg.

        cuenta total del octeto (C2S): 286

        conteo total de bytes (s2c): 206

        count(c2s) paquete de layer7: 4

        conteo de paquetes layer7 (s2c): 3

        vsys: vsys1

        aplicación: indeciso

        regla: lbq_ping

        DB del uso: 8

        sesión para iniciar sesión final: True

        sesión en ager sesión: verdadero

        sesión sincronizado de peer HA: falso

        dirección/puerto traducción: fuente + destino

        NAT-regla: lbq1_inbound (vsys1)

        procesamiento de layer7: habilitado

        Filtrado de URL habilitada: False

        sesión vía cookies syn: falso

        sesión terminada en host: falso

        sesión atraviesa túnel: falso

        sesión portal cautivo: falso

        interfaz de entrada: ethernet1/1

        interfaz de salida: AE1

        regla de QoS de sesión: N/A (clase 4)

        Regla DoS: DOS estándar

 

Es un comportamiento esperado. Si es necesario permitir sólo una aplicación específica sin permitir que se envíen paquetes, debe seleccionarse el servicio predeterminado de la aplicación.

 

Propietario: ukhapre
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVmCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language