Falsch konfigurierte Quelle NAT und LAND greift
Resolution
Problem
In Szenarien, in denen ein Administrator die Übersetzung von Destinationen auf mehr als einem Reiseziel konfiguriert, ohne eine Quell Zone anzugeben, kann die Quelle NAT auf der Unterseite landen und wie eine Standard-NAT-Regel wirken, die eine Quellen Übersetzung im Verkehr durchführt, die nicht passen Sie die oben genannten Ziel-NAT-Regeln an.
In solchen Fällen erfolgt die Quellen Übersetzung über den Verkehr, der nach außen/unvertrauen/Öffentlichkeit geht. Wenn diese Quelle NAT so konfiguriert wurde, dass die Quell Zone eine ist und die Zielzone extern/unvertrauens voll/öffentlich ist, dann schließt der Verkehr, der diese Regel trifft, den Traffic von Untrust auch als Quelle übersetzen.
Beispiel einer offenen NAT-Regel:
Dies hat negative Auswirkungen auf den bekannten oder vertrauenswürdigen Verkehr, denn abgesehen von dem Verkehr, der das Internet erreicht, gibt es andere vertrauenswürdige Verkehrsverbindungen, die diese Quelle NAT-Regel treffen werden.
Im folgenden einige Beispiele für den Verkehr, die dieser Politik entsprechen würden:
- EIN Ping an die externe Schnittstelle oder die öffentliche IP der Firewall
- IPsec VPN, Phase 1/IKE Verhandlungen von der Peer Firewall
In beiden Fällen wird der Verkehr die Quelle NAT-Regel treffen, was dazu führt, dass eine Quell Übersetzung auf den Verkehr angewendet wird. Die Quelle wird in die öffentliche IP der Firewall übersetzt, und jetzt würde die Firewall diesen Traffic als die gleiche Quelle und Ziel-IP sehen. Die Firewall wird diesen Traffic sofort fallen lassen, wenn man bedenkt, dass es sich um IP-Spuck handelt.
Da dies eine von vielen Anomalien ist, die aufgrund einer Open-Source-NAT-Regel beobachtet werden könnten, sind die Schritte, um das Problem zu beheben und zu identifizieren.
Schritte zur Fehlerbehebung
Um zu bestätigen, dass der Traffic aufgrund von IP-spucken gelöscht wird, führen Sie den folgenden Befehl an und überprüfen Sie die Zähler speziell die Drop-Zähler.
EIN Filter kann konfiguriert und auf die Zähler aufgetragen werden, um relevant zu filtern. Um einen Filter auf dem CLI zu erstellen, verweisen Sie auf die folgenden Schritte.
> Debug-dataplane-Paket-Diag-Show-Setting
Dieser Befehl zeigt die aktuellen Filter-und Logging-Optionen, die gesetzt werden. Bitte prüfen Sie, ob bereits keine Filter gesetzt wurden.
--------------------------------------------------------------------------------
Paket-Diagnose-Einstellung:
--------------------------------------------------------------------------------
Paketfilter
Aktiviert: keine
Spiel bereits analysierte Paket: keine
--------------------------------------------------------------------------------
Protokollierung
Aktiviert: keine
Log-throttle: Nein
Aggregat-zu-Single-Datei: Ja
Ausgabedatei Größe: 113775 von 10485760 bytes
Merkmale:
Zähler:
--------------------------------------------------------------------------------
Paket Erfassung
Aktiviert: keine
Snaplen: 0
--------------------------------------------------------------------------------
Wenn eine andere Ausgabe gesehen wird, verwenden Sie den folgenden Befehl, um die bereits vorhandenen Filter zu löschen.
> Debug Dataplane Paket-Diag verwerfen
Nach diesem Befehl können wir den Filter wie folgt für das IPSec-Szenario einstellen. (ersetzen Sie 1.1.1.1 durch die IP-Adresse des Peer und 2.2.2.2 Sie mit der öffentlichen IP-Adresse der lokalen Firewall)
> Debug-dataplane-Paket-Diag-Set-Filter-Match-Quelle 1.1.1.1 Ziel 2.2.2.2 Destination-Port 500 Protokoll 17 (für Ping-use-Protokoll 1 für das Ping-Szenario und keinen Zielport erwähnen)
> Debug-dataplane-Paket-Diag-Show-Setting
Die Ausgabe sollte wie folgt aussehen:
--------------------------------------------------------------------------------
Paket-Diagnose-Einstellung:
--------------------------------------------------------------------------------
Paketfilter
Aktiviert: keine
Spiel bereits analysierte Paket: keine
Index 1:1.1.1.1 [0]-> 2.2.2.2 [500], proto 17
Eindringen-Schnittstelle vorhanden, Ausgang-Schnittstelle, ausschließen nicht-IP-
--------------------------------------------------------------------------------
Protokollierung
Aktiviert: keine
Log-throttle: Nein
Aggregat-zu-Single-Datei: Ja
Ausgabedatei Größe: 113775 von 10485760 bytes
Merkmale:
Zähler:
--------------------------------------------------------------------------------
Paket Erfassung
Aktiviert: keine
Snaplen: 0
--------------------------------------------------------------------------------
In der GUI können Filter unter > Monitor > Paket Erfassung > Filter konfiguriert werden
Konfigurieren Sie die Quelle IP als Peer-IP, Destination IP als öffentliche IP der Firewall, das Protokoll als 17 und Zielport als 500.
Nach dem Setzen des Filters und initiieren Sie die IPSec oder den Ping-Verkehr und folgen Sie dem unten stehenden Befehl und überprüfen Sie für die Tropfen aufgrund von LAND-Angriff.
> Counter Global Filter Packet anzeigen-Filter ja Delta Ja schwere Tropfen
Wenn der folgende Zähler in jedem Mal auftaucht, wenn Sie den obigen Befehl ausführen, dann lässt die Firewall den Traffic aufgrund von IP-spucken fallen.
flow_policy_nat_land Drop Session Setup: Quelle NAT IP-Zuweisung Ergebnis im Land Angriff
Lösung
Palo Alto Networks empfiehlt dringend, Zonen bei der Konfiguration von Source-NAT-Regeln anzugeben, da es das Risiko einer Übersetzung auf Paketen reduziert, die nicht übersetzt werden sollten.
Besitzer: Dpalani