NAT de origen y ataques de tierra mal configurados
Resolution
Incidencia
En escenarios donde un administrador configura la traducción de destino en más de un destino sin especificar una zona de origen, el NAT de origen puede terminar en la parte inferior, actuando como una regla NAT predeterminada que realiza la traducción de origen en el tráfico que no coinciden con las reglas NAT de destino anteriores.
En tales casos, la traducción de la fuente se hace en el tráfico que va a externo/a Untrust/al público. Si esta fuente NAT se ha configurado de manera que la zona de origen es cualquiera y la zona de destino es externa/no confiable/pública, entonces el tráfico que afecta a esta regla incluye tráfico de desconfianza también siendo origen traducido.
Ejemplo de una regla NAT abierta:
Esto tiene un efecto adverso sobre el tráfico conocido o de confianza, porque aparte del tráfico que está llegando a Internet, hay otras conexiones de tráfico de confianza que afectarán a esta regla de origen NAT.
A continuación se muestran algunos ejemplos de tráfico que coincidirían con esta política:
- UN ping a la interfaz externa o la IP pública del firewall
- IPsec VPN, negociaciones de fase 1/IKE desde el Firewall de pares
En ambos casos, el tráfico llegará a la regla NAT de origen causando que se aplique una traducción de origen al tráfico. La fuente será traducida a la IP pública del firewall, y ahora el Firewall vería este tráfico como teniendo la misma IP de origen y destino. El cortafuegos dejará inmediatamente este tráfico, considerando que es una falsificación de IP.
Dado que esta es una de las muchas anomalías que se pueden observar debido a una regla NAT de código abierto siguientes son los pasos para solucionar problemas e identificar el problema.
Pasos de resolución de problemas
Para confirmar que el tráfico se está eliminando debido a la suplantación de IP, ejecute el siguiente comando y compruebe los contadores específicamente los contadores de caída.
Un filtro se puede configurar y aplicarlo a los contadores para filtrar relevante. Para crear un filtro en la CLI, consulte los pasos siguientes.
> paquete de depuración de plan de bits-Diag Mostrar configuración
Este comando mostrará las opciones de filtrado y registro actuales que se establecen. Compruebe que ya no se han ajustado los filtros.
--------------------------------------------------------------------------------
Ajuste de la diagnosis del paquete:
--------------------------------------------------------------------------------
Filtro de paquetes
Habilitado: no
Paquetes previamente analizado partido: no
--------------------------------------------------------------------------------
Inicio de sesión
Habilitado: no
Log-Throttle: no
Agregado a Single-File: sí
Tamaño del archivo de salida: 113775 de 10485760 bytes
Características:
Contadores:
--------------------------------------------------------------------------------
Captura de paquetes
Habilitado: no
Snaplen: 0
--------------------------------------------------------------------------------
Si se ve una salida diferente, utilice el comando siguiente para borrar los filtros ya existentes.
> debug dataplane paquete-diag borrar todo
Después de este comando podemos establecer el filtro como sigue para el escenario IPSec. (reemplace 1.1.1.1 con la dirección IP del interlocutor y 2.2.2.2 con la dirección IP pública del cortafuegos local)
> paquete de plan de bits de depuración-Diag conjunto filtro coincidencia fuente 1.1.1.1 destino 2.2.2.2 destino-puerto 500 protocolo 17 (para ping use el protocolo 1 para el escenario de ping y no mencione ningún puerto de destino)
> paquete de depuración de plan de bits-Diag Mostrar configuración
La salida debe ser similar a la siguiente:
--------------------------------------------------------------------------------
Ajuste de la diagnosis del paquete:
--------------------------------------------------------------------------------
Filtro de paquetes
Habilitado: no
Paquetes previamente analizado partido: no
Índice 1:1.1.1.1 [0]-> 2.2.2.2 [500], proto 17
interfaz de entrada, interfaz de salida, excluir a no-IP
--------------------------------------------------------------------------------
Inicio de sesión
Habilitado: no
Log-Throttle: no
Agregado a Single-File: sí
Tamaño del archivo de salida: 113775 de 10485760 bytes
Características:
Contadores:
--------------------------------------------------------------------------------
Captura de paquetes
Habilitado: no
Snaplen: 0
--------------------------------------------------------------------------------
En la GUI, los filtros se pueden configurar bajo > monitor > captura de paquetes > filtros
Configure la IP de origen como la IP del mismo nivel, la IP de destino como la IP pública del firewall, el protocolo como 17 y el puerto de destino como 500.
Después de configurar el filtro e iniciar el IPSec o el tráfico de ping y seguir el comando de abajo y comprobar las gotas debido a ataque terrestre.
> Mostrar contador global filtro paquete-filtro sí Delta sí severidad gota
Si el siguiente contador aparece en cada vez que ejecuta el comando anterior, el cortafuegos está soltando el tráfico debido a la falsificación de IP.
configuración de sesión de flow_policy_nat_land Drop: origen NAT asignación de IP resultado en ataque terrestre
Resolución
Palo Alto Networks recomienda encarecidamente especificar zonas al configurar las reglas de NAT de origen, ya que reduce el riesgo de realizar traducciones en paquetes que no deberían traducirse.
Propietario: dpalani