間違ったソース NAT と土地攻撃
Resolution
問題
ソースゾーンを指定せずに複数の送り先で送り先の変換をコンフィグレーションするシナリオでは、ソース nat が一番下になることがありますが、ソースの変換を実行するデフォルトの nat ルールのように動作します。上記の宛先 NAT ルールと一致します。
このような場合には、外部/untrust/public に移動するトラフィックに対してソース変換が行われます。ソースゾーンが任意で、宛先ゾーンが外部/untrust/public であるようにこのソース NAT が構成されている場合、このルールにヒットするトラフィックには、untrust からのトラフィックも含まれます。
開いている NAT ルールの例:
これは、インターネットに到達しているトラフィックから離れて、このソース NAT ルールをヒットする他の信頼できるトラフィック接続があるため、既知または信頼されたトラフィックに悪影響を及ぼします。
このポリシーに一致するトラフィックの例を次に示します。
- 外部インターフェイスまたはファイアウォールのパブリック ip への ping
- ピアファイアウォールからの IPsec VPN、フェーズ 1/IKE ネゴシエーション
どちらの場合も、トラフィックはソース NAT ルールにヒットし、ソース変換がトラフィックに適用されます。ソースは、ファイアウォールのパブリック ip に変換されます, 今、ファイアウォールは、同じソースと宛先の ip を有するとして、このトラフィックが表示されます. ファイアウォールは、IP スプーフィングであることを考慮して、このトラフィックを直ちに削除します。
これは、オープンソースの NAT ルールのために観察することができる多くの異常の一つであるため、問題をトラブルシューティングし、識別するための手順は次のとおりです。
トラブルシューティング手順
IP スプーフィングのためにトラフィックが削除されていることを確認するには、次のコマンドを実行し、カウンタを具体的にドロップカウンターにチェックします。
フィルタを構成し、関連するフィルタを適用するために、カウンタにフィルターをかけることができます。CLI にフィルタを作成するには、次の手順を参照してください。
> dataplane パケット-diag 表示設定のデバッグ
このコマンドは、現在設定されているフィルタとログ記録のオプションを表示します。フィルタが既に設定されていないことを確認してください。
--------------------------------------------------------------------------------
パケット診断設定:
--------------------------------------------------------------------------------
パケット フィルター
有効: いいえ
マッチ解析済みパケット: なし
--------------------------------------------------------------------------------
ログ記録
有効: いいえ
ログスロットル: なし
集約-単一ファイル: はい
出力ファイルサイズ: 113775 の10485760バイト
機能:
カウンタ:
--------------------------------------------------------------------------------
パケットキャプチャ
有効: いいえ
Snaplen: 0
--------------------------------------------------------------------------------
別の出力が表示されている場合は、次のコマンドを使用して既存のフィルタをクリアします。
> デバッグ データ プレーン ・ パケット diag をすべてクリア
このコマンドの後、ipsec シナリオでは次のようにフィルタを設定できます。(1.1.1.1 をピアの ip アドレスに置き換え、ローカルファイアウォールのパブリック ip アドレスで2.2.2.2 します)
> デバッグ dataplane パケット diag セットフィルタ一致ソース1.1.1.1 宛先2.2.2.2 宛先ポート500プロトコル 17 (pingの場合は、ping シナリオにプロトコル1を使用し、宛先ポートについては言及しません)
> dataplane パケット-diag 表示設定のデバッグ
出力は次のようになります。
--------------------------------------------------------------------------------
パケット診断設定:
--------------------------------------------------------------------------------
パケット フィルター
有効: いいえ
マッチ解析済みパケット: なし
インデックス 1: 1.1.1.1 [0]-> 2.2.2.2 [500]、プロト17
イングレスインタ フェース、出力インターフェイス非 IP を除外、
--------------------------------------------------------------------------------
ログ記録
有効: いいえ
ログスロットル: なし
集約-単一ファイル: はい
出力ファイルサイズ: 113775 の10485760バイト
機能:
カウンタ:
--------------------------------------------------------------------------------
パケットキャプチャ
有効: いいえ
Snaplen: 0
--------------------------------------------------------------------------------
GUI では、フィルタは [モニタ] > [パケットキャプチャ] > [フィルタ] の下で設定できます。
ピア ip として送信元 ip、ファイアウォールのパブリック ip として宛先 ip、500として17と宛先ポートとしてプロトコルを構成します。
フィルタを設定し、IPSec または ping トラフィックを開始し、以下のコマンドに従って、土地の攻撃による値下がりを確認した後。
> カウンタのグローバルフィルタパケットを表示する-フィルタはいデルタはい重大度低下
上記のコマンドを実行するたびに次のカウンタが表示された場合、ファイアウォールは ip スプーフィングのためにトラフィックをドロップします。
flow_policy_nat_land ドロップセッションのセットアップ: ソース nat IP 割り当ての結果の土地攻撃
解決方法
パロアルトネットワークは、変換されないパケットに対して翻訳を実行するリスクを軽減するために、ソース NAT ルールを構成する際にゾーンを指定することを強く推奨します。
所有者: dpalani