配置错误的源 NAT 和土地攻击

配置错误的源 NAT 和土地攻击

46933
Created On 09/25/18 19:21 PM - Last Modified 05/31/23 21:36 PM


Resolution


问题

在管理员在多个目标上配置目标转换而不指定源区域的情况下, 源 NAT 可能最终位于底部, 就像一个默认的 nat 规则, 它在通信上执行源转换, 而不匹配上述目标 NAT 规则。

在这种情况下, 将对要进行外部/不信任/公共的通信进行源代码转换。如果已配置此源 NAT 以使源区域为任意一个, 并且目标区域是外部/不信任/公共的, 则命中此规则的通信量包括来自不信任的通信量也被转换为源。

打开的 NAT 规则的示例:

这会对已知的或受信任的通信量造成不利影响, 因为除了到达 internet 的通信量外, 还有其他受信任的通信连接将命中此源 NAT 规则。

以下是与该策略匹配的一些通信的示例:

  • ping 到外部接口或防火墙的公共 ip
  • IPsec VPN, 来自对等防火墙的1阶段/IKE 协商

在这两种情况下, 通信量都会命中源 NAT 规则, 导致将源转换应用于通信。该源将被转换为防火墙的公共 IP, 现在防火墙会将此通信视为具有相同的源和目标 IP。防火墙将立即丢弃此通信, 因为它是 IP 欺骗。

由于下面是一个开放源代码 NAT 规则, 因此这是许多异常之一, 可以通过以下步骤来诊断和识别问题。


疑难解答步骤

要确认由于 IP 欺骗而导致的通信量被丢弃, 请运行以下命令, 并专门检查放置计数器的计数器。

可以配置筛选器并将其应用到计数器以筛选相关。要在 CLI 上创建筛选器, 请参阅以下步骤。

>> 调试 dataplane 包诊断显示设置

此命令将显示设置的当前筛选器和日志记录选项。请检查是否已设置了筛选器。

--------------------------------------------------------------------------------

包诊断设置:

--------------------------------------------------------------------------------

数据包筛选器

  启用: 否

  比赛预解析的数据包: 没有

--------------------------------------------------------------------------------

日志记录

  启用: 否

  日志-油门: 否

  聚合到单文件: 是

  输出文件大小: 113775 of 10485760 字节

  特点︰

  计数器:

--------------------------------------------------------------------------------

数据包捕获

  启用: 否

  Snaplen: 0

--------------------------------------------------------------------------------

如果看到不同的输出, 请使用以下命令清除已经存在的筛选器。

> 调试诊断工具 dataplane 数据包-清除所有

在此命令之后, 我们可以为 ipsec 方案设置筛选器, 如下所示。(将1.1.1.1 替换为对等方的 ip 地址, 并使用本地防火墙的公共 IP 地址 2.2.2.2)

>> 调试 dataplane 数据包诊断集筛选器匹配源1.1.1.1 目标2.2.2.2 目标端口500协议 17 (对于 ping 使用协议1的 ping 方案, 不提及任何目标端口)

>> 调试 dataplane 包诊断显示设置

输出应如下所示:

--------------------------------------------------------------------------------

包诊断设置:

--------------------------------------------------------------------------------

数据包筛选器

  启用: 否

  比赛预解析的数据包: 没有

  索引 1: 1.1. 1.1 [0]-> 2.2. 2.2 [500], 原始17

           进入接口任何,外出接口的任何排除非 IP

--------------------------------------------------------------------------------

日志记录

  启用: 否

  日志-油门: 否

  聚合到单文件: 是

  输出文件大小: 113775 of 10485760 字节

  特点︰

  计数器:

--------------------------------------------------------------------------------

数据包捕获

  启用: 否

  Snaplen: 0

--------------------------------------------------------------------------------

在 GUI 中, 可以在 >> 监视器 > 数据包捕获 > 筛选器下配置筛选器

将源 ip 配置为对等 ip, 目标 ip 作为防火墙的公共 ip, 协议为 17, 目标端口为500。

设置筛选器并启动 IPSec 或 ping 通信后, 按照下面的命令并检查由于土地攻击而导致的下落。

>> 显示计数器全局筛选器数据包过滤器是三角洲是严重性下降

如果在每次运行上述命令时出现以下计数器, 则防火墙将由于 ip 欺骗而降低通信量。

flow_policy_nat_land 删除会话设置: 源 nat IP 分配导致的土地攻击

解决办法

帕洛阿尔托网络强烈建议在配置源 NAT 规则时指定区域, 因为它降低了在不应该翻译的数据包上执行转换的风险。

所有者: dpalani
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClW9CAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language