DotW: senden Sie ICMP unerreichbar
Resolution
In der Diskussion der Woche in dieser Woche hatte User ' PanIst ' eine Frage, was der Zweck des "Send ICMP unerreichbaren"-Kästchens ist, das im Tab Policy Action in PAN-OS 7,0 erschien.
Um den Zweck dieser Funktion hervorzuheben, werde ich die Funktionalität einiger neuer Aktionen zeigen, die in PAN-OS 7,0 verfügbar sind. Diese neu hinzugefügten Aktionen ermöglichen mehr Kontrolle über die Reaktion der Palo Alto Networks Firewall auf eine Sitzung, die auf eine "negative" Aktions Sicherheitspolitik trifft.
Die "Drop"-Aktion wird stillschweigend alle Pakete ablegen, sobald Sie eine Sitzung für unerwünscht hält, dies wird den Client im Dunkeln über das, was mit der Sitzung passiert ist, verlassen und könnte zu einer gewissen Frustration der Benutzer führen, da der Client für eine gute Zeit vor dem Timing weiter geladen werden kann. Dies ist die Standard-Aktion, die auf alle impliziten Richtlinien angewendet wird, und war die einzige Option, die vor PAN-OS 7,0 zur Sperrung des Verkehrs verfügbar war.
Wie Sie in der unten stehenden Paket Aufzeichnung sehen können, sendet der Client Pakete (Ping und Web-Browsing) aus, die in meinem Beispiel die Konfigurationen fallen gelassen werden. ICMP bekommt nie eine Antwort, und Web-Browsing wird fallen gelassen, sobald APP-ID erkennt, dass es sich um echten Web-Traffic handelt. Der Webbrowser ist sich nicht bewusst, dass er blockiert wurde und schickt sein letztes Paket immer wieder zurück, so dass der Benutzer wartet.
Die Aktionen "Deny" und "Reset" können ein Reset-Paket an den Client senden (und auf Wunsch den Server). Eine Fehlermeldung kann angezeigt werden, oder die Sitzung kann gnädig beendet werden, wobei der Benutzer über die Trennung informiert wird. Diese Aktion kann jedoch nur auf TCP-Sessions angewendet werden.
In der unten stehenden Paket-Capture-Ausgabe wird die HTTP-Session mit einem Reset-Paket beendet und der Browser zeigt eine Fehlermeldung an, die den Benutzer informiert, dass die Website nicht erreichbar ist.
Um UDP oder ICMP-Sessions unterzubringen, kann eine ICMP-unerreichbare Nachricht (ICMP Typ 3 Code 13) gesendet werden, um den Client zu informieren, dass eine Sitzung nicht erlaubt ist, was die Benutzererfahrung erheblich verbessern kann.
Typischerweise wird diese Art der "aktiven" Ablehnung des Verkehrs nur auf den bekannten Verkehr angewendet, der aus dem internen Benutzer Netzwerk oder Subnetzen stammt (hier befinden sich bestimmte gesprächig-Protokolle und können für die Benutzererfahrung vorteilhaft sein oder kontinuierliche Wiederholungen von einer Anwendung).
Für den Datenverkehr, der von einem nicht vertrauenswürdigen Netzwerk ausgeht, wird immer empfohlen, so viel wie möglich zu verschleiern und zu verzögern, so dass "Drop" die empfohlene (und Standard-) Aktion ist.
Um die Diskussion zu sehen, verweisen Sie auf den folgenden Link: Senden Sie ICMP unerreichbar panos7
Alle Kommentare oder Anregungen werden gefördert.
Danke fürs Lesen,
Tom Piens