DotW: enviar ICMP inalcanzable

En la discusión de esta semana, el usuario ' panist ' tenía una pregunta acerca de cuál es el propósito de la casilla de verificación "enviar ICMP inalcanzable" que aparecía en la ficha acción de directiva de pan-os 7,0.

Para resaltar el propósito de esta característica, voy a mostrar la funcionalidad de un par de nuevas acciones disponibles en PAN-OS 7,0. Estas acciones recientemente agregadas permiten un mayor control sobre la respuesta proporcionada por el cortafuegos de Palo Alto Networks a una sesión que afecta a una política de seguridad de acción "negativa".

La acción "Drop" descartará silenciosamente todos los paquetes una vez que determine que una sesión no es deseada, esto dejará al cliente en la oscuridad acerca de lo que pasó con la sesión y podría conducir a cierta frustración del usuario, ya que el cliente puede seguir cargando por un buen tiempo antes de salir. Esta es la acción predeterminada aplicada a todas las directivas IMPLÍCITAS, y era la única opción disponible antes de que pan-os 7,0 bloqueara el tráfico.

Como se puede ver en la salida de captura de paquetes a continuación, el cliente envía paquetes (ping y navegación web), que en mi ejemplo las configuraciones se eliminan. ICMP nunca recibe una respuesta, y la navegación web se elimina tan pronto como app-id detecta que es el tráfico web genuino. El navegador web no es consciente de que se bloqueó y sigue reenviando su último paquete, manteniendo el usuario en espera.

Las acciones "deny" y "RESET" pueden enviar un paquete de reset al cliente (y si se desea el servidor). Se puede mostrar un mensaje de error, o la sesión puede terminar graciosamente, informando al usuario sobre la desconexión. Sin embargo, esta acción sólo se puede aplicar a sesiones TCP.

En la salida de captura de paquetes a continuación, la sesión http se termina con un paquete de restablecimiento y el navegador mostrará un mensaje de error informando al usuario que el sitio web es inalcanzable.

Para adaptarse a las sesiones UDP o ICMP, se puede enviar un mensaje ICMP inalcanzable (Código 13 del tipo ICMP 3) para informar al cliente que no se permite una sesión, lo que puede mejorar considerablemente la experiencia del usuario.

Normalmente, este tipo de rechazo "activo" del tráfico sólo se aplicará al tráfico bien conocido que se origine en la red de usuarios internos o en las subredes, (es aquí donde residen ciertos protocolos de conversación y pueden ser beneficiosos para la experiencia del usuario o para prevenir continuos reintentos de una aplicación).

Para el tráfico procedente de una red no confiable, siempre se recomienda oscurecer y retrasar tanto como sea posible por lo tanto "Drop" es la acción recomendada (y por defecto).

Para ver la discusión, haga referencia al siguiente vínculo: Enviar ICMP inalcanzable panos7

Animamos a todos los comentarios o sugerencias.

Gracias por leerme,

Tom Piens