DotW: envoyer ICMP inaccessible
Resolution
Dans la discussion de cette semaine de la semaine, l'utilisateur'panist'avait une question sur ce que l'objectif est de la "envoyer ICMP inaccessible" CheckBox qui est apparu dans l'onglet action de stratégie dans Pan-OS 7,0.
Pour mettre en évidence le but de cette fonctionnalité, je vais montrer la fonctionnalité d'un couple de nouvelles actions disponibles dans PAN-OS 7,0. Ces actions nouvellement ajoutées permettent un plus grand contrôle sur la réponse fournie par le pare-feu de Palo Alto Networks à une session qui frappe une politique de sécurité d'action «négative».
L'action "Drop" se défausse silencieusement tous les paquets une fois qu'il détermine une session est indésirable, ce qui laissera le client dans l'obscurité sur ce qui s'est passé à la session et pourrait conduire à une certaine frustration de l'utilisateur que le client peut continuer à charger pour un bon moment avant de sortir. Il s'agit de l'action par défaut appliquée à toutes les stratégies implicites, et a été la seule option disponible avant Pan-OS 7,0 pour bloquer le trafic.
Comme vous pouvez le voir dans la sortie de capture de paquets ci-dessous, le client envoie des paquets (ping et Web-navigation), qui dans mon exemple les configurations sont supprimés. ICMP ne reçoit jamais de réponse, et la navigation sur le Web est supprimée dès que app-ID détecte qu'il s'agit d'un trafic Web authentique. Le navigateur Web ignore qu'il a été bloqué et ne cesse de renvoyer son dernier paquet, en gardant l'utilisateur en attente.
Les actions "Deny" et "Reset" peuvent envoyer un paquet de réinitialisation au client (et si désiré le serveur). Un message d'erreur peut être affiché, ou la session peut être terminée gracieusement, informer l'utilisateur sur la déconnexion. Toutefois, cette action ne peut être appliquée Qu'aux sessions TCP.
Dans la sortie de capture de paquets ci-dessous, la session http se termine par un paquet de réinitialisation et le navigateur affiche un message d'erreur qui informe l'utilisateur que le site Web est inaccessible.
Pour accueillir des sessions UDP ou ICMP, un message ICMP inaccessible (ICMP type 3 code 13) peut être envoyé pour informer le client qu'une session n'est pas autorisée, ce qui peut grandement améliorer l'expérience utilisateur.
En règle générale, ce type de rejet «actif» du trafic ne s'appliquera qu'à un trafic bien connu provenant du réseau ou des sous-réseaux de l'utilisateur interne (c'est là que certains protocoles bavards résident et peut être bénéfique pour l'expérience de l'utilisateur ou empêcher la continuation réessais à partir d'une application).
Pour le trafic provenant d'un réseau non fiable, il est toujours recommandé d'obscurcir et de retarder autant que possible donc "Drop" est l'action recommandée (et par défaut).
Pour consulter la discussion, référencez le lien suivant: envoyer ICMP inaccessible panos7
Tous commentaires ou suggestions sont encouragées.
Merci pour la lecture,
Tom Piens