Protocolos de enrutamiento más dinámicos tienen una dirección de multidifusión que se comunica para intercambiar redes y parámetros de enrutamiento. Los protocolos de enrutamiento dinámicos común utilizan hoy y sus direcciones de multicast son:
- BGP: ninguno
- OSPF: 224.0.0.5 (AllSPFRouters), 224.0.0.6 (AllDRRouters)
- RIP: 224.0.0.9
- EIGRP: 224.0.0.10 (actualmente no compatible con firewalls de Palo Alto Networks)
- PIM: 224.0.0.13
La mayoría de routers, por defecto, incluyendo Palo Alto Networks firewalls, envían mensajes a direcciones de multidifusión correspondientes desde el plano de control. El tráfico del plano de control no está sujeto a las políticas definidas para el plano de datos, que es donde operan las políticas de seguridad en el firewall.
Explicación
Por ejemplo, una directiva deny y cualquier puede configurarse en las reglas de seguridad y cualquiera de los protocolos dinámicos mencionados que utilizan direcciones de multidifusión para su operación todavía formar relaciones vecino apropiada con los dispositivos de interconexión.
- BGP no utiliza una dirección de multidifusión para la comunicación. Se comunica en 179/TCP por defecto y así debe ser permitido por una política de seguridad en el plano de datos para el buen funcionamiento.
- OSPF tiene una advertencia. Relación forma vecino OSPF envía Hola mensajes a la dirección de multidifusión, sin embargo, para formar adyacencia completa, vecinos OSPF podrían enviar mensajes de descriptor de la base de datos uno al otro utilizando sus direcciones unicast respectivos. Estas comunicaciones unicast deben permitirse mediante una política de seguridad.
Nota: Esto significa que es necesaria una directiva de seguridad que permita la aplicación OSPF para la misma zona si hay una regla denegar-cualquier-cualquier en la parte inferior de la base de reglas. - RIP y PIM sólo comunican con sus direcciones de multidifusión por lo que no hay políticas de seguridad son necesarios para su funcionamiento.
Otros protocolos en el cortafuegos de Palo Alto Networks:
- Cuando el firewall está funcionando como un servidor DHCP, el servicio DHCPD funciona en el plano de control, pero dependiendo de la transacción actual de DHCP, podría necesitarse una política de seguridad.
- Si un host aparece en la red por primera vez y es en la misma LAN como el cortafuegos de Palo Alto Networks, ese host utiliza los mensajes de difusión para obtener una nueva dirección IP. No es necesario una política de seguridad para trabajar.
- Si el anfitrión ha sido durante un tiempo y trata de renovar o liberar la dirección IP que ya tiene, los mensajes DHCP se envían usando direcciones de unidifusión. Estos mensajes necesitan ser permitida con una política de seguridad.
- Si el firewall de Palo Alto Networks es un servidor DHCP, pero sus clientes no están en la misma LAN como es, entonces probablemente que hay un relé DHCP en la red, convirtiendo el DHCP difunde mensajes de unidifusión. Estas solicitudes de unidifusión desde el encaminador de reenvío DHCP en la red tendría que ser permitida por una política de seguridad. Lo mismo se aplica si el firewall es un agente de retransmisión DHCP.
DNS, NTP, SNMP, GlobalProtect y otros protocolos del servidor de seguridad tendría que estar permitido por las políticas de seguridad ya que utilizan direcciones de unidifusión para su comunicación.
Propietario: tasonibare