Les protocoles de routage plus dynamiques ont une adresse de multidiffusion qui ils communiquent afin d’échanger les réseaux et les paramètres de routage. Les protocoles de routage dynamiques communes utilisés aujourd'hui et leurs adresses de multidiffusion sont :
- BGP : aucun
- OSPF : 224.0.0.5 (AllSPFRouters), 224.0.0.6 (AllDRRouters)
- RIP : 224.0.0.9
- EIGRP : 224.0.0.10 (actuellement ne pas pris en charge sur les pare-feu de Palo Alto Networks)
- PIM : 224.0.0.13
Plupart des routeurs, par défaut, y compris les pare-feu de Palo Alto Networks, envoient des messages à des adresses de multidiffusion respectifs du plan de contrôle. Le trafic d’avion de contrôle n’est pas soumis à des politiques définies pour le plan de données, qui est où les stratégies de sécurité roulent sur le pare-feu.
Explication
À titre d’exemple, une politique de refus-any-any peut être configurée dans les règles de sécurité et un protocole dynamique énumérés ci-dessus qui utilisent des adresses de multidiffusion pour leur fonctionnement serait encore nouer des relations de bon voisin avec dispositifs de peering.
- BGP n’utilise pas une adresse multicast pour la communication. Il communique sur le TCP/179 par défaut et il doit donc être autorisée par une stratégie de sécurité sur le plan de données pour le bon fonctionnement.
- OSPF a une mise en garde. Relation de forme de voisin, OSPF envoie des messages de Bonjour à l’adresse de multidiffusion, cependant, pour former la contiguïté complet, voisins OSPF peuvent envoyer des messages de descripteur de base de données les uns aux autres en utilisant leurs adresses de monodiffusion respectifs. Ces communications monodiffusion doivent être autorisées par une stratégie de sécurité.
Remarque: cela signifie qu'une stratégie de sécurité autorisant l'application OSPF pour la même zone est requise S'il existe une règle Deny-any-any au bas de la base de règles. - RIP et PIM seulement communiquer avec leurs adresses de multidiffusion donc aucune politique de sécurité n’est nécessaires pour leur fonctionnement.
Autres protocoles sur le pare-feu de Palo Alto Networks :
- Lorsque le pare-feu fonctionne comme un serveur DHCP, le service DHCPD opère dans le plan de contrôle, mais selon la transaction DHCP en cours, une politique de sécurité peut-être s’avérer nécessaires.
- Si un hôte arrive sur le réseau pour la première fois et c’est sur le même réseau local que le pare-feu de Palo Alto Networks, qui hébergent utilise la diffusion des messages pour obtenir une nouvelle adresse IP. Cela n’a pas une politique de sécurité au travail.
- Si l’hôte a été pendant un certain temps et tente de renouveler ou libérer l’adresse IP qu’il possède déjà, ces messages DHCP sont envoyés à l’aide des adresses unicast. Ces messages doivent être autorisés par une politique de sécurité.
- Si le pare-feu de Palo Alto Networks est un serveur DHCP, mais ses clients ne sont pas sur le même LAN comme, alors il est fort probable, qu'il y a un relais DHCP sur le réseau, convertissant le DHCP diffuse aux messages unicast. Ces demandes de monodiffusion du routeur relais DHCP dans le réseau devra être autorisée par une politique de sécurité. Il en va de même lorsque le pare-feu est un agent de relais DHCP.
DNS, NTP, SNMP, GlobalProtect et autres protocoles sur le pare-feu devraient tous être autorisés par les politiques de sécurité car ils utilisent les adresses de monodiffusion pour leur communication.
propriétaire : tasonibare