Zonen SchutzProfil, das beim Penetrations Scan keine Protokolle erzeugt

Zonen SchutzProfil, das beim Penetrations Scan keine Protokolle erzeugt

45116
Created On 09/25/18 19:38 PM - Last Modified 04/19/24 19:20 PM


Resolution


Übersicht

Bei der Anwendung von Zonen Schutz Profilen zur Erkennung von Penetrations Scans muss der entsprechende Verkehr durch SicherheitsRichtlinien erlaubt werden. Andernfalls werden die Zonen Schutz profile keine Bedrohungs Protokolle erzeugen und der beleidigende Verkehr wird wegen der Sicherheitsregel, die den Verkehr leugnet, fallen gelassen.

 

Details

Im folgenden wird ein Beispiel Zonen SchutzProfil angezeigt. Der Name dieses Profils ist "Test-Zone-Prot".

  1. HochWasserSchutz-Tab:
    Zone-Prot-Flood. png
  2. "Aufklärungs Schutz"-Tab:
    Screenshot 2013-11-04 um 7.37.00 Uhr. png
  3. Packet-basierte Angriffs Schutz-Tab:
    Screenshot 2013-11-04 um 7.37.11 Uhr. png

 

Das obige Zonen Schutzprofil, "Test-Zone-Prot", wird auf die Zone für das Penetrations Scannen angewendet. Das Ziel ist es, das Scannen auf Ethernet1/3 zu ermöglichen:

Zone-Prot-Apply. png

 

SicherheitsPolitik soll Verkehr ermöglichen

Zu Demonstrationszwecken ist die aktive SicherheitsPolitik darauf eingestellt, den gesamten Verkehr zu ermöglichen. Dies wäre in der Regel nicht der Fall für Produktionsumgebungen.

SEC-allow. png

Mit der obigen Konfiguration sind die ersten NMAP-Penetration-Scan-Ergebnisse wie folgt:

Scan-allow. png

Die daraus resultierenden Bedrohungs Protokolle (Monitor > Logs > Bedrohung) werden unten gezeigt:
Threat-Log-allow. png

Wie oben gesehen, ist das Zonen SchutzProfil aktiviert und funktioniert wie erwartet.

 

SicherheitsPolitik will Verkehr verweigern

Wenn es keine Sicherheitsrichtlinien gibt, die den Verkehr auf die Ziel Schnittstelle erlauben, dann verhindert dies, dass der Zonen Schutz beim Penetrations Scan auf dieser Schnittstelle Bedrohungs Protokolle erstellt.

In dieser Konfiguration ist die letzte SicherheitsPolitik so konfiguriert, dass der Verkehr verweigert wird.

SEC-Deny. png

Die Ergebnisse für einen NMAP-Penetrations Scan für diese Konfiguration werden unten gezeigt:

Scan-Deny. png

Die daraus resultierenden Bedrohungs Protokolle sind leer:

Threat-Log-Deny. png

Es gibt keine Bedrohungs Protokolle, da der Verkehr sofort durch die "Deny"-Sicherheitspolitik gelöscht wurde.

 

Hinweis: es wird aufgrund eines Zonen Schutz Profils nur Einträge in den Bedrohungs Protokollen geben, wenn die Scans gegen "offene Ports" auf der Außenzone ausgeführt werden.

 

Besitzer: cchristiansen
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClbCCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language