Perfil de protección de zona no generar logs durante la exploración de penetración

Perfil de protección de zona no generar logs durante la exploración de penetración

45132
Created On 09/25/18 19:38 PM - Last Modified 04/19/24 19:20 PM


Resolution


Resumen

Al desplegar perfiles de protección de zona para detectar exploraciones de penetración, las directivas de seguridad deben permitir el tráfico correspondiente. De lo contrario, los perfiles de protección de zona no generarán registros de amenazas y el tráfico ofensivo se eliminará debido a la regla de seguridad que niega el tráfico.

 

Detalles

A continuación se muestra un perfil de protección de zona de ejemplo. El nombre de este perfil es "test-Zone-Prot".

  1. Pestaña de protección contra inundaciones:
    Zone-Prot-Flood. png
  2. Pestaña de protección de reconocimiento:
    Screen Shot 2013-11-04 en 7.37.00 PM. png
  3. Ficha protección de ataques basada en paquetes:
    Screen Shot 2013-11-04 en 7.37.11 PM. png

 

El perfil de protección de zona anterior, "test-Zone-Prot", se aplica a la zona para el escaneo de penetración. El objetivo es habilitar el escaneo en ethernet1/3:

Zone-Prot-Apply. png

 

Directiva de seguridad establecida para permitir el tráfico

Para fines de demostración, la Directiva de seguridad activa se establece para permitir todo el tráfico. Esto normalmente no sería el caso para los entornos de producción.

SEC-allow. png

Con la configuración anterior, los primeros resultados de la exploración de la penetración de NMAP son como sigue:

SCAN-allow. png

Los registros de amenazas resultantes (monitor > logs > amenaza) se muestran a continuación:
Threat-log-allow. png

Como se ha visto anteriormente, el perfil de protección de zona está habilitado y funciona como se esperaba.

 

Directiva de seguridad establecida para deNegar tráfico

Si no hay ninguna directiva de seguridad que permita el tráfico a la interfaz de destino, esto impide que la protección de zona cree registros de amenazas durante la exploración de penetración en esa interfaz.

En esta configuración, la última Directiva de seguridad está configurada para denegar el tráfico.

SEC-deny. png

A continuación se muestran los resultados de una exploración de penetración de NMAP para esta configuración:

SCAN-deny. png

Los registros de amenazas resultantes están vacíos:

Threat-log-deny. png

No hay registros de amenazas, ya que el tráfico se cayó inmediatamente por la política de seguridad "denegar".

 

Nota: sólo habrá entradas en los registros de amenazas debido a un perfil de protección de zona, si los escaneos se ejecutan contra "puertos abiertos" en la zona externa.

 

Propietario: cchristiansen
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClbCCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language