Profil de protection de zone ne générant pas de grumes pendant l'analyse de pénétration

Profil de protection de zone ne générant pas de grumes pendant l'analyse de pénétration

45142
Created On 09/25/18 19:38 PM - Last Modified 04/19/24 19:20 PM


Resolution


Vue d’ensemble

Lors du déploiement de profils de protection de zone pour détecter les balayages de pénétration, le trafic correspondant doit être autorisé par les stratégies de sécurité. Sinon, les profils de protection de zone ne généreront pas de journaux de menaces et le trafic incriminé sera supprimé en raison de la règle de sécurité qui nie le trafic.

 

Détails

Un exemple de profil de protection de zone est illustré ci-dessous. Le nom de ce profil est "test-zone-prot".

  1. Onglet protection contre les inondations:
    zone-prot-Flood. png
  2. Onglet protection de reconnaissance:
    Screen Shot 2013-11-04 à 7.37.00 PM. png
  3. Onglet protection contre les attaques par paquets:
    Screen Shot 2013-11-04 à 7.37.11 PM. png

 

Le profil de protection de zone ci-dessus, «test-zone-prot», est appliqué à la zone pour le balayage de pénétration. L'objectif est de permettre l'analyse sur ethernet1/3:

zone-prot-apply. png

 

Stratégie de sécurité définie pour autoriser le trafic

À des fins de démonstration, la stratégie de sécurité active est définie pour autoriser tout le trafic. Ce ne serait généralement pas le cas pour les environnements de production.

sec-Allow. png

Avec la configuration ci-dessus, les premiers résultats d'analyse de la pénétration NMAP sont les suivants:

Scan-Allow. png

Les journaux de menaces qui en résultent (moniteur > logs > menace) sont affichés ci-dessous:
Threat-log-Allow. png

Comme vu ci-dessus, le profil de protection de zone est activé et fonctionne comme prévu.

 

Stratégie de sécurité définie pour refuser le trafic

S'il n'y a pas de stratégie de sécurité pour autoriser le trafic vers l'interface cible, cela empêche la protection de zone de créer des journaux de menaces lors de l'analyse de pénétration sur cette interface.

Dans cette configuration, la dernière stratégie de sécurité est configurée pour refuser le trafic.

sec-Deny. png

Les résultats d'une analyse de pénétration NMAP pour cette configuration sont indiqués ci-dessous:

Scan-Deny. png

Les journaux de menaces qui en résultent sont vides:

Threat-log-Deny. png

Il n'y a pas de journaux de menaces car le trafic a été immédiatement supprimé par la stratégie de sécurité «Deny».

 

Remarque: il n'y aura que des entrées dans les journaux de menaces en raison d'un profil de protection de zone, si les scans sont exécutés contre les "ports ouverts" sur la zone externe.

 

propriétaire: cchristiansen
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClbCCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language