Symptome
Wenn eine Sicherheitspolitik definiert wird, um den Verkehr zu einem bestimmten Ziel zu verweigern, würden Sie sehen, dass die Palo Alto Networks Firewall den 3-Wege-Handshake immer noch erlauben würde, durchzugehen.
Beispiel:
User @ Host > laufende Sicherheitsrichtlinien anzeigen
PANOBLOCK {
von allen;
Quelle Any;
Quelle-Region keine;
zu irgendeinem;
Ziel 104.244.14.253; Reiseziel-Region None; < specific="" destination="">
</>
Benutzer;
Kategorie any; Anwendung/Service alle/alle/irgendwelche/Any
;
Aktion leugnen; ICMP-unerreichbar: kein Terminal Nein;} < simple="" destination="" ip="" based="">
</>
User @ Host > Show-Session-ID 10622
Session 10622
C2S Flow:
Quelle: 192.168.15.41 [L3-Trust]
DST: 104.244.14.253
Proto: 6
Sport: 49460 DPORT: 80
Zustand: aktiver Typ: Flow
src-Nutzer: Unbekannter
DST-Nutzer : unbekannt
S2C Flow:
Quelle: 104.244.14.253 [L3-Untrust]
DST: 10.129.72.15
Proto: 6
Sport: 80 DPORT: 17747
Zustand: aktiver Typ: Flow
src User: Unbekannter
DST-User: unbekannt
Startzeit: Do Oct 27 19:52:53 2016
Timeout: 90 sec
Zeit zum Leben: 76 sec
Gesamt-Byte-Zählung (C2S): 672
Gesamt-Byte-Zählung (S2C): 62
layer7 Paket Zahl (C2S): 5 <>
</> layer7 Paket Anzahl (S2C): 1 <>
</> Vsys: vsys1
Anwendung: Web-Browsing
Regel: PANOBLOCK-
Session, die am Ende protokolliert werden soll: falsche
Session in Session Ager: true
Session aktualisiert von ha Peer: falsche
Adresse/Port-Übersetzung: Quelle
NAT-Regel: NAT_OUT (vsys1)
layer7 processing: aktivierte
URL-Filterung aktiviert: wahre
URL-Kategorie: nicht aufgelöste
Session über SYN-Cookies: falsche
Session auf Host beendet: falsche
Session-Traversen-Tunnel: falsche
Captive-Portal-Session: falsche
Eindringen-Schnittstelle: Ethernet1/4
Egress-Schnittstelle: Ethernet1/3
Session QoS rule: N/A (Klasse 4)
End-Grund: Politik- deny < policy="" action=""></>
Sie können sehen, dass, obwohl der Verkehr, dass es die Deny-Policy-Pakete passt und gesendet werden.
PaketAufnahmen würden auch zeigen, dass die Pakete tatsächlich gesendet werden.
Diagnose
Dies geschieht, wenn der Traffic mit einer konfigurierten Captive-Portal Politik übereinstimmt.
Beispiel:
User @ Host > laufende Captive-Portal-Richtlinien anzeigen
TEST {
von L3-Trust;
Quelle Any;
zu L3-Untrust;
Ziel Any;
Kategorie Any;
Dienst [TCP/any/80 TCP/any/8080];
Action Web-Form;
Terminal ja;
}
Wenn Sie Packet-Diag mit Flow-Basisset ausführen, können Sie feststellen, dass der Traffic mit der Captive-Portal-Politik übereinstimmt:
Beispiel:
= = 2016-10-27 19:52:53.510-0700 = = Paket, das
bei der slowpath-Stufe
Paket info: len 62 Port 19 Interface 19 Vsys 1
wqe Index 229362 Paket 0x0x8000000037b900e6
Packet entschlüsselt Dump:
L2:00:50:56:93:51:10-> 58: 0x0800
IP: 192.168.15.41-> 104.244.14.253, Protokoll 6
Version 4, IHL 5, TOS 0x00, len 48,
ID 991, frag_off 0x4000, TTL 128, Prüfsumme 44838
TCP: Sport 49460, dport 80, FF 1732543400, ACK 0,
reserviert 0, Offset 7, Fenster 8192, Prüfsumme 28395,
Flags 0x0002 (SYN), dringende Daten 0
TCP Option:
00000000:02 04 05 B4 01 01 04 02....... .
Session-Setup: Vsys 1
PBF Lookup (Vsys 1) mit Anwendung Web-Browsing-
Session-Setup: Eindringen-Schnittstelle Ethernet1/4 Egress-Schnittstelle Ethernet1/3 (Zone 8)
NAT Policy Lookup, abgestimmtes Regel-Index 0
2016-10-27 19:52:53.510-0700 Debug: __pan _cfg_cp_policy_lookup (pan_cfg_cp_policy. c:154): ZurückGegebene Regel-Index ist 0Pa-
cket-abgestimmte Captive- < matching="" captive="" portal=""></> Portal-Regel, Aktion 1
Dann sehen wir, dass der Verkehr durch eine interne Sicherheitspolitik für Captive Portal-Sitzungs Verkehr erlaubt ist:
Policy Lookup, abgestimmtes Regel Index 0, ist eine speziell < hitting="" a="" special="" rule=""> </>
zugewiesene neue Session 10622.
Wenn ein Traffic auf Port 80 oder 8080 (443, wenn die Entschlüsselung aktiviert ist), passt sich der Captive-Portal-Richtlinie an, die die konfigurierte sicherheitspolitische Suche umgeht und den 3-Wege-Handshake erlaubt.
Dieses Verhalten ist darauf zurückzuführen, dass die Palo Alto Networks Firewall im Falle eines Captive-Portals eine "Umleitung" oder eine "Web-Form" präsentieren würde, indem Sie die laufende "http"-Session entführt. Der 3-Wege-Handshake wäre erlaubt, und die Palo Alto Networks Firewall würde die "http-Get"-Anfrage abfangen und die Umleitung senden.