Síntomas de
Cuando se define una directiva de seguridad para denegar el tráfico a un destino determinado, se vería que el cortafuegos de Palo Alto Networks todavía permitiría que el protocolo de enlace de tres vías pasara.
Ejemplo:
usuario @ host > Mostrar ejecución de la Directiva de seguridad
PANOBLOCK {
de cualquiera;
fuente cualquiera;
fuente-región ninguna;
a cualquiera;
destino 104.244.14.253; destino-región ninguno; < specific="" destination="">
</>
usuario cualquiera;
categoría cualquiera; uso/cualquie/cualesquiera/
cualesquiera/cualesquiera;
acción deny; ICMP-inalcanzable: no terminal no;} < simple="" destination="" ip="" based="">
</>
user @ host > Mostrar sesión ID 10622
Sesión 10622
flujo de C2S:
Fuente: 192.168.15.41 [L3-Trust]
DST: 104.244.14.253
proto: 6
deporte: 49460 DPORT: 80
Estado: activo tipo: flujo
src usuario: desconocido
DST usuario: desconocido
s2c flujo:
Fuente: 104.244.14.253 [L3-Untrust]
DST: 10.129.72.15
proto: 6
deporte: 80 DPORT: 17747
Estado: activo tipo: flujo
src usuario: desconocido
DST usuario: desconocido
hora de Inicio: Jue Oct 27 19:52:53 2016
timeout: 90 sec
tiempo de vida: 76 sec número
total de bytes (C2S): 672
total de bytes (s2c): 62
layer7 cuenta de paquetes (C2S): 5 <>
</> layer7 de paquetes (s2c): 1 <>
</> vsys: vsys1
aplicación: Web-navegación
regla: PANOBLOCK
sesión que se registrará al final: sesión falsa
en sesión de edad: verdadera
sesión actualizada por ha peer:
dirección falsa/traducción de puerto: origen
NAT-regla: NAT_OUT (vsys1)
layer7 procesamiento: filtrado de URL habilitado
habilitado: true
URL Categoría: sesión no resuelta
mediante SYN-cookies: sesión falsa
terminada en host:
sesión falsa atraviesa túnel: falsa
sesión de portal cautivo: falso
ingreso interfaz: ethernet1/4
salida interfaz: ethernet1/3
sesión QoS regla: N/A (clase 4)
fin-razón: política- Deny < policy="" action=""></>
Se puede ver que aunque el tráfico que está coincidiendo con los paquetes de política de denegar y se están enviando.
Las capturas de paquetes también revelarían que los paquetes se envían realmente.
Diagnóstico
Esto ocurre si el tráfico coincide con una directiva de portal cautivo configurada.
Ejemplo:
usuario @ host > Mostrar ejecución de la política de portal cautivo
Pruebe {
de L3-Trust;
fuente cualquiera;
a L3-Untrust;
destino cualquiera;
categoría cualquiera;
servicio [TCP/any/80 TCP/any/8080];
acción Web-Form;
terminal Yes;
}
Cuando ejecute Packet-Diag con Flow Basic Set, podrá notar que el tráfico coincide con la política del portal cautivo:
Ejemplo:
= = 2016-10-27 19:52:53.510-0700 = =
paquete recibido en el paquete de la etapa de slowpath
info: Puerto 19 de Len 62 interfaz 19 vsys 1
wqe índice 229362 paquete 0x0x8000000037b900e6 paquete descodificado
volcado:
L2:00:50:56:93:51:10-> 58:49:3B: 9D: A6:13, Type 0x0800
IP: 192.168.15.41-> 104.244.14.253, Protocolo 6
versión 4, DIH 5, tos 0x00, Len 48,
ID 991, frag_off 0x4000, TTL 128, checksum 44838
TCP: Sport 49460, dport 80, SEQ 1732543400, ACK 0,
reservado 0, offset 7, Window 8192, checksum 28395,
banderas 0x0002 (SYN), datos urgentes 0
opción del TCP:
00000000:02 04 05 B4 01 01 04 02. .......
Configuración de sesión: vsys 1
PBF Lookup (vsys 1) con aplicación web-navegación
sesión configuración: entrada interfaz ethernet1/4 salida interfaz ethernet1/3 (zona 8)
búsqueda de políticas NAT, índice de regla emparejado 0
2016-10-27 19:52:53.510-0700 Debug: __pan _cfg_cp_policy_lookup (pan_cfg_cp_policy. c:154): el índice de regla devuelto es 0Pa
pasaje regla de portal cautivo coincidente < matching="" captive="" portal=""></> , acción 1
Luego vemos que el tráfico está permitido a través de una política de seguridad interna para el tráfico de sesión de portal cautivo:
Búsqueda de directivas, índice de regla coincidente 0, se < hitting="" a="" special="" rule=""> </>
asigna especial nueva sesión 10622 .
Cuando cualquier tráfico al puerto 80 o 8080 (443 si está habilitado el descifrado), coincide con la Directiva de portal cautivo que omite la búsqueda de directivas de seguridad configurada y permite el apretón de dirección de tres vías.
Este comportamiento se debe al hecho de que, en caso de portal cautivo, el cortafuegos de Palo Alto Networks presentaría una "redirección" o una "Web-Form", secuestrando la sesión "http" en curso. Se permitiría el apretón de direcciones de 3 vías, y el cortafuegos de Palo Alto Networks interceptaría la solicitud "http-get" y enviaría la redirección.