Port Scan Report zeigt, dass alle TCP-Ports geöffnet sind

Port Scan Report zeigt, dass alle TCP-Ports geöffnet sind

66179
Created On 09/25/18 19:52 PM - Last Modified 06/01/23 17:18 PM


Symptom


Symptome

Auch wenn die Sicherheitsrichtlinien so konfiguriert sind, dass Sie alle TCP-Ports von Unvertrauen in Trust Zone blockieren, zeigt Report, dass alle TCP-Ports offen sind, wenn Sie einen Port-Scan aus dem Internet ausführen.

Diagnose

 

Die Firewall ist mit einem Zielnat und einer Sicherheitsrichtlinie konfiguriert, um nur HTTP und HTTPS Verbindungen zu einem internen Server aus dem Internet zu ermöglichen, aber wenn ein Port-Scan aus dem Internet durchgeführt wird, zeigt der Port-Scan-Bericht, dass alle TCP-Ports geöffnet sind.

 

Diese Symptome werden durch die SYN-Cookie-Funktion ausgelöst, die im Zonen Schutzprofil für die unvertrauens-/Außenzone konfiguriert ist. Wenn die Firewall ein SYN-Paket zurückgibt und wenn die SYN-Cookie-Funktion aktiviert ist, sendet die Firewall ein SYN-ACK und wartet auf ein ACK des Clients, bevor die Verbindung bearbeitet wird, was auch die Inspektion der Sicherheitsrichtlinien vorsieht.

 

Bitte verweisen Sie auf dieses Dokument, um mehr über die SYN-Cookie-Funktion im Detail zu erfahren:

https://live.paloaltonetworks.com/t5/Management-Articles/SYN-Cookie-Operation/ta-p/57117

 

Jedes TCP-Port-Scan-Tool, das den Port-Status auf Basis von TCP SYN-ACK-Paket bestimmt, zeigt alle TCP-Ports als offen an.

Resolution


Der obige behvior arbeitet wie erwartet, und um dies zu vermeiden, können Sie eine der folgenden Optionen tun.

 

  • SYN-Hochwasserschutz deaktivieren.
  • Ändern Sie die Aktion von SYN Cookie auf zufällige frühe Tropfen.
  • Erhöhen Sie die Schwelle für die Aktivierung. 

 

Bitte folgen Sie den folgenden Schritten, um diese Änderungen zu optimieren. Bevor Sie diese Änderungen vornehmen, berücksichtigen Sie die Netzsicherheit.

 

Aus der GUI

Gehen Sie zum Netzwerk Tab > Zonen SchutzProfil > wählen Sie das entsprechende Zonen SchutzProfil > HochWasserSchutz.

 

doc-71843-2. png

 

Von der CLI:

Um von SYN-Cookie auf zufällige frühe Tropfen zu wechseln:

> configure

# Löschen Sie Netzwerk Profile Zone-Schutz-Profil Untrust-Zone Flut TCP-SYN SYN-Cookies

# Commit

# Exit

 

Um die Aktivierungs Rate zu ändern:

> configure

# Set Netzwerk Profile Zone-Schutz-Profil Untrust-Zone Flut TCP-SYN SYN-Cookies aktivieren-Rate "Wert"

# Commit

# Exit
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgRCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language