Port Scan Report zeigt, dass alle TCP-Ports geöffnet sind - Knowledge Base - Palo Alto Networks

Port Scan Report zeigt, dass alle TCP-Ports geöffnet sind

76431

Created On 09/25/18 19:52 PM - Last Modified 06/01/23 17:18 PM

Symptom

Symptome

Auch wenn die Sicherheitsrichtlinien so konfiguriert sind, dass Sie alle TCP-Ports von Unvertrauen in Trust Zone blockieren, zeigt Report, dass alle TCP-Ports offen sind, wenn Sie einen Port-Scan aus dem Internet ausführen.

Diagnose

Die Firewall ist mit einem Zielnat und einer Sicherheitsrichtlinie konfiguriert, um nur HTTP und HTTPS Verbindungen zu einem internen Server aus dem Internet zu ermöglichen, aber wenn ein Port-Scan aus dem Internet durchgeführt wird, zeigt der Port-Scan-Bericht, dass alle TCP-Ports geöffnet sind.

Diese Symptome werden durch die SYN-Cookie-Funktion ausgelöst, die im Zonen Schutzprofil für die unvertrauens-/Außenzone konfiguriert ist. Wenn die Firewall ein SYN-Paket zurückgibt und wenn die SYN-Cookie-Funktion aktiviert ist, sendet die Firewall ein SYN-ACK und wartet auf ein ACK des Clients, bevor die Verbindung bearbeitet wird, was auch die Inspektion der Sicherheitsrichtlinien vorsieht.

Bitte verweisen Sie auf dieses Dokument, um mehr über die SYN-Cookie-Funktion im Detail zu erfahren:

https://live.paloaltonetworks.com/t5/Management-Articles/SYN-Cookie-Operation/ta-p/57117

Jedes TCP-Port-Scan-Tool, das den Port-Status auf Basis von TCP SYN-ACK-Paket bestimmt, zeigt alle TCP-Ports als offen an.

Resolution

Der obige behvior arbeitet wie erwartet, und um dies zu vermeiden, können Sie eine der folgenden Optionen tun.

SYN-Hochwasserschutz deaktivieren.
Ändern Sie die Aktion von SYN Cookie auf zufällige frühe Tropfen.
Erhöhen Sie die Schwelle für die Aktivierung.

Bitte folgen Sie den folgenden Schritten, um diese Änderungen zu optimieren. Bevor Sie diese Änderungen vornehmen, berücksichtigen Sie die Netzsicherheit.