El informe de exploración de puertos muestra que todos los puertos TCP están abiertos

El informe de exploración de puertos muestra que todos los puertos TCP están abiertos

66187
Created On 09/25/18 19:52 PM - Last Modified 06/01/23 17:18 PM


Symptom


Síntomas de

Aunque la Directiva de seguridad está configurada para bloquear todos los puertos TCP de la zona de confianza, cuando se ejecuta un análisis de puerto desde Internet, el informe muestra que todos los puertos TCP están abiertos.

Diagnóstico

 

El cortafuegos está configurado con un NAT de destino y una directiva de seguridad para permitir sólo conexiones http y https a un servidor interno desde Internet, sin embargo, cuando se realiza un escaneo de puerto desde Internet, el informe de análisis de Puerto muestra que todos los puertos TCP están abiertos.

 

Estos síntomas se desencadenan debido a la característica SYN-cookie configurada en el perfil de protección de zona para la zona no confiable/externa. Cuando el cortafuegos recevies un paquete SYN y si la función SYN-cookie está activada, el Firewall enviará un SYN-ACK y esperará un ACK del cliente antes de procesar la conexión, que también inratóns inspecciona la política de seguridad.

 

Por favor, haga referencia a este documento para obtener más información acerca de la característica SYN-cookie en detalle:

https://live.paloaltonetworks.com/t5/Management-Articles/SYN-Cookie-Operation/ta-p/57117

 

Cualquier herramienta de análisis de puertos TCP que determine el estado del puerto basándose en el paquete SYN-ACK de TCP mostrará todos los puertos TCP como abiertos.

Resolution


El behvior antedicho está trabajando como esperado y para evitar esto usted puede hacer una de las opciones siguientes.

 

  • DesHabilite la protección SYN FLOOD.
  • Cambiar la acción de la cookie SYN a la caída temprana aleatoria.
  • Aumente el umbral para la activación. 

 

Por favor, siga los siguientes pasos para ajustar estos cambios. Antes de hacer estos cambios, tenga en cuenta la seguridad de la red.

 

Desde la GUI

Ir a la pestaña Red > Perfil de protección de zona > Seleccione el perfil de protección de zona adecuado > protección contra inundaciones.

 

doc-71843-2. png

 

Desde el CLI:

Para cambiar de SYN-cookie a Random Drop temprano:

> configurar

# eliminar perfiles de red zona-protección-perfil Intrust-zona inundación TCP-SYN SYN-cookies

# commit

# Exit

 

Para cambiar la velocidad de activación:

> configurar

# establecer perfiles de red zona-protección-perfil Intrust-zona inundación TCP-SYN SYN-activar cookies-tasa " valor"

# commit

# Exit
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgRCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language