Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
El informe de exploración de puertos muestra que todos los puer... - Knowledge Base - Palo Alto Networks

El informe de exploración de puertos muestra que todos los puertos TCP están abiertos

76425
Created On 09/25/18 19:52 PM - Last Modified 06/01/23 17:18 PM


Symptom


Síntomas de

Aunque la Directiva de seguridad está configurada para bloquear todos los puertos TCP de la zona de confianza, cuando se ejecuta un análisis de puerto desde Internet, el informe muestra que todos los puertos TCP están abiertos.

Diagnóstico

 

El cortafuegos está configurado con un NAT de destino y una directiva de seguridad para permitir sólo conexiones http y https a un servidor interno desde Internet, sin embargo, cuando se realiza un escaneo de puerto desde Internet, el informe de análisis de Puerto muestra que todos los puertos TCP están abiertos.

 

Estos síntomas se desencadenan debido a la característica SYN-cookie configurada en el perfil de protección de zona para la zona no confiable/externa. Cuando el cortafuegos recevies un paquete SYN y si la función SYN-cookie está activada, el Firewall enviará un SYN-ACK y esperará un ACK del cliente antes de procesar la conexión, que también inratóns inspecciona la política de seguridad.

 

Por favor, haga referencia a este documento para obtener más información acerca de la característica SYN-cookie en detalle:

https://live.paloaltonetworks.com/t5/Management-Articles/SYN-Cookie-Operation/ta-p/57117

 

Cualquier herramienta de análisis de puertos TCP que determine el estado del puerto basándose en el paquete SYN-ACK de TCP mostrará todos los puertos TCP como abiertos.

Resolution


El behvior antedicho está trabajando como esperado y para evitar esto usted puede hacer una de las opciones siguientes.

 

  • DesHabilite la protección SYN FLOOD.
  • Cambiar la acción de la cookie SYN a la caída temprana aleatoria.
  • Aumente el umbral para la activación. 

 

Por favor, siga los siguientes pasos para ajustar estos cambios. Antes de hacer estos cambios, tenga en cuenta la seguridad de la red.

 

Desde la GUI

Ir a la pestaña Red > Perfil de protección de zona > Seleccione el perfil de protección de zona adecuado > protección contra inundaciones.

 

doc-71843-2. png

 

Desde el CLI:

Para cambiar de SYN-cookie a Random Drop temprano:

> configurar

# eliminar perfiles de red zona-protección-perfil Intrust-zona inundación TCP-SYN SYN-cookies

# commit

# Exit

 

Para cambiar la velocidad de activación:

> configurar

# establecer perfiles de red zona-protección-perfil Intrust-zona inundación TCP-SYN SYN-activar cookies-tasa " valor"

# commit

# Exit
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 240,257
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgRCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language