Le rapport de balayage de port indique que tous les ports TCP sont ouverts

Le rapport de balayage de port indique que tous les ports TCP sont ouverts

66183
Created On 09/25/18 19:52 PM - Last Modified 06/01/23 17:18 PM


Symptom


Symptômes

Même si la stratégie de sécurité est configurée pour bloquer tous les ports TCP de la non-approbation à la zone d'approbation, lors de l'exécution d'une analyse de port à partir d'Internet, le rapport indique que tous les ports TCP sont ouverts.

Diagnostic

 

Le pare-feu est configuré avec un NAT de destination et une stratégie de sécurité pour autoriser uniquement les connexions HTTP et HTTPS à un serveur interne à partir d'internet, mais lorsqu'une analyse de port est effectuée à partir d'internet, le rapport d'analyse de port indique que tous les ports TCP sont ouverts.

 

Ces symptômes sont déclenchés en raison de la fonctionnalité syn-cookie configurée dans le profil de protection de zone pour la zone non-Trust/External. Lorsque le pare-feu recevies un paquet SYN et que la fonction syn-cookie est activée, le pare-feu enverra un SYN-ACK et attendra un accusé de réception du client avant de traiter la connexion, ce qui involes également l'inspection de la stratégie de sécurité.

 

Veuillez consulter ce document pour en savoir plus sur la fonction SYN-cookie en détail:

https://live.paloaltonetworks.com/t5/Management-Articles/SYN-Cookie-Operation/ta-p/57117

 

Tout outil d'analyse de port TCP qui détermine l'état du port en fonction du paquet TCP SYN-ACK affiche tous les ports TCP comme ouverts.

Resolution


Le behvior ci-dessus fonctionne comme prévu et afin d'éviter cela, vous pouvez faire l'une des options suivantes.

 

  • Désactivez la protection SYN flood.
  • Remplacez l'Action du cookie SYN par une baisse aléatoire au début.
  • Augmentez le seuil pour l'activation. 

 

Veuillez suivre les étapes ci-dessous pour modifier ces modifications. Avant de faire ces changements prendre la sécurité du réseau en considération.

 

De l'INTERFACE graphique

Accédez à l'Onglet réseau > profil de protection de zone > Sélectionnez le profil de protection de zone approprié > protection contre les inondations.

 

doc-71843-2. png

 

De la CLI :

Pour passer de SYN-cookie à une chute aléatoire au début:

> configurer

# supprimer les profils réseau zone-protection-profil de non-confiance-zone Flood TCP-SYN syn-cookies

# Commit

# Exit

 

Pour modifier le taux D'activation:

> configurer

# définir les profils réseau zone-protection-profil de non-confiance-zone Flood TCP-SYN syn-cookies Activer-taux "valeur"

# Commit

# Exit
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgRCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language