ポートスキャンレポートすべての TCP ポートが開いていることを示します

ポートスキャンレポートすべての TCP ポートが開いていることを示します

66177
Created On 09/25/18 19:52 PM - Last Modified 06/01/23 17:18 PM


Symptom


兆候

セキュリティポリシーは、Untrust から信頼ゾーンへのすべての tcp ポートをブロックするように構成されていますが、インターネットからポートスキャンを実行すると、すべての tcp ポートが開いていることがレポートに表示されます。

診断

 

ファイアウォールは、インターネットからの内部サーバーへの HTTP および HTTPS 接続のみを許可する宛先 NAT およびセキュリティポリシーを使用して構成されていますが、インターネットからポートスキャンが行われると、ポートスキャンレポートにはすべての TCP ポートが開いていることが示されます。

 

これらの現象は、untrust/外部ゾーンのゾーン保護プロファイルで構成された SYN Cookie 機能のために発生します。ファイアウォールが syn パケットを recevies し、syn-Cookie 機能が有効になっている場合、ファイアウォールは syn-ack を送信し、クライアントからの ack を待ってから、接続を処理してから、セキュリティポリシーの検査も involes します。

 

SYN-クッキー機能の詳細については、このドキュメントを参照してください。

https://live.paloaltonetworks.com/t5/Management-Articles/SYN-Cookie-Operation/ta-p/57117

 

tcp の SYN-ACK パケットに基づいてポートの状態を決定する任意の tcp ポートスキャンツールは、すべての tcp ポートが開いて表示されます。

Resolution


上記の behvior は、期待どおりに動作しており、これを回避するために、次のオプションのいずれかを行うことができます。

 

  • SYN フラッド保護を無効にします。
  • SYN クッキーからランダムな早期ドロップへのアクションを変更します。
  • アクティベーションのしきい値を増やします。 

 

これらの変更を調整するには、以下の手順に従ってください。 これらの変更を行う前に、ネットワークセキュリティを考慮してください。

 

GUI から

[ネットワーク] タブ > [ゾーン保護プロファイル] > [適切なゾーン保護プロファイル] > [洪水防止] を選択します。

 

doc-71843-2

 

CLI: から

SYN-クッキーからランダムな早期ドロップに変更するには:

>構成

# 削除ネットワークプロファイルゾーン-保護-プロファイル untrust-ゾーン洪水 tcp の-syn syn-クッキー

#コミット

# 出口

 

アクティベーションレートを変更するには:

>構成

#設定ネットワークプロファイルゾーン-保護-プロファイル untrust-ゾーン洪水 tcp の-syn の syn-クッキーを有効にする -レート "値"

#コミット

# 出口
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgRCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language