Konfigurierbare Deny-Aktion

Konfigurierbare Deny-Aktion

155509
Created On 09/26/18 13:44 PM - Last Modified 06/14/23 07:13 AM


Resolution


Sicherheitsrichtlinien ermöglichen es Administratoren, wünschenswerte Anwendungen durch die Firewall passieren zu lassen und unerwünschte Anwendungen von der Verbindung nach außen oder zwischen Netzen zu blockieren.

 

Die "Allow"-Aktion, die einer Sicherheitspolitik zugeordnet wird, ist ziemlich einfach, aber wenn es darum geht, den Verkehr zu blockieren, stehen einem Administrator mehrere Optionen zur Verfügung, um das Verhalten der Firewall zu ändern, abhängig von der Anwendung oder der Situation.

 

Beginnend mit Pan-OS 7,0 kann ein Administrator wählen, welche Aktion auf unerwünschte Sessions angewendet werden soll: Drop, Deny oder Reset:

 

 

Die Drop-Aktion wird meist als heimliche Art, den Verkehr abzulegen, genutzt. Die Firewall wird einfach alle Pakete wegwerfen, die mit einer unerwünschten Verbindung verbunden sind, und den Client oder Server nicht wissen lassen, dass die Pakete verworfen werden. Dies ist eine gängige gute Praxis, um die Exposition gegenüber der Außenwelt zu reduzieren, da Port-Scans länger dauern werden und zu weniger nutzbaren Forensik führen werden. Wenn es wünschenswert ist, dem Kunden mitzuteilen, dass die Sitzung nicht erlaubt ist, kann ein ICMP, der nicht erreichbar ist (ICMPv4 Typ 3 Code13, ICMPv6 Type1 Code1), gesendet werden, um den Client darauf aufmerksam zu machen, dass der entfernte Host für diese Verbindung nicht verfügbar ist. Dies kann der Quelle helfen, die Sitzung anmutig zu schließen oder zu löschen und zu verhindern, dass Anwendungen brechen, wo es anwendbar ist.

 

Drop. png

Die Denial-Aktion wird die Sitzung mit der empfohlenen Methode pro Anwendung abreißen.

Deny. png

Die APP-ID-Beschreibung enthält eine Denial-Action-Beschreibung der Aktion, die getroffen wird, wenn eine Sicherheitspolitik die Anwendung blockiert und die Deny-Aktion gesetzt hat. Wenn keine Deny-Aktion aufgelistet ist, werden die Pakete stillschweigend verworfen. Drop-Reset wird die Pakete der Session ablegen und ein TCP-RST-Paket senden, um den Client wissen zu lassen, dass die Session beendet wurde, so dass Sie die Sitzung lokal anmutig schließen kann.

2016-04 -18 _16-16:00. png

 

Ein Administrator kann sich auch dafür entscheiden, immer ein Reset-Paket entweder an den Client, den Server oder beides zu senden. Falls die Sitzung auf TCP-Basis ist, wird ein RST-Paket gesendet. Falls die Session UDP oder ICMP-basiert ist, wird ein ICMP, der nicht erreichbar ist, gesendet.

2016-04 -18 _16-25 -40. png

 

  • Das Versenden eines Reset nur an den Client würde zum Beispiel sicherstellen, dass interne Hosts eine Benachrichtigung erhalten, dass die Sitzung zurückgesetzt wird und der Browser nicht Links spinnt oder die Anwendung die etablierte Sitzung schließen kann, während der entfernte Server nicht bekannt bleibt.
  • Reset-Server kann verwendet werden, um sicherzustellen, dass ein interner Server in der Lage ist, eine Steckdose zu löschen, während ein externer Client unbewusst bleibt.
  • Wenn Sie einen Reset an beide senden, werden beide Parteien wissen, dass die Sitzung blockiert wurde.

Um zu verhindern, dass zu viele ICMP-unerreichbare Pakete gesendet werden, können Sie den Tarif pro Sekunde über die Sitzungs Einstellungen umschalten.

2016-04 -18 _16-58 -23. png

 

Waren diese Informationen hilfreich für Sie?

 

Alles Gute

Schnitter
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClltCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language