Acción de denegación configurable

Las directivas de seguridad permiten que los administradores permitan que las aplicaciones deseadas pasen a través del cortafuegos y bloqueen las aplicaciones no deseadas que se conecten al exterior o entre redes.

La acción ' permitir ' asignada a una directiva de seguridad es bastante sencilla, pero cuando se trata de bloquear el tráfico, varias opciones están disponibles para un administrador para cambiar el comportamiento del cortafuegos, dependiendo de la aplicación o de la situación.

Comenzando con pan-os 7,0, un administrador puede elegir qué acción aplicar a las sesiones no deseadas: Drop, denegar o restablecer:

La acción de la gota se utiliza sobre todo como manera furtiva de descartar tráfico. El cortafuegos simplemente desechará cualquier paquete asociado con una conexión no deseada, sin dejar que el cliente o el servidor sepan que los paquetes se están descartando. Esta es una buena práctica común para reducir la exposición al mundo exterior, ya que las exploraciones portuarias tardarán más en completarse y resultarán en un examen forense menos utilizable. Si es deseable que el cliente sepa que la sesión no está permitida, se puede enviar un mensaje ICMP inalcanzable (ICMPv4 Type3 Code13, ICMPv6 Type1 esquema1) para que el cliente tenga en cuenta que el host remoto no está disponible para esta conexión. Esto puede ayudar a la fuente a cerrar o borrar la sesión con gracia y evitar que las aplicaciones se rompan, en su caso.

La acción denegar detendrá la sesión utilizando el método recomendado por aplicación.

La descripción de la aplicación-ID contiene una descripción de la acción denegar de la acción tomada si una directiva de seguridad bloquea la aplicación y tiene el conjunto de acciones denegar. Si no se muestra ninguna acción de denegación, los paquetes se descartarán silenciosamente. Drop-RESET descartará los paquetes de la sesión y enviará un paquete TCP RST para que el cliente sepa que la sesión ha sido terminada para que pueda cerrar la sesión de forma correcta localmente.

Un administrador también puede optar por enviar siempre un paquete de restablecimiento ya sea al cliente, al servidor o a ambos. En caso de que la sesión esté basada en TCP, se enviará un primer paquete. En caso de que la sesión esté basada en UDP o ICMP, se enviará un ICMP inalcanzable.

• El envío de un restablecimiento sólo al cliente garantizaría, por ejemplo, que los hosts internos reciban una notificación la sesión se restableció y el navegador no se deja girar o la aplicación puede cerrar la sesión establecida mientras el servidor remoto no se conoce.
• RESET Server se puede utilizar para asegurar que un servidor interno es capaz de borrar un socket mientras un cliente externo se deja inconsciente.
• El envío de un reset a ambos permitirá a ambas partes saber que la sesión fue bloqueada.

Para evitar el envío de demasiados paquetes ICMP inalcanzables, puede cambiar la velocidad por segundo a través de la configuración de la sesión

¿le resultó útil esta información?

Saludos

usuario: