Zone-Schutzprofile
Resolution
Zone-Schutzprofile sind ein guter Weg, um Ihr Netzwerk vor Angriffen, einschließlich der gemeinsamen Flut, Aufklärungs-Angriffe und andere paketbasierte Angriffe zu schützen. Werfen Sie einen Blick auf unser Video-Tutorial für weitere Informationen zu Zone Schutzprofile und wie Sie diese konfigurieren.
Schutzzone einstellbar mit einer Vorlage-Konfiguration mehrere Zonen ähnliche Einstellungen zuweisen. Diese Einstellungen gelten für Eindringen Zone!!
Zone-Schutzprofil ist im Netzwerk konfiguriert > Netzwerkprofile > Schutzzone.
Wie Sie sehen können, habe ich nicht eine noch konfiguriert.
Wir fügen durch Klicken auf die Schaltfläche "hinzufügen" und geben Sie ihm einen nützlichen Namen wie ZoneProtection.
Ich gehe jetzt über alle Optionen.
Hinweis Sie haben 3 Registerkarten – Hochwasserschutz / Aufklärung Schutz / Paket Basis Schutz vor Angriffen.
Unter Schutz vor Hochwasser können Sie Ihr Gerät zum Schutz vor SYN-Überschwemmungen, UDP Überschwemmungen, ICMP Überschwemmungen und anderen IP-Überschwemmungen konfigurieren. Der Wert in der Warnung aktivieren und maximale Felder ist die Pakete pro Sekunde von einem oder mehreren Hosts zu einem oder mehreren Zielen in der Zone. Pakete in die Zonen sind in einem Intervall von einer Sekunde abgetastet, um festzustellen, ob die Rate die Schwelle übereinstimmt, die Sie konfigurieren.
PAN-OS unterstützt SYN-Flood-Schutz SYN-Cookies oder zufällige frühen ablegen, wie Sie in der Dropdown-Liste sehen können.
Mit SYN-Cookies handeln die Firewalls als Mann in der Mitte für den TCP-Handshake, um die Verbindung zu überprüfen.
Mit Random Early Drop fällt Paket Kurs zwischen 0 bis aktivieren Schwelle, ist Drop-Wahrscheinlichkeit 0, Palette aktivieren Schwellenwert für maximale Schwelle Drop Wahrscheinlichkeit erhöht. Fällt der Kurs über dem Maximalwert, werden alle Pakete gelöscht werden.
Alert: die Anzahl der SYN-Pakete, die von der Zone empfangen werden (in einer Sekunde), die einen Angriffs Alarm auslöst. Alarme können auf dem Armaturenbrett und in der Bedrohung Protokoll eingesehen werden.
Aktivieren: die Anzahl der SYN-Pakete pro Sekunde in die Zone, wenn rotes oder SYN-Cookie ausgelöst wird.
Maximum: Geben Sie die maximale Anzahl von SYN-Paketen ein, die pro Sekunde empfangen werden können. Beliebige Anzahl von Paketen, die Überschreitung der maximal werden gelöscht.
ICMP-Flood-Schutz gilt, wie der Name schon, ICMP-Pakete (gleiche für ICMPv6 sagt)
Alert: Geben Sie die Anzahl der ICMP-Echo-Anfragen (Pings) ein, die pro Sekunde empfangen werden und einen Angriffs Alarm auslösen.
Aktivieren: Geben Sie die Anzahl der ICMP-Pakete ein, die von der Zone empfangen werden, wodurch nachfolgende ICMP-Pakete gelöscht werden.
Maximum: Geben Sie die maximale Anzahl von ICMP-Paketen ein, die pro Sekunde empfangen werden können. Beliebige Anzahl von Paketen, die Überschreitung der maximal werden gelöscht.
UDP Hochwasserschutz gilt, wie der Name auf UDP-Pakete
Alert anzeigt: Geben Sie die Anzahl der UDP-Pakete ein, die von der Zone empfangen werden, die einen Angriffs Alarm auslöst.
Aktivieren: Geben Sie die Anzahl der UDP-Pakete ein, die von der Zone empfangen werden, die zufällige Tropfen von UDP-Paketen auslöst.
Maximum: Geben Sie die maximale Anzahl von UDP-Paketen ein, die pro Sekunde empfangen werden können. Beliebige Anzahl von Paketen, die Überschreitung der maximal werden gelöscht.
Schließlich haben wir hier noch einen anderen IP-Hochwasserschutz:
Alert: Geben Sie die Anzahl der IP-Pakete ein, die von der Zone empfangen werden und einen Angriffs Alarm auslösen.
Aktivieren: Geben Sie die Anzahl der von der Zone empfangenen IP-Pakete ein, die zufälliges ablegen von IP-Paketen auslösen. Die Antwort ist deaktiviert, wenn die Anzahl der IP-Pakete unter den Grenzwert fällt.
Maximum: Geben Sie die maximale Anzahl von IP-Paketen ein, die pro Sekunde empfangen werden können. Beliebige Anzahl von Paketen, die Überschreitung der maximal werden gelöscht.
Hinweis: Pan-OS protokolliert die Quell-und Ziel-IP-Adresse nicht in den Bedrohungs Protokollen, die während eines Hochwasser Angriffs erzeugt wurden. In der Regel könnte Flut, die Angriffe von gefälschten IP-Adressen, oder es kommen sogar eines DDOS-Angriffs. Es können mehrere Hunderte oder Tausende von Quell-Adressen anmelden.
Voran, Aufklärung Schutz verwendet wird, um zu verhindern, dass Administratoren auf Aufklärung Warnung versucht wie TCP und UDP-Ports Scans und Host fegt. Im Gegensatz zu der Flut-Einstellungen gelten die Schwelle, die Sie hier konfigurieren für Hosts in der Zone wo Aufklärung Schutz konfiguriert ist.
Wie Sie sehen können, können Sie einzeln Schutz aktivieren.
Die Aktionen sind:
erlauben: erlaubt die Port-Scan-Versuche
Alert: generiert eine Benachrichtigung für jeden Scan, der die Schwelle innerhalb des angegebenen Zeitintervall
Blocks entspricht: lässt den gesamten Verkehr von der Quelle auf den Zielblock
IP fallen: Lässt alle weiteren Pakete für einen bestimmten Zeitraum fallen. Wählen Sie, ob Quelle, Ziel oder Quelle und Ziel-Datenverkehr zu blockieren und geben eine Dauer (Sekunden).
Intervall: Zeit zwischen aufeinanderfolgenden Sonden für offene Ports. Für Host-Sweep ist das Zeitintervall zwischen aufeinander folgenden Sonden (ICMP/TCP/UDP) an das Netzwerk
Schwelle: die Anzahl der gescannten Ports auf einem Zielrechner innerhalb des angegebenen Zeitintervalls, die Aufklärungs Schutzmaßnahmen auslösen.
Nach vorne verschieben, gehen wir in die paketbasierte Angriffsschutz. Mehrere Registerkarten hier bieten viele Arten von zusätzlichen Schutz.
Konfigurieren Sie IP-Drop können Sie die folgenden Einstellungen festlegen:
| Gefälschte IP-Adresse | Aktivieren Sie das Kontrollkästchen Schutz gegen IP-Address-spoofing aktivieren. PAN-OS nutzt die routing-Tabelle auf dem Gerät um zu überprüfen, ob die Quell-IP des Verkehrs auf die entsprechende Schnittstelle ankommt. Wenn dies nicht der Fall ist, wird das Paket verworfen. |
| Strenge IP-Adresse überprüfen | Aktivieren Sie das Kontrollkästchen Pakete mit fehlerhaften Quell- oder Ziel-IP-Adressen zu verwerfen. Z. B. verwerfen Sie Pakete, wo die Quelle oder Ziel-IP-Adresse ist die gleiche wie die Netzwerkadresse Schnittstelle, ist eine broadcast-Adresse, eine Loopbackadresse, ist ein Link-Local-Adresse, ist eine nicht spezifizierte Adresse oder ist für zukünftige Verwendung reserviert. |
| Fragmentierte Datenverkehr | Verwerfen Sie fragmentierte IP-Pakete. |
| Strenge Quell-Routing | Verwerfen Sie Pakete mit der strengen Source Routing IP-Option. |
| Loose Source Routing | Verwerfen Sie mit der Option Loose Source Routing IP-Pakete. |
| Timestamp | Verwerfen Sie mit der Option Timestamp IP Pakete. |
| Record Route | Verwerfen Sie mit der Option Record Route IP-Pakete. |
| Sicherheit | Pakete zu verwerfen, wenn die Sicherheitsoption definiert ist. |
| Stream-ID | Pakete zu verwerfen, wenn die Option Stream-ID definiert ist. |
| Unbekannt | Pakete zu verwerfen, wenn die Klasse und die Anzahl nicht bekannt sind. |
| Fehlerhafte | Pakete zu verwerfen, wenn sie falsche Kombinationen der Klasse, Anzahl und Länge basierend auf RFC 791, 1108, 1393 und 2113 haben. |
Um TCP-Drop zu konfigurieren, können Sie die folgenden Einstellungen festlegen:
Nicht übereinstimmende überlappende TCP-Segment: bewirkt, dass die Firewall auf eine Überlappung Diskrepanz zu melden und bringt das Paket bei Segmentdaten in diesen Szenarien nicht übereinstimmt:
- Das Segment ist in einem anderen Segment.
- Das Segment überschneidet sich mit Teil eines anderen Segments.
- Das Geschäftsfeld umfasst ein weiteres Segment.
Dieser Schutzmechanismus verwendet Sequenznummern um zu bestimmen, wo Pakete innerhalb der TCP-Datenstrom befinden.
Split-Handshake: Verhindert, dass eine TCP-Sitzung aufgebaut werden, wenn die Sitzung Prozedur den bekannten 3-Wege-Handshake nicht nutzt. Ein Split 4- oder 5-Wege-Handshake oder eine gleichzeitige offene Sitzung Prozedur sind Beispiele für Varianten, die nicht erlaubt werden würde.
Ablehnen Sie nicht-SYN TCP: legt fest, ob das Paket abgelehnt wird, wenn das erste Paket für das TCP-Session-Setup kein SYN-Paket ist:
- Global – verwenden Sie systemweite Einstellung, die durch die CLI zugeordnet ist.
- Ja — SYN TCP-Verkehr ablehnen.
- Nein — SYN TCP-Verkehr zu akzeptieren.
Asymmetrischer Pfad: legt fest, ob Pakete, die Out-of-Sync-ACKs oder out-of-Window-Sequenznummern enthalten, fallen oder umgehen sollen:
- Global – verwenden Sie systemweite Einstellung, die durch die CLI zugeordnet ist.
- Drop-Pakete verwerfen, die einen asymmetrischen Pfad enthalten.
- Bypass-Bypass-Messung an Paketen, die einen asymmetrischen Pfad enthalten.
Entfernen Sie TCP-Zeitstempel: legt fest, ob das Paket einen TCP-Zeitstempel im Header hat und, wenn es es tut, den Zeitstempel aus dem Header.
ICMP-Drop konfigurieren, können Sie die folgenden Einstellungen festlegen:
| ICMP-Ping-ID 0 | Pakete zu verwerfen, wenn die ICMP-Ping-Paket einen ID-Wert von 0 hat. |
| ICMP-Fragment | Entsorgen Sie Pakete, die von ICMP-Fragmenten bestehen. |
| Große ICMP-Paket (> 1024) | ICMP-Pakete, die größer als 1024 Bytes sind zu verwerfen. |
Verwerfen ICMP eingebettet mit Fehlermeldung | Entsorgen Sie ICMP-Pakete, die mit einer Fehlermeldung eingebettet sind. |
| Unterdrücken, ICMP TTL abgelaufen Fehler | Stop senden ICMP TTL abgelaufen Nachrichten. |
| ICMP-Frag benötigt zu unterdrücken | Beenden Sie das Senden von ICMP-Fragmentierung Nachrichten als Reaktion auf Pakete, die über die Schnittstelle MTU und habe die nicht fragment (DF) bit gesetzt, benötigt. |
Um IPv6 Drop konfigurieren, können Sie die folgenden Einstellungen festlegen:
| Geben Sie 0 Überschrift-Routing | IPv6-Pakete enthalten einen Type 0-routing-Header zu verwerfen. Typ 0 routing-Header-Informationen finden Sie unter RFC 5095. |
| IPv4-kompatible Adresse | Entsorgen Sie IPv6-Pakete, die als RFC 4291 IPv4-kompatible IPv6 Adresse definiert sind. |
| Anycast-Quell-Adresse | Entsorgen Sie IPv6-Pakete, die eine Anycast-Quell-Adresse enthalten. |
| Unnötige Fragment header | Entsorgen Sie IPv6-Pakete mit dem letzten fragment-Flag (M = 0) und Offset von Null. |
| MTU ICMP "Packet Too Big" weniger als 1280 Byte | Entsorgen Sie IPv6-Pakete, die eine Paket zu groß ICMPv6-Nachricht enthalten, wenn die maximale Übertragungseinheit (MTU) weniger als 1280 Byte beträgt. |
| Hop-by-Hop-Erweiterung | Entsorgen Sie IPv6-Pakete, die die Hop-by-Hop-Optionen Verlängerung Header enthalten. |
| Routingerweiterung | Entsorgen Sie IPv6-Pakete, die die Routing-Erweiterung-Header enthalten die Pakete an einen oder mehrere Zwischenknoten auf dem Weg zum Ziel führt. |
| Ziel-Erweiterung | Entsorgen Sie IPv6-Pakete, die die Erweiterung Zieloptionen enthalten die Optionen bestimmt nur für das Ziel des Pakets enthält. |
| Ungültige IPv6-Optionen in Verlängerung header | Entsorgen Sie IPv6-Pakete, die ungültige IPv6-Optionen in eine Verlängerung Header enthalten. |
| Reserviertes Feld ein Wert ungleich 0 | Entsorgen Sie IPv6-Pakete, die einen Header mit ein reserviertes Feld nicht auf Null gesetzt haben. |
Um ICMPv6 Drop konfigurieren, können Sie die folgenden Einstellungen festlegen:
| ICMPv6-Ziel nicht erreichbar | Explizite Sicherheit Regelübereinstimmung erforderlich: eine explizite Sicherheit Politik Übereinstimmung für Ziel unerreichbar ICMPv6 Fehler, auch wenn im Zusammenhang mit einer bestehenden Sitzung erforderlich |
| ICMPv6-Pakets zu groß | Explizite Sicherheit Regelübereinstimmung erforderlich: eine explizite Sicherheit Politik Übereinstimmung für Paket zu groß ICMPv6 Fehler, auch wenn im Zusammenhang mit einer bestehenden Sitzung erforderlich |
| ICMPv6 Zeitüberschreitung - erfordern explizite Sicherheit Regelübereinstimmung | Verlangen Sie, dass eine explizite Sicherheit Politik Spiel mal ICMPv6-Fehler, auch wenn im Zusammenhang mit einer bestehenden Sitzung überschritten. |
| ICMPv6-Parameter-Problem - explizite Sicherheit Regelübereinstimmung erforderlich | Eine explizite Sicherheit Politik Übereinstimmung für Parameter Problem ICMPv6-Fehler, auch wenn im Zusammenhang mit einer bestehenden Sitzung erforderlich. |
| ICMPv6 redirect - explizite Sicherheit Regelübereinstimmung erforderlich | Erfordern Sie eine explizite Sicherheitspolitik entsprechen für Redirect ICMPv6-Nachrichten auch dann, wenn eine bestehende Sitzung zugeordnet. |
Um eine Zone-Schutzprofil für eine Zone gelten, können wir auf unsere Seite gehen und bearbeiten die Zone, wo wir unser Profil anwenden möchten. Einfach verwenden Sie das Dropdown-Menü neben Zone Schutzprofil, wählen Sie das Profil, das Sie zuvor erstellt, und schreiben Sie die Änderung.
Sie können das Schutzprofil Zone in der CLI mit dem folgenden Befehl überprüfen.
Ausstellungszone-Schutzzone<zone_name></zone_name>
Wie Sie im Beispiel sehen können, hat meiner Sicherheitszertifikat-Zone nun das Profil, das ZoneProtection zugewiesen.
Dies schließt mein Video auf Zone Protection Profiles.
Wie immer, zögern Sie nicht, Kommentare zu hinterlassen, in dem Kommentar weiter unten.
Prost!
Siehe auch
Hier sind einige Links zu den RFCs erwähnt in dem video-Tutorial: