Perfiles de protección de la zona
Resolution
Perfiles de protección de la zona son una gran manera para ayudar a proteger su red contra ataques, incluyendo inundación común, ataques de reconocimiento y otros ataques basados en paquetes. Echa un vistazo a nuestro Video Tutorial para aprender más acerca de perfiles de protección de la zona y cómo configurarlos.
Protección de la zona se puede definir mediante una configuración de la plantilla para aplicar la configuración similar a varias zonas. Esta configuración se aplicará a la zona de ingreso!!
Perfil de zona de protección se configura en red > perfiles de red > zona de protección.
Como se puede ver, no tiene uno configurado todavía.
Vamos a agregar una haciendo clic en el botón Agregar y darle un nombre útil como ZoneProtection.
Ahora te van sobre todas las opciones.
Aviso tienes 3 pestañas — protección de la inundación / del reconocimiento protección / protección de ataque en paquete.
Bajo la protección de la inundación, puede configurar su dispositivo de protección contra inundaciones SYN, inundaciones UDP, ICMP inundaciones y otras inundaciones IP. El valor establecido en el aviso, y máximo campos es los paquetes por segundo de uno o varios hosts a uno o varios destinos en la zona. Paquetes a las zonas se muestrean a un intervalo de un segundo, para determinar si la tasa coincide con el umbral de que configurar.
Para la protección de la inundación SYN, PAN-OS apoya SYN cookie o caída temprana al azar, como se puede ver en el menú desplegable.
Con galletas SYN, el cortafuegos actúan como hombre en el medio para el protocolo TCP para validar la conexión.
Con la gota temprana al azar, si paquete baja entre 0 al umbral de activación, probabilidad de caída es 0, en el umbral de activación gama aumentos de probabilidad máxima umbral gota. Si la tasa cae por encima del valor máximo, se quitarán todos los paquetes.
Alert: el número de paquetes SYN recibidos por la zona (en un segundo) que desencadena una alarma de ataque. Alarmas pueden visualizarse en el salpicadero y en el registro de la amenaza.
Activar: el número de paquetes SYN por segundo a la zona cuando se activa la cookie roja o SYN.
Máximo: Introduzca el número máximo de paquetes SYN que se pueden recibir por segundo. Se quitarán cualquier número de paquetes superiores a la máxima.
Protección de la inundación ICMP se aplica como su nombre indica a paquetes ICMP (lo mismo para ICMPv6)
Alerta: especifique el número de solicitudes de eco ICMP (pings) recibidas por segundo que desencadenan una alarma de ataque.
Activar: Introduzca el número de paquetes ICMP recibidos por la zona que provoca la caída de paquetes ICMP posteriores.
Máximo: Introduzca el número máximo de paquetes ICMP que se pueden recibir por segundo. Se quitarán cualquier número de paquetes superiores a la máxima.
La protección de inundaciones UDP se aplica como el nombre indica a los paquetes UDP
Alert: Introduzca el número de paquetes UDP recibidos por la zona que desencadena una alarma de ataque.
Activar: Introduzca el número de paquetes UDP recibidos por la zona que desencadena la caída aleatoria de paquetes UDP.
Máximo: Introduzca el número máximo de paquetes UDP que se pueden recibir por segundo. Se quitarán cualquier número de paquetes superiores a la máxima.
Por último, aquí tenemos otra protección contra inundaciones IP:
Alert: Introduzca el número de paquetes IP recibidos por la zona que desencadena una alarma de ataque.
Activar: Introduzca el número de paquetes IP recibidos por la zona que desencadena la caída aleatoria de paquetes IP. La respuesta está deshabilitada cuando el número de paquetes IP cae por debajo del umbral.
Máximo: Introduzca el número máximo de paquetes IP que se pueden recibir por segundo. Se quitarán cualquier número de paquetes superiores a la máxima.
Nota: pan-os no registra la dirección IP de origen y destino en los registros de amenazas generados durante un ataque de inundación. Por lo general inundación ataques provienen de direcciones IP falsificada o incluso podría ser un ataque DDOS. Podría haber varios cientos o miles de direcciones de origen para iniciar la sesión.
Avanzando, protección del reconocimiento se utiliza para prevenir/alerta de los administradores en reconocimiento intentos como los puertos TCP y UDP exploraciones, y barridos de host. A diferencia de la configuración de la inundación, el umbral configura aquí son aplicables a los hosts en la zona donde se configura la protección del reconocimiento.
Como se puede ver, puede activar por separado de cada protección.
Las acciones son:
permitir: permite que el escaneo de Puerto intente
alerta: genera una alerta para cada escaneo que coincida con el umbral dentro del bloque de intervalo de tiempo especificado
: elimina todo el tráfico del origen al bloque de destino
IP: Deja caer todos los paquetes adicionales por un período de tiempo especificado. Elija si desea bloquear el origen, destino o tráfico de origen y destino y escriba una duración (segundos).
Intervalo: tiempo entre sondas sucesivas para puertos abiertos. Para barrido de host es el intervalo de tiempo entre sucesivas sondas (ICMP/TCP/UDP) a la red
Umbral: número de puertos escaneados en un host de destino dentro del intervalo de tiempo especificado que activará la acción de protección de reconocimiento.
Avanzando, nos vamos a la protección de ataque basadas en paquetes. Varias pestañas aquí ofrecen muchos tipos de protecciones adicionales.
Para configurar el drop IP, puede especificar los siguientes ajustes:
| Este tipo de dirección IP | Seleccione la casilla de verificación para habilitar la protección contra la suplantación de dirección IP. PAN-OS utiliza la tabla de enrutamiento en el dispositivo para comprobar si la IP de origen del tráfico está llegando a la interfaz adecuada. Si este no es el caso se descartará el paquete. |
| Comprobación de dirección IP estricta | Seleccione la casilla de verificación para descartar los paquetes con origen malformada o direcciones IP de destino. Por ejemplo, descartar paquetes donde la dirección IP origen o destino es la misma que la dirección de interfaz de red, es una dirección de difusión, una dirección de loopback, es una dirección link-local, es una dirección sin especificar o está reservado para uso futuro. |
| Tráfico fragmentado | Deseche los paquetes IP fragmentados. |
| Enrutamiento fuente estricto | Deseche los paquetes con el conjunto de opciones de IP de enrutamiento de origen estricto. |
| Loose Source Routing | Deseche los paquetes con el conjunto de opciones sueltas fuente de enrutamiento IP. |
| Fecha y hora | Deseche los paquetes con el conjunto de opciones de IP Timestamp. |
| Ruta de registro | Deseche los paquetes con el conjunto de opciones de grabación vía IP. |
| Seguridad | Deseche los paquetes si se define la opción de seguridad. |
| ID de flujo | Deseche los paquetes si se define la opción Stream ID. |
| Desconocido | Deseche los paquetes si la clase y el número están desconocidos. |
| Con formato incorrecto | Deseche los paquetes si tienen combinaciones incorrectas de clase, número y longitud basado en RFC 791, 1108, 1393 y 2113. |
Para configurar el TCP de la gota, puede especificar los siguientes ajustes:
Segmento TCP superpuesta no coinciden: hace que el cortafuegos se informe un desajuste de superposición y dejar caer el paquete al segmento datos no coinciden en estos escenarios:
- El segmento está dentro de otro segmento.
- El segmento se superpone con parte de otro segmento.
- El segmento cubre otro segmento.
Este mecanismo de protección utiliza números de secuencia para determinar que paquetes residen dentro de la secuencia de datos TCP.
Apretón de manos de Split: Impide que una sesión TCP estableciendo si el procedimiento de establecimiento de sesión no utiliza el conocido protocolo de 3 vías. Un apretón de manos de 4 vías o 5 vías split o un procedimiento de establecimiento de sesión abierta simultánea son ejemplos de variaciones que no se permitiría.
Rechazar no SYN TCP: determina si se debe rechazar el paquete si el primer paquete para la configuración de la sesión TCP no es un paquete SYN:
- global, utilice la configuración de todo sistema que se asigna a través de la CLI.
- sí — rechazar tráfico TCP no SYN.
- no — aceptar tráfico no - SYN TCP.
Trazado asimétrico: determina si se deben soltar o omitir paquetes que contengan ACKs fuera de sincronización o números de secuencia fuera de la ventana:
- global, utilice configuración de todo el sistema que se asigna a través de la CLI.
- gota: paquetes que contienen una ruta de acceso asimétrico.
- Bypass: Bypass exploración en paquetes que contienen una ruta de acceso asimétrico.
Quitar la marca de hora TCP: determina si el paquete tiene una marca de hora TCP en el encabezado y, si lo hace, desforra la marca de hora del encabezado.
Para configurar el ICMP de la gota, puede especificar los siguientes ajustes:
| ICMP Ping ID 0 | Deseche los paquetes si el paquete de ping ICMP tiene un valor de identificador de 0. |
| Fragmento ICMP | Deseche los paquetes que consisten en fragmentos ICMP. |
| Gran paquete ICMP (> 1024) | Descartar los paquetes ICMP que son más grandes que 1024 bytes. |
Descartar ICMP con mensaje de error | Descartar los paquetes ICMP que se encajan con un mensaje de error. |
| Suprimir ICMP TTL expirado Error | Pare enviar ICMP TTL había expirado mensajes. |
| Suprimir fragmentos ICMP es necesitada | Dejar de enviar fragmentación ICMP necesitan mensajes en respuesta a los paquetes que exceden la interfaz MTU y el do no fragmentar (DF) conjunto de bits. |
Para configurar IPv6 de la gota, puede especificar los siguientes ajustes:
| Tipo 0 rótulo de enrutamiento | Deseche los paquetes IPv6 que contiene una cabecera enrutamiento de tipo 0. Ver RFC 5095 para información de cabecera enrutamiento de tipo 0. |
| Dirección compatible con IPv4 | Deseche los paquetes IPv6 que se definen como una dirección RFC 4291 IPv4 compatible con IPv6. |
| Dirección de difusión por proximidad de la fuente | Deseche los paquetes IPv6 que contengan una dirección de origen del anycast. |
| Cabecera fragmento innecesario | Deseche los paquetes IPv6 con el último fragmento de la bandera (M = 0) y la compensación de cero. |
| MTU de ICMP 'Packet Too Big' menos de 1280 bytes | Deseche los paquetes IPv6 que contienen un mensaje ICMPv6 demasiado grandes paquetes cuando la unidad de transmisión máxima (MTU) es menos de 1280 bytes. |
| Extensión de salto por salto | Deseche los paquetes IPv6 que contienen el encabezado de extensión de opciones de salto por salto. |
| Extensión de enrutamiento | Deseche los paquetes IPv6 que contienen el encabezado de extensión de enrutamiento, que dirige paquetes para uno o más nodos intermedios en su camino a su destino. |
| Extensión de destino | Deseche los paquetes IPv6 que contienen la extensión de opciones de destino, que contiene las opciones para el destino del paquete. |
| Inválido opciones IPv6 en encabezado de extensión | Deseche los paquetes IPv6 que contienen opciones de IPv6 no válidas en un encabezado de extensión. |
| Campo reservado no cero | Deseche los paquetes IPv6 que tienen una cabecera con un campo reservado no ponen a cero. |
Para configurar la gota ICMPv6, puede especificar los siguientes ajustes:
| ICMPv6 destino inalcanzable | Requerir coincidencia de regla explícita de seguridad: requiere una coincidencia de política de seguridad explícita para errores de ICMPv6 de destino inalcanzables aún cuando se asocia con una sesión existente |
| Paquete ICMPv6 demasiado grande | Requerir coincidencia de regla explícita de seguridad: requiere una coincidencia de política de seguridad explícita para errores de ICMPv6 de paquete demasiado grandes incluso cuando está asociada con una sesión existente |
| Excede el tiempo de ICMPv6 - requieren a coincidencia de regla explícita de seguridad | Requiere que una coincidencia de política explícita de seguridad para tiempo excedido ICMPv6 errores incluso cuando se asocia con una sesión existente. |
| Problema de parámetro de ICMPv6 - requieren coincidencia de regla explícita de seguridad | Requiere a una coincidencia de política de seguridad explícita para errores de ICMPv6 de problema de parámetro incluso cuando se asocia con una sesión existente. |
| ICMPv6 redirect - requieren coincidencia de regla explícita de seguridad | Requieren una política explícita de seguridad busca para redirigir ICMPv6 mensajes incluso cuando se asocia con una sesión existente. |
Para aplicar un perfil de protección de zona a zona, podemos ir a nuestra página de la zonas y editar la zona donde queremos aplicar nuestro perfil. Simplemente use el menú desplegable junto a la zona de protección de perfil Seleccione el perfil que creó anteriormente y cometer el cambio.
Usted puede verificar el perfil de protección de la zona en la CLI mediante el comando siguiente.
Mostrar zona de protección de zonas<zone_name></zone_name>
Como se puede ver en el ejemplo, mi zona untrust ahora tiene el perfil que le asigna la ZoneProtection.
Esto concluye mi video sobre perfiles de protección de la zona.
Como siempre, no dude en dejar comentarios en la sección de comentarios abajo.
¡Saludos!
Véase también
A continuación se muestran algunos enlaces a la RFC mencionado en el video tutorial: