Profils de protection de zone
Resolution
Profils de protection de zone sont un excellent moyen pour aider à protéger votre réseau contre les attaques, y compris la commune contre les inondations, les attaques de reconnaissance et d’autres attaques par paquets. Jetez un oeil à notre didacticiel vidéo pour en savoir plus sur les profils de protection de zone et comment les configurer.
Protection de la zone peut être définie à l’aide d’un modèle de configuration pour appliquer des paramètres similaires à plusieurs zones. Ces paramètres s’appliquent à la zone de pénétration !!
Profil de Protection de zone a été configuré en réseau > profils réseau > Zone de Protection.
Comme vous pouvez le voir, je n’ai pas encore configuré.
Nous allons ajouter un en cliquant sur le bouton Ajouter et donnez-lui un nom utile comme ZoneProtection.
Je vais y aller maintenant sur toutes les options.
Avis vous avez 3 onglets — Protection contre les inondations / Reconnaissance Protection / protection contre les attaques basées des paquets.
En vertu de la protection contre les inondations, vous pouvez configurer votre appareil pour la protection contre les inondations SYN, inondations UDP, inondations ICMP et autres inondations IP. La valeur définie dans l’alerte, activer et champs maximales est les paquets par seconde à partir d’un ou plusieurs hôtes pour une ou plusieurs destinations dans la zone. Les paquets vers les zones sont échantillonnées à intervalle d’une seconde, pour déterminer si le taux correspond au seuil que vous configurez.
Pour la protection contre les inondations SYN, PAN-OS prend en charge les cookies SYN ou Drop début aléatoire, comme vous pouvez le voir dans la liste déroulante.
Avec cookie SYN, les pare-feu agissent comme homme du milieu pour la connexion TCP afin de valider la connexion.
Avec Drop début aléatoire, si le taux de paquets se situe entre 0 et le seuil d’activation, probabilité de chute est 0, au sein de seuil Activate gamme aux augmentations de probabilité Maximum seuil baisse. Si le taux est supérieur à la valeur Maximum, tous les paquets seront abandonnés.
Alert: nombre de paquets SYN reçus par la zone (dans une seconde) qui déclenche une alarme d'attaque. Alarmes peuvent être consultés sur le tableau de bord et dans le journal de la menace.
Activer: le nombre de paquets SYN par seconde dans la zone lorsque le cookie rouge ou syn est déclenché.
Maximum: saisissez le nombre maximal de paquets SYN pouvant être reçus par seconde. N’importe quel nombre de paquets dépassant le maximum sera abandonné.
Protection contre les inondations ICMP s’applique comme le nom l’indique aux paquets ICMP (idem pour ICMPv6)
Alerte: saisissez le nombre de requêtes d'écho ICMP (pings) reçues par seconde qui déclenchent une alarme d'attaque.
Activer: Entrez le nombre de paquets ICMP reçus par la zone qui provoque la chute des paquets ICMP ultérieurs.
Maximum: saisissez le nombre maximal de paquets ICMP pouvant être reçus par seconde. N’importe quel nombre de paquets dépassant le maximum sera abandonné.
La protection contre les inondations UDP s'applique comme le nom l'indique à l'alerte paquets UDP
: Entrez le nombre de paquets UDP reçus par la zone qui déclenche une alarme d'attaque.
Activer: Entrez le nombre de paquets UDP reçus par la zone qui déclenche la suppression aléatoire des paquets UDP.
Maximum: saisissez le nombre maximal de paquets UDP pouvant être reçus par seconde. N’importe quel nombre de paquets dépassant le maximum sera abandonné.
Enfin, ici, nous avons d'autres protection contre les inondations IP:
Alert: Entrez le nombre de paquets IP reçus par la zone qui déclenche une alarme d'attaque.
Activer: Entrez le nombre de paquets IP reçus par la zone qui déclenche la suppression aléatoire des paquets IP. La réponse est désactivée lorsque le nombre de paquets IP descend en dessous du seuil.
Maximum: saisissez le nombre maximal de paquets IP pouvant être reçus par seconde. N’importe quel nombre de paquets dépassant le maximum sera abandonné.
Remarque: Pan-OS ne consigne pas l'adresse IP source et de destination dans les journaux de menaces générés lors d'une attaque d'inondation. Généralement les inondations attaques proviennent des adresses IP usurpée, ou il pourraient même être une attaque DDOS. Il pourrait y avoir plusieurs centaines ou des milliers d’adresses source pour ouvrir une session.
Aller de l’avant, protection de Reconnaissance est utilisée pour prévenir/alerte les administrateurs sur les reconnaissances tente comme les ports TCP et UDP scans et hôte balaie. Contrairement aux paramètres de crue, le seuil que vous configurez ici s’appliquent aux hôtes dans la zone où la protection de la reconnaissance est configurée.
Vous pouvez activer chaque protection séparément comme vous pouvez le voir.
Les actions sont:
allow: permet à l'analyse de port tentatives d'
alerte: génère une alerte pour chaque analyse qui correspond au seuil dans le bloc intervalle de temps spécifié
: supprime tout le trafic de la source vers le bloc de destination
IP: Laisse tomber tous les autres paquets pour une période de temps spécifiée. Choisir de bloquer la source, destination ou source et la destination trafic et entrez une durée (en secondes).
Intervalle: temps entre les sondes successives pour les ports ouverts. Balayage de l’hôte, c’est l’intervalle de temps entre les sondes successives (ICMP/TCP/UDP) au réseau
Seuil: nombre de ports numérisés sur un hôte de destination dans l'intervalle de temps spécifié qui déclenchera une action de protection de reconnaissance.
Aller de l’avant, nous allons à la protection contre les attaques par paquets. Plusieurs onglets ici offrent plusieurs types de protections supplémentaires.
Pour configurer la chute de l’IP, vous pouvez spécifier les paramètres suivants :
| Adresse IP usurpée | Sélectionnez la case à cocher pour activer la protection contre l’usurpation d’adresse IP. PAN-OS utilise la table de routage sur l’appareil pour vérifier si l’adresse IP source du trafic arrive sur l’interface appropriée. Si ce n’est pas le cas, que le paquet est ignoré. |
| Vérification adresse IP stricte | Cochez la case pour les paquets source malformé ou adresses IP de destination. Par exemple, les paquets où l’adresse IP source ou de destination est le même que l’adresse d’interface réseau, est une adresse de diffusion, une adresse de bouclage, est une adresse lien-local, est une adresse non spécifiée ou est réservé pour une utilisation future. |
| Trafic fragmenté | Jeter les paquets IP fragmentés. |
| Le routage Source strict | Les paquets avec l’option Strict Source Routing IP définie. |
| Routage de Source libre | Les paquets avec l’option Loose Source Routing IP définie. |
| Timestamp | Les paquets avec l’option Timestamp IP définie. |
| Enregistrement de la Route | Les paquets avec l’option Record Route IP définie. |
| Sécurité | Les paquets si l’option de sécurité est définie. |
| ID de flux | Les paquets si l’option Stream ID est définie. |
| Inconnu | Les paquets si la classe et le nombre sont inconnus. |
| Malformés | Les paquets s’ils ont des combinaisons incorrectes de classe, nombre et longueur basée sur la RFC 791, 1108, 1393 et 2113. |
Pour configurer TCP Drop, vous pouvez spécifier les paramètres suivants :
Segment TCP qui se chevauchent ne correspondent pas : provoque le pare-feu de déclarer une incompatibilité de chevauchement et de déposer le paquet quand segment données ne correspondent pas dans ces scénarios :
- Le segment se trouve à un autre segment.
- Le segment entre en conflit avec une partie d’un autre segment.
- Le segment couvre un autre segment.
Ce mécanisme de protection utilise des numéros de séquence pour déterminer où les paquets se trouvent dans le flux de données TCP.
Split Handshake : Empêche une session TCP mis en place si la procédure d’établissement de session n’utilise pas la poignée de main 3 voies bien connue. Une poignée de main de 4 ou 5-voies split ou d’une procédure de mise en place simultanée de session ouverte sont des exemples de variations qui ne seraient pas autorisées.
Rejeter le TCP non-syn: détermine s'il faut rejeter le paquet si le premier paquet pour le programme d'installation de session TCP n'est pas un paquet SYN:
- Global — Réglez systémique qui est affecté par le biais de l’interface CLI.
- Oui — rejeter le trafic non - SYN TCP.
- non, accepter le trafic non - SYN TCP.
Chemin asymétrique: détermine s'il faut supprimer ou ignorer les paquets qui contiennent des accusés out-of-sync ou des numéros de séquence hors fenêtre:
- Global — utilisez systemwide paramètre assigné par le biais de l’interface CLI.
- abandonner, rejeter les paquets qui contiennent un chemin d’accès asymétrique.
- ignorer — ignore l’analyse sur les paquets qui contiennent un chemin d’accès asymétrique.
Supprimer l'horodatage TCP: détermine si le paquet a un horodatage TCP dans l'en-tête et, si c'est le cas, supprime l'horodatage de l'en-tête.
Pour configurer ICMP Drop, vous pouvez spécifier les paramètres suivants :
| ICMP Ping ID 0 | Les paquets si le paquet ping ICMP a une valeur d’identificateur de 0. |
| Fragment de l’ICMP | Les paquets qui sont constitués de fragments ICMP. |
| Les gros paquet ICMP (> 1024) | Jeter les paquets ICMP qui sont plus grandes que 1024 octets. |
Jetez ICMP embarqué avec message d’erreur | Jeter les paquets ICMP qui sont intégrés avec un message d’erreur. |
| Supprimer l’ICMP TTL expiré erreur | Arrêtez envoi ICMP TTL expiré messages. |
| Supprimer l’ICMP Frag nécessaire | Cesser d’envoyer ICMP la fragmentation nécessaire des messages en réponse aux paquets qui dépasse l’interface MTU et la ne pas fragmenter (DF) bit défini. |
Pour configurer IPv6 Drop, vous pouvez spécifier les paramètres suivants :
| Tapez 0 en-tête de routage | Jeter les paquets IPv6 contenant un en-tête de routage de Type 0. Pour les informations d’en-tête routage de Type 0, consultez RFC 5095. |
| Adresse compatible IPv4 | Jeter les paquets IPv6 sont définis comme étant une adresse RFC 4291 Compatible IPv4 IPv6. |
| Adresse source anycast | Jeter les paquets IPv6 qui contiennent une adresse anycast de la source. |
| Inutile de fragment de tête | Les paquets IPv6 avec le dernier fragment offset de zéro et de drapeau (M = 0). |
| MTU dans ICMP « Paquet trop grands » moins de 1280 octets | Jeter les paquets IPv6 qui contiennent un message ICMPv6 les trop gros paquets lorsque l’unité de transmission maximale (MTU) est inférieure à 1280 octets. |
| Extension de hop-by-Hop | Jeter les paquets IPv6 qui contient l’en-tête d’extension Hop-by-Hop Options. |
| Extension de routage | Jeter les paquets IPv6 qui contient l’en-tête d’extension de routage, qui dirige les paquets à un ou plusieurs nœuds intermédiaires en route vers sa destination. |
| Extension de la destination | Jeter les paquets IPv6 contenant l’extension des Options de Destination, qui contient les options destinées uniquement à la destination du paquet. |
| Options de IPv6 non valides dans l’en-tête d’extension | Jeter les paquets IPv6 qui contiennent des options de IPv6 non valides dans un en-tête d’extension. |
| Champ réservé de zéro | Jeter les paquets IPv6 ont un en-tête avec un champ réservé ne pas remis à zéro. |
Pour configurer ICMPv6 Drop, vous pouvez spécifier les paramètres suivants :
| ICMPv6 destination inaccessible | Règle de sécurité explicites concordance : nécessitent une correspondance de politique de sécurité explicite pour destination inaccessible ICMPv6 trouver des erreurs même lorsqu’ils sont associés à une session existante |
| ICMPv6 paquet trop grand | Règle de sécurité explicites concordance : nécessitent une correspondance de politique de sécurité explicite pour les erreurs de ICMPv6 trop gros paquets même lorsqu’ils sont associés à une session existante |
| ICMPv6 temps dépassé - concordance de règle de sécurité explicites | Nécessitent qu'une correspondance de politique de sécurité explicite pour temps dépassé ICMPv6 erreurs même lorsqu’ils sont associés à une session existante. |
| Problème de paramètre ICMPv6 - concordance de règle de sécurité explicites | Nécessitent une correspondance de politique de sécurité explicite pour les erreurs de ICMPv6 problème paramètre même lorsqu’ils sont associés à une session existante. |
| ICMPv6 rediriger - concordance de règle de sécurité explicites | Besoin d’une politique de sécurité explicites match pour rediriger les messages ICMPv6 même lorsqu’ils sont associés à une session existante. |
Pour appliquer un profil de protection de zone à une zone, nous pouvons aller à notre page de Zones et modifier la zone où nous voulons appliquer notre profil. Simplement utiliser la liste déroulante en regard de la Zone de Protection profil, sélectionnez le profil que vous avez créé précédemment et valider la modification.
Vous pouvez vérifier le profil de protection de zone dans la CLI à l’aide de la commande suivante.
afficher zone-zone de protection<zone_name></zone_name>
Comme vous pouvez le voir dans l’exemple, ma zone untrust a maintenant le profil que zoneprotection lui sont confiée.
Voilà qui termine ma vidéo sur la Zone profils de Protection.
Comme toujours, n’hésitez pas à laisser des commentaires dans la section commentaire ci-dessous.
A bientôt !
Voir aussi
Voici quelques liens vers les RFC mentionnés dans le didacticiel vidéo :