El tráfico SMB está bloqueado y la ventana del explorador de Windows se bloquea mientras se accede a una carpeta compartida
Resolution
Incidencia
El tráfico del bloque de mensajes del servidor (SMB) está bloqueado y la ventana del explorador de Windows se bloquea mientras se accede a una carpeta compartida.
Causa
Esto puede ocurrir cuando hay un perfil de bloqueo de archivos, con una acción de bloque utilizada en una regla de seguridad que coincide con esa sesión.
Detalles
En directivas de seguridad > acciones, si una sesión pasa por el cortafuegos de Palo Alto Networks y coincide con una directiva de allow específica, de acuerdo con los criterios definidos, se tomará la acción definida en la Directiva.
En el ejemplo siguiente, la regla de directiva de seguridad que se compara es "allow_all", que tiene un perfil para el bloqueo de archivos.
El perfil de bloqueo de archivos bloquea todos los archivos PE (que incluye. exe,. msi), cualquier archivo de esa sesión que coincida con el tipo de archivo llevará la sesión al estado de descarte.
Tan pronto como un usuario abra la carpeta compartida que tiene el archivo. exe en él, esa apertura de sesión pasará al estado de descarte y ningún otro archivo podrá moverse entre las máquinas.
> Mostrar sesión todos los filtros destino 10.193.17.10
--------------------------------------------------------------------------------
ID aplicación estado tipo bandera fuente [deporte] zona/Proto (traducido de IP[Port])
Vsys Dst [Dport] zona (traducido de IP[Port])
--------------------------------------------------------------------------------
152568 MS-DS-SMB descartar flujo NS 192.168.8.136 [49158]/Trust-L3/6 (10.193.17.8 [32047])
vsys1 10.193.17.10 [445]/Untrust-L3 (10.193.17.10 [445])
Vea el ejemplo siguiente, la sesión se establece en descartar estado por comprobación de directiva de seguridad:
> Mostrar Session ID 152568
Sesión 152568
flujo de C2S:
Fuente: 192.168.8.136 [Trust-L3]
DST: 10.193.17.10
Proto: 6
deporte: 49158 dport: 445
Estado: tipo de Inicio: flujo
usuario fuente: desconocido
usuario de DST: desconocido
flujo de s2c:
Fuente: 10.193.17.10 [Untrust-L3]
DST: 10.193.17.8
Proto: 6
deporte: 445 dport: 32047
Estado: tipo de Inicio: flujo
usuario fuente: desconocido
usuario de DST: desconocido
hora de Inicio: Jue Apr 17 17:12:56 2014
tiempo de espera: 90 seg
cuenta total del octeto (C2S): 44292
conteo total de bytes (s2c): 50073
cuenta del paquete de layer7 (C2S): 182
conteo de paquetes layer7 (s2c): 176
vsys: vsys1
aplicación: MS-DS-SMB
regla: allow_all
sesión para iniciar sesión final: True
sesión en ager sesión: falso
sesión sincronizado de peer HA: falso
dirección/puerto traducción: fuente + destino
NAT-regla: NAT_all_inside_to_out (vsys1)
procesamiento de layer7: completado
Filtrado de URL habilitada: True
URL Category : any
sesión vía cookies syn: falso
sesión terminada en host: falso
sesión atraviesa túnel: falso
sesión portal cautivo: falso
interfaz de ingreso: ethernet1/2
interfaz de la salida: ethernet1/1
regla de QoS de sesión: N/A (clase 4)
Tracker Stage Firewall: bloque de mitigación cont URL
Tan pronto como se abra la carpeta, la sesión SMB pasará al estado de descarte. Si la misma carpeta tiene archivos. txt, y si intenta copiarlas, se producirá un error porque la sesión SMB ya está descartada. Esto va a suceder incluso si no hay ninguna directiva de bloqueo para los archivos. txt.
El usuario experimentará esto a medida que se cuelga la aplicación del explorador de Windows y no devuelve ningún resultado después de abrir la carpeta share.
Como se muestra a continuación, los contadores globales también confirman esa información:
> Mostrar contador global filtro filtro de paquetes sí delta sí
Contadores globales:
Tiempo transcurrido desde el último muestreo: 58,678 segundos
nombre valor tasa severidad categoría aspecto Descripción
--------------------------------------------------------------------------------
pkt_recv 1511 25 info paquetes pktproc paquetes recibidos
pkt_sent 349 5 info Packet pktproc paquetes transmitidos
session_allocated 2 0 sesiones de recursos de sesión info asignadas
session_installed 2 0 sesiones de recursos de sesión de información instaladas
session_discard 4 0 sesión de recurso sesión de información establecida para descartar por comprobación de directiva de seguridad
flow_fwd_mtu_exceeded 21 0 info Flow Forward paquetes longitudes superadas MTU
flow_ipfrag_frag 42 0 info flujo ipfrag IP fragmentos transmitidos
flow_host_pkt_xmt 1248 21 info Flow MGMT paquetes transmitidos al plano de control
flow_host_vardata_rate_limit_ok 1227 20 info Flow MGMT host vardata no enviado: tarifa límite OK
appid_ident_by_dport 1 0 info AppID pktproc aplicación identificada por L4 dport
appid_proc 2 0 info AppID pktproc el número de paquetes procesados por la identificación de la aplicación
appid_use_dfa_1 2 0 info AppID pktproc el número de paquetes utilizando la segunda tabla DFA
appid_skip_terminal 2 0 info AppID pktproc el resultado de DFA es terminal
nat_dynamic_port_xlat 2 0 info NAT Resource el número total de NAT dynamic_ip_port traducir llamado
dfa_sw 326 5 info DFA pktproc el número total de DFA Match usando software
ctd_run_pattern_match_failure 2 0 info CTD pktproc Run patrón de coincidencia de fallo
aho_sw 507 8 info AHO pktproc el uso total del software para AHO
ctd_appid_reassign 5 0 info CTD pktproc AppID fue cambiado
ctd_pkt_slowpath 318 5 info CTD pktproc paquetes procesados por slowpath
ctd_detector_discard 2 0 info CTD pktproc sesión descartada por detector
log_pkt_diag_us 23585 401 información de sistema de registro de tiempo (US) gastar en escribir paquetes-Diag registros
--------------------------------------------------------------------------------
Contadores totales mostrados: 21
--------------------------------------------------------------------------------
Resolución
Este comportamiento se espera debido a la naturaleza de la PYME. Si hay una regla de seguridad con un perfil de bloque adjunto para las sesiones SMB, es mejor no mezclar los tipos de archivo que se supone que están bloqueados, con una directiva con archivos permitidos.
Propietario: ialeksov