Hintergrund
tracepath iist ein UNIX/Linux-basiertes Dienstprogramm, das traceroute ähnelt. Die Unterschiede zwischen den beiden sind aber
- tracepath verlangt nicht, dass Benutzer root-Privilegien haben.
- tracepath verwendet (und verwendet) UDP mit zufälligem hohen Port. traceroute (unter UNIX/Linux) verwendet standardmäßig auch UDP mit Reichweite Ziel Port 33434-33534, hat aber die Möglichkeit, auf ICMP umzusteigen (Windows traceroute verwendet immer ICMP) .
Hinweis: Dies gilt für Pan-OS 5,0 oder später.
– Detail
Wenn eine Sicherheitsregel nur die Anwendung "traceroute" und den Dienst "Anwendung-default" erlaubt und es keine andere nachfolgende Regel gibt, um den tracepath-Verkehr zuzulassen, dann wird sein UDP-Paket gelöscht.
Sicherheitspolitik | Datenverkehrsprotokoll |
---|
| |
Erklärung: Dies ist bweil tracepath verwendet UDP mit zufälligen hohen Port. Wenn ein Dienst auf "Application-default" eingestellt ist, könnte tracepath verweigert werden, da in der APP-ID-Signatur der Standard-Port-Bereich für traceroute nur ICMP/any und UDP/33434-33534 enthält.
Lösung
Es gibt zwei mögliche Lösungen:
1) konfigurieren Sie die security-Regel, um die Anwendung "traceroute" und Service "Any" zu ermöglichen. Sie müssen auch die Anwendung "ICMP" und "Ping" erlauben, da diese beiden Anwendungs Abhängigkeit für traceroute sind.
Sicherheitspolitik | Datenverkehrsprotokoll |
---|
| |
2) beauftragen Sie die Benutzer, tracepath mit einem bestimmten "Starting"-Zielport 33434 zu betreiben. Hinweis im Verkehrsprotokoll, der Zielport erhöht sich von 33434 für jeden Hopfen. Auch hier ist es aufgrund der Abhängigkeit von traceroute-Anwendungen weiterhin notwendig, die Anwendung ICMP & Ping zu erlauben.
Sicherheitspolitik | Datenverkehrsprotokoll |
---|
| |
Siehe auch
Kann eine Politik so konfiguriert werden, dass Sie traceroute zulässt?