Aktion konfiguriert in Sicherheitsregeln und Seen im Traffic-Log ist inkonsistent

Aktion konfiguriert in Sicherheitsregeln und Seen im Traffic-Log ist inkonsistent

29859
Created On 09/26/18 13:49 PM - Last Modified 06/13/23 02:48 AM


Resolution


Symptom

In einigen Situationen darf es ein Traffic-Log-Eintrag für eine Session, wo die Anwendung als nicht genügend Daten, angemeldet "zulassen", während der passende Tropfen in der Regel erkannt wird.

Zum Beispiel:

Nehmen Sie FTP-Verkehr aus einer Zone "replay_eth2" zu einer Zone "replay_eth3".

Dieser FTP-Datenverkehr wird unvollständig sein; ein RST-Paket wird zu Beginn der Sitzung (Dport 21) Befehl vom Client gesendet werden.

Diese unvollständige FTP-Transaktion wird es ermöglichen, die Session als unzureichend zu erkennen-Daten.

Der Decoder angeschlossen, der FTP-Anwendung hat nicht genügend Daten um Konformität überprüft und validieren der FTP-Anwendungdes erhalten.

Hinweis: FTP ist nicht zwingend, es kann für alle Anwendungen mit einem Decoder passieren.

Sicherheit-Regelwerk in der Palo Alto Networks Firewall ist im folgenden Beispiel gezeigt:

+ Screenshot + 2014-06-11 + am + 13.32.40.png

In Sicherheit Regelwerk ist es wichtig, über Folgendes verfügen:

  • Eine Regel, die Datenverkehr für 'any' Anwendung zu leugnen
  • Eine Regel über Verkehr für eine bestimmte Anwendung ermöglicht
    • Flow-Tupel (Sip, Szone, Dip, Dzone) für FTP-Verkehr muss dieser Regel entsprechen. Es erlaubt die App-ID zu treten in.
    • Wenn es keine Regel gibt, wird Datenverkehr gelöscht werden, bevor die App-ID beginnt

Unter diesen Bedingungen wenn FTP-Verkehr von Zone "replay_eth2" Zone "replay_eth3" generiert wird werden dies mit den folgenden Protokolleintrag blockiert:

+ Screenshot + 2014-06-11 + am + 14.24.21.png

Ursache

Dieses Verhalten kann wie folgt erklärt werden:

  • In diesem sehr speziellen Fall muss Palo Alto Networks Firewall nicht alle Informationen, die erforderlich, um die Abschlussaktion in "Deny All" Regel (Deny) konfiguriert
  • Die endgültige vorgegangen wird nach der Anwendung-Decoder (einige Kompatibilität Test gegen Transaktion ausgeführte) Anwendung überprüft
  • Die endgültige Regelung Spiel und Aktion werden nach dieser Validierung aufgeschoben werden

Wenn die RST-Paket empfangen wird, wird die Sitzung beendet, mit diesen Staaten:

  • Unzureichend-Daten-
    FTP-Session ist unvollständig und nicht validiert
  • Die Matching-Regel "Denial all" mit "Allow"
    -Aktion wurde vorübergehend auf "Allow" gesetzt, um die APP-ID zu erreichen (innerhalb von 4 Datenpaketen oder 2000 Bytes Nutzlast), und die "Denial all"-Regel war das beste Potential Match.

Besitzer: Nbilly
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClrUCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language