Acción configurado en las normas de seguridad y visto en registro de tráfico es incoherente

Acción configurado en las normas de seguridad y visto en registro de tráfico es incoherente

29869
Created On 09/26/18 13:49 PM - Last Modified 06/13/23 02:48 AM


Resolution


Síntoma

En algunos casos puede haber una entrada de registro de tráfico para una sesión, donde la aplicación se reconoce como datos insuficientes, registrados como "permitir" mientras que una regla de la gota.

Por ejemplo:

Tomar el tráfico FTP de una zona "replay_eth2" a una zona de "replay_eth3".

Este tráfico FTP será incompleto; el cliente enviará un paquete RST en el inicio de sesión de comandos (dport 21).

Esta transacción FTP incompleta permitirá que la sesión sea reconocida como insuficiencia de datos.

El decodificador conectado a la aplicación de FTP no recibieron suficiente información para lograr controles de cumplimiento y validar la aplicación de FTP.

Nota: FTP no es obligatorio, puede suceder para todas las aplicaciones con un decodificador.

En el ejemplo siguiente se muestra la base de reglas de seguridad en el firewall de Palo Alto Networks:

+ Captura de pantalla + 2014-06-11 + en + 13.32.40.png

En la base de reglas de seguridad, es importante tener los siguientes:

  • Una regla de denegar tráfico de 'cualquier' aplicación
  • Una regla sobre que permite el tráfico para una aplicación específica
    • Flujo de tuplas (sip, szone, dip, dzone) para el tráfico FTP tendrá que concuerden con esta regla. Permitirá App-ID se produzca.
    • Si hay no hay tal regla, tráfico se quitarán antes de App-ID

Bajo estas condiciones, si el tráfico FTP se genera de zona "replay_eth2" a la zona "replay_eth3", este se bloqueará con la entrada del Registro siguiente:

+ Captura de pantalla + 2014-06-11 + en + 14.24.21.png

Causa

Este comportamiento puede ser explicado como el siguiente:

  • En ese escenario muy específico, firewall de Palo Alto Networks no tiene toda la información necesaria para tomar acción final configurado en regla "Denegar todo" (Deny)
  • La acción final se toma una vez el decodificador de aplicación habrán validado la aplicación (con algunas pruebas de cumplimiento contra operación)
  • Se aplazará el partido final de la regla y la acción después de esta validación

Cuando se recibe el paquete RST, la sesión termina con estos Estados:

  • La sesión FTP de datos insuficientes
    está incompleta y no está validada
  • La regla "denegar todo" coincidente con la acción de acción "permitir"
    se configuró temporalmente para "permitir" que se alcanzara el identificador de aplicación (dentro de 4 paquetes de datos o 2000 bytes de carga útil), y la regla "denegar todo" fue la mejor coincidencia potencial.

Propietario: nbilly
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClrUCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language