Ataques de tierra cuando se configura la fuente y el destino NAT para la misma dirección IP pública
Resolution
Resumen
Los ataques terrestres pueden ocurrir cuando un administrador configura la traducción de destino para un servidor de zona DMZ y la traducción de origen para usuarios de la zona de confianza con la misma dirección IP pública. Cuando el tráfico de la LAN interna a la traducción de la fuente de dirección IP pública del cortafuegos será aplicado y caído por el cortafuegos de Palo Alto Networks, que se considera un ataque de tierra.
Detalles
A continuación se muestra el escenario donde el tráfico se puede dejar caer debido a un ataque terrestre.
El tráfico iniciado desde la zona "Trust_L3" a Internet usará la traducción de origen. El tráfico iniciado desde la red pública (Untrust_L3) al servidor Web (200.1.1.1) usará la traducción de destino.
Aquí está la configuración de NAT para el escenario anterior.
El tráfico desde una zona interna (Trust_L3) a la dirección IP pública del cortafuegos (200.1.1.1) golpeará la regla NAT de origen, lo que provocará que se aplique una traducción de origen al tráfico. La fuente será traducida a la IP pública del firewall y el cortafuegos caerá inmediatamente este tráfico porque será considerado un ataque de tierra. El Firewall vería este tráfico como la misma dirección IP de origen y destino.
Resolución
Para confirmar que el tráfico se está eliminando debido a un ataque de tierra, ejecute el siguiente comando. Este comando comprueba los contadores, específicamente los contadores de caída.
Un filtro se puede configurar con una dirección IP de origen y destino específica y se aplica a los contadores globales para obtener las salidas específicas, como se muestra a continuación.
Después de configurar los filtros e iniciar el tráfico "ping" a la IP pública de Firewall desde la LAN interna, siga el comando siguiente para comprobar las gotas debido al ataque de tierra.
> Mostrar contador global filtro paquete-filtro sí Delta sí severidad gota
Contadores globales:
Tiempo transcurrido desde el último muestreo: 17,60 segundos
nombre tasa de valor categoría severidad Descripción de aspecto
---------------------------------------------------------------------------------
flow_policy_nat_land 3 0 configuración de sesión de sesión de flujo de gota: origen NAT asignación de IP resultado en ataque terrestre
---------------------------------------------------------------------------------
Contadores totales mostrados: 1
---------------------------------------------------------------------------------
Resolución
Cree una regla de "no NAT" para el tráfico desde la LAN interna (Trust_L3) a la dirección IP del cortafuegos (200.1.1.1), como se muestra a continuación.
El tráfico desde la LAN interna Trust_L3 a la dirección IP del cortafuegos (200.1.1.1) golpeará la regla "no NAT" y no estará sujeto a la traducción de NAT.
Propietario: sbabu