Ataques de tierra cuando se configura la fuente y el destino NAT para la misma dirección IP pública

Ataques de tierra cuando se configura la fuente y el destino NAT para la misma dirección IP pública

53411
Created On 09/26/18 13:50 PM - Last Modified 06/15/23 22:21 PM


Resolution


Resumen

Los ataques terrestres pueden ocurrir cuando un administrador configura la traducción de destino para un servidor de zona DMZ y la traducción de origen para usuarios de la zona de confianza con la misma dirección IP pública. Cuando el tráfico de la LAN interna a la traducción de la fuente de dirección IP pública del cortafuegos será aplicado y caído por el cortafuegos de Palo Alto Networks, que se considera un ataque de tierra.

Detalles

A continuación se muestra el escenario donde el tráfico se puede dejar caer debido a un ataque terrestre.

Dai. JPG

El tráfico iniciado desde la zona "Trust_L3" a Internet usará la traducción de origen. El tráfico iniciado desde la red pública (Untrust_L3) al servidor Web (200.1.1.1) usará la traducción de destino.

Aquí está la configuración de NAT para el escenario anterior.

NAT2. Jpg

El tráfico desde una zona interna (Trust_L3) a la dirección IP pública del cortafuegos (200.1.1.1) golpeará la regla NAT de origen, lo que provocará que se aplique una traducción de origen al tráfico. La fuente será traducida a la IP pública del firewall y el cortafuegos caerá inmediatamente este tráfico porque será considerado un ataque de tierra. El Firewall vería este tráfico como la misma dirección IP de origen y destino.

Resolución

Para confirmar que el tráfico se está eliminando debido a un ataque de tierra, ejecute el siguiente comando. Este comando comprueba los contadores, específicamente los contadores de caída.

Un filtro se puede configurar con una dirección IP de origen y destino específica y se aplica a los contadores globales para obtener las salidas específicas, como se muestra a continuación.

Pc. Jpg

Después de configurar los filtros e iniciar el tráfico "ping" a la IP pública de Firewall desde la LAN interna, siga el comando siguiente para comprobar las gotas debido al ataque de tierra.

> Mostrar contador global filtro paquete-filtro sí Delta sí severidad gota

Contadores globales:

Tiempo transcurrido desde el último muestreo: 17,60 segundos

nombre tasa de valor categoría severidad Descripción de aspecto

---------------------------------------------------------------------------------

flow_policy_nat_land 3 0 configuración de sesión de sesión de flujo de gota: origen NAT asignación de IP resultado en ataque terrestre

---------------------------------------------------------------------------------

Contadores totales mostrados: 1

---------------------------------------------------------------------------------

Resolución

Cree una regla de "no NAT" para el tráfico desde la LAN interna (Trust_L3) a la dirección IP del cortafuegos (200.1.1.1), como se muestra a continuación.

No NAt. jpg

El tráfico desde la LAN interna Trust_L3 a la dirección IP del cortafuegos (200.1.1.1) golpeará la regla "no NAT" y no estará sujeto a la traducción de NAT.

Propietario: sbabu
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clt0CAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language