Attaques terrestres lorsqu'elles sont configurées NAT source et destination pour une même adresse IP publique

Attaques terrestres lorsqu'elles sont configurées NAT source et destination pour une même adresse IP publique

53403
Created On 09/26/18 13:50 PM - Last Modified 06/15/23 22:21 PM


Resolution


Vue d’ensemble

Des attaques terrestres peuvent se produire lorsqu'un administrateur configure la traduction de destination pour un serveur de zone DMZ et une traduction source pour les utilisateurs de zone de confiance avec une même adresse IP publique. Lorsque le trafic de LAN interne vers le pare-feu public IP address source translation sera appliquée et abandonnée par le pare-feu de Palo Alto Networks, qui est considéré comme une attaque terrestre.

Détails

Ci-dessous est le scénario où le trafic peut être abandonné en raison d'une attaque terrestre.

Dai. JPG

Le trafic initié à partir de la zone «Trust_L3» vers Internet utilisera la traduction source. Le trafic initié par le réseau public (Untrust_L3) vers le serveur Web (200.1.1.1) utilisera la traduction de destination.

Voici la configuration NAT pour le scénario ci-dessus.

NAT2. Jpg

Le trafic d'une zone interne (Trust_L3) vers l'adresse IP publique du pare-feu (200.1.1.1) touche la règle NAT source, ce qui entraînera l'application d'une traduction source au trafic. La source sera traduite à l'IP publique du pare-feu et le pare-feu va immédiatement laisser tomber ce trafic, car il sera considéré comme une attaque terrestre. Le pare-feu verrait ce trafic comme la même adresse IP source et de destination.

Résolution

Pour confirmer que le trafic est en cours de chute en raison d'une attaque terrestre, exécutez la commande suivante. Cette commande vérifie les compteurs, en particulier les compteurs Drop.

Un filtre peut être configuré avec une adresse IP de source et de destination spécifique et appliqué aux compteurs globaux pour obtenir les sorties spécifiques, comme indiqué ci-dessous.

Pc. Jpg

Après avoir réglé les filtres et lancé le trafic "ping" vers le pare-feu IP publique à partir de LAN interne, suivez la commande ci-dessous pour vérifier les gouttes dues à l'attaque terrestre.

> Show compteur global filtre paquet-filtre Oui Delta Oui gravité baisse

Compteurs globaux :

Temps écoulé depuis le dernier échantillonnage: 17,60 secondes

nom valeur taux gravité catégorie aspect Description

---------------------------------------------------------------------------------

flow_policy_nat_land 3 0 session de session Drop Flow Setup: source NAT IP allocation résultat de l'attaque terrestre

---------------------------------------------------------------------------------

Total des compteurs affichés: 1

---------------------------------------------------------------------------------

Résolution

Créez une règle «no NAT» pour le trafic du réseau local interne (Trust_L3) vers l'adresse IP du pare-feu (200.1.1.1), comme indiqué ci-dessous.

Pas de NAt. jpg

Le trafic du LAN interne Trust_L3 à l'adresse IP du pare-feu (200.1.1.1) touchera la règle "no NAT" et ne sera pas soumis à la traduction NAT.

propriétaire : naima
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clt0CAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language