同じパブリック IP アドレスに対してソースと宛先の NAT を構成した場合の土地攻撃
Resolution
概要
土地攻撃は、管理者が DMZ ゾーンサーバーの送信先変換を構成し、同じパブリック IP アドレスを持つ信頼ゾーンユーザーのソース変換を行う場合に発生する可能性があります。内部 LAN からファイアウォールのパブリック IP アドレスのソースの変換にトラフィックが適用され、土地の攻撃であると考えられているパロアルトのネットワークファイアウォールによってドロップしたとき。
詳細
次に示すのは、土地攻撃のためにトラフィックを削除できるシナリオです。
"Trust_L3" ゾーンからインターネットへのトラフィックは、ソース変換を使用します。パブリックネットワーク (Untrust_L3) から web サーバー (200.1.1.1) に開始されるトラフィックは、変換先の変換を使用します。
上記のシナリオの NAT 構成を次に示します。
内部ゾーン (Trust_L3) からファイアウォールパブリック IP アドレス (200.1.1.1) へのトラフィックは、ソース NAT ルールにヒットし、ソース変換がトラフィックに適用されます。ソースは、ファイアウォールのパブリック IP に変換され、それが土地の攻撃と見なされるため、ファイアウォールは、すぐにこのトラフィックをドロップします。ファイアウォールは、このトラフィックを同じ送信元と宛先の IP アドレスとして表示します。
解決方法
土地攻撃のためにトラフィックが削除されていることを確認するには、次のコマンドを実行します。このコマンドは、カウンタ、特にドロップカウンタを確認します。
フィルタは、特定の送信元と宛先の IP アドレスを使用して構成し、次に示すように、特定の出力を取得するためにグローバルカウンタに適用することができます。
フィルタを設定し、内部 LAN からファイアウォールのパブリック IP に "Ping" トラフィックを開始した後、土地の攻撃のために値下がりを確認するには、以下のコマンドに従ってください。
> カウンタのグローバルフィルタパケットを表示する-フィルタはいデルタはい重大度低下
グローバルのカウンター:
最後のサンプリングからの経過時間: 17.60 秒
名前値レート重大度カテゴリのアスペクトの説明
---------------------------------------------------------------------------------
flow_policy_nat_land 3 0 ドロップフローセッションセッションのセットアップ: ソース nat IP 割り当ての結果、土地攻撃
---------------------------------------------------------------------------------
表示されるカウンタの総数: 1
---------------------------------------------------------------------------------
解決方法
以下に示すように、内部 LAN (Trust_L3) からファイアウォール IP アドレス (200.1.1.1) へのトラフィックに対して "NAT なし" ルールを作成します。
内部 LAN Trust_L3 からファイアウォール IP アドレス (200.1.1.1) へのトラフィックは "nat なし" ルールにヒットし、nat 変換の対象にはなりません。
所有者: sbabu