TCP 3-Way Handshake ist erlaubt, eine Sicherheit, Policy die Anwendung erlaubt " und Dienst " ICMP ANY abgleichen darf "
22819
Created On 03/21/19 23:01 PM - Last Modified 03/26/21 18:22 PM
Symptom
Aus den Datenverkehrsprotokollen und Sitzungsdetails im CLI Sitzungsbrowser wurde festgestellt, dass einige TCP 3-Wege-Handshakeverbindungen mit einer Sicherheitsregel übereinstimmen, die nur Anwendung ICMP zulässt.
Beispielsweise wird eine Telnetsitzung zum example.com an Port 80 durch diese Sicherheit policy zugelassen.
admin@PA> show session id 136043 Session 136043 c2s flow: source: 192.168.243.55 [Trust-Zone] dst: 93.184.216.34 proto: 6 sport: 53792 dport: 80 state: ACTIVE type: FLOW src user: unknown dst user: unknown s2c flow: source: 93.184.216.34 [Untrust] dst: 10.129.82.243 proto: 6 sport: 80 dport: 28507 state: ACTIVE type: FLOW src user: unknown dst user: unknown qos node: ethernet1/1, qos member N/A Qid 0 start time : Fri Dec 28 17:44:52 2018 timeout : 3600 sec time to live : 3569 sec total byte count(c2s) : 264 total byte count(s2c) : 264 layer7 packet count(c2s) : 4 layer7 packet count(s2c) : 4 vsys : vsys1 application : undecided <<<< Application is still undecided rule : test-icmp <<<< Rule is the security policy allowing ICMP service timeout override(index) : False application db : 0 app.id : c2s node (0, 0) s2s node (0, 0) session to be logged at end : True session in session ager : True session updated by HA peer : False address/port translation : source nat-rule : Outbound(vsys1) layer7 processing : enabled URL filtering enabled : True URL category : any session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/1 egress interface : ethernet1/2 session QoS rule : N/A (class 4) end-reason : unknown
Environment
Der firewall hat eine Sicherheitsregel mit einer Nicht-/Anwendung TCP UDP (z. B. ) und Service, die ICMP auf ANY "."-Handshakes festgelegt
TCP ist, werden von dieser Regel als zulässig festgelegt, anstatt einer geeigneteren Regel weiter unten in der Regelbasis.
Cause
Dieses Verhalten tritt auf, wenn der Dienst auf " " für die Sicherheit festgelegt ANY policy ist.
Wenn Sie sich die Sicherheit policy von CLI ansehen, sehen Sie möglicherweise Folgendes:
admin@PA> show running security-policy
"test-icmp; index: 1" {
from any;
source any;
source-region none;
to any;
destination any;
destination-region none;
user any;
category any;
application/service 0:icmp/any/any/any; <<<< Application is ICMP, & Protocol IS ANY
action allow;
icmp-unreachable: no
terminal yes;Obwohl ICMP es sich um ein Protokoll handelt, gibt es eine Anwendungssignatur speziell für die Anwendung ICMP . Solange also die Anwendung für eine Sitzung unentschieden ist, stimmt der Datenverkehr weiterhin mit der Sicherheit überein, policy sodass Anwendung ICMP und Dienst auf """ festgelegt werden ANY können.
Das IP Protokoll wird durch den Dienst in und nicht durch die Anwendung PAN-OS bestimmt.
Resolution
Wenn Sie nur Datenverkehr zulassen möchten, ICMP der dem spezifischen policy entspricht, legen Sie den Dienst auf "Anwendungsstandard" fest.
"test-icmp; index: 1" {
from any;
source any;
source-region none;
to any;
destination any;
destination-region none;
user any;
category any;
application/service 0:icmp/icmp/any/any;<<<< Application is ICMP & Protocol is ICMP
action allow;
icmp-unreachable: no
terminal yes;Da das Dienstfeld das Protokoll bestimmt IP und der Dienst auf Anwendungsstandard festgelegt ist, spiegelt die Regel das Protokoll ICMP wider.
Additional Information
TIP: A Bewährte Methode ist es, immer den Anwendungsstandard festzulegen.