TCP El apretón de manos de 3 vías está permitido para que coincida con una seguridad Policy que permite la aplicación " " y el servicio ICMP ANY "
22857
Created On 03/21/19 23:01 PM - Last Modified 03/26/21 18:22 PM
Symptom
Desde los registros de tráfico y los detalles de la sesión en el explorador de sesiones, CLI ha observado que algunas conexiones de protocolo de enlace de TCP 3 vías coinciden con una regla de seguridad que permite solamente la ICMP aplicación.
Por ejemplo, se permite una sesión telnet para example.com en el puerto 80 a través de esta policy seguridad.
admin@PA> show session id 136043 Session 136043 c2s flow: source: 192.168.243.55 [Trust-Zone] dst: 93.184.216.34 proto: 6 sport: 53792 dport: 80 state: ACTIVE type: FLOW src user: unknown dst user: unknown s2c flow: source: 93.184.216.34 [Untrust] dst: 10.129.82.243 proto: 6 sport: 80 dport: 28507 state: ACTIVE type: FLOW src user: unknown dst user: unknown qos node: ethernet1/1, qos member N/A Qid 0 start time : Fri Dec 28 17:44:52 2018 timeout : 3600 sec time to live : 3569 sec total byte count(c2s) : 264 total byte count(s2c) : 264 layer7 packet count(c2s) : 4 layer7 packet count(s2c) : 4 vsys : vsys1 application : undecided <<<< Application is still undecided rule : test-icmp <<<< Rule is the security policy allowing ICMP service timeout override(index) : False application db : 0 app.id : c2s node (0, 0) s2s node (0, 0) session to be logged at end : True session in session ager : True session updated by HA peer : False address/port translation : source nat-rule : Outbound(vsys1) layer7 processing : enabled URL filtering enabled : True URL category : any session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/1 egress interface : ethernet1/2 session QoS rule : N/A (class 4) end-reason : unknown
Environment
El firewall tiene una regla de seguridad con una aplicación que no es / TCP UDP (por ejemplo, ICMP ) y los protocolos de servicio establecidos en ANY "."
TCP apretones de manos son observadores como lo permite esta regla en lugar de una regla más apropiada más abajo en la base de reglas.
Cause
Este comportamiento se produce cuando el servicio se establece en " ANY " en la seguridad policy .
Mirando la seguridad policy de , es posible que vea lo CLI siguiente:
admin@PA> show running security-policy
"test-icmp; index: 1" {
from any;
source any;
source-region none;
to any;
destination any;
destination-region none;
user any;
category any;
application/service 0:icmp/any/any/any; <<<< Application is ICMP, & Protocol IS ANY
action allow;
icmp-unreachable: no
terminal yes;Aunque ICMP es un protocolo, hay una firma de aplicación específicamente para la ICMP aplicación. Por lo tanto, mientras la solicitud para una sesión esté indeciso, el tráfico seguirá igualando la seguridad permitiendo que la aplicación y el policy ICMP servicio se establezcan en " ANY ."
El IP protocolo viene determinado por el servicio dentro y no por la PAN-OS aplicación.
Resolution
Si desea permitir que solo el tráfico coincida con el específico y, a ICMP continuación, establezca el servicio en policy "application-default".
"test-icmp; index: 1" {
from any;
source any;
source-region none;
to any;
destination any;
destination-region none;
user any;
category any;
application/service 0:icmp/icmp/any/any;<<<< Application is ICMP & Protocol is ICMP
action allow;
icmp-unreachable: no
terminal yes;Dado que el campo de servicio determina el IP protocolo, cuando el servicio se establece en application-default, la regla refleja el protocolo ICMP .
Additional Information
TIP: A buenas prácticas es establecer siempre el valor predeterminado de la aplicación.