TCP Poignée de main 3-Way est autorisé à correspondre à une sécurité Policy qui permet l’application ICMP " et le service ANY »
22825
Created On 03/21/19 23:01 PM - Last Modified 03/26/21 18:22 PM
Symptom
À partir des journaux de trafic et des détails de session sur le navigateur de session, CLI a observé que certaines TCP connexions de poignée de main à trois voies correspondent à une règle de sécurité qui ne permet que l’application ICMP .
Par exemple, une session telnet pour example.com sur le port 80 est autorisée grâce à cette policy sécurité.
admin@PA> show session id 136043 Session 136043 c2s flow: source: 192.168.243.55 [Trust-Zone] dst: 93.184.216.34 proto: 6 sport: 53792 dport: 80 state: ACTIVE type: FLOW src user: unknown dst user: unknown s2c flow: source: 93.184.216.34 [Untrust] dst: 10.129.82.243 proto: 6 sport: 80 dport: 28507 state: ACTIVE type: FLOW src user: unknown dst user: unknown qos node: ethernet1/1, qos member N/A Qid 0 start time : Fri Dec 28 17:44:52 2018 timeout : 3600 sec time to live : 3569 sec total byte count(c2s) : 264 total byte count(s2c) : 264 layer7 packet count(c2s) : 4 layer7 packet count(s2c) : 4 vsys : vsys1 application : undecided <<<< Application is still undecided rule : test-icmp <<<< Rule is the security policy allowing ICMP service timeout override(index) : False application db : 0 app.id : c2s node (0, 0) s2s node (0, 0) session to be logged at end : True session in session ager : True session updated by HA peer : False address/port translation : source nat-rule : Outbound(vsys1) layer7 processing : enabled URL filtering enabled : True URL category : any session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/1 egress interface : ethernet1/2 session QoS rule : N/A (class 4) end-reason : unknown
Environment
Le firewall a une règle de sécurité avec une non- / application TCP UDP (par exemple, ) et le service mis à « . » poignées de main sont observateur comme étant autorisé par cette règle au ICMP lieu ANY
TCP d’une règle plus appropriée plus loin dans la base de règles.
Cause
Ce comportement se produit lorsque le service est défini à ANY " sur la sécurité policy .
En regardant la sécurité policy de , vous pouvez voir ce qui CLI suit:
admin@PA> show running security-policy
"test-icmp; index: 1" {
from any;
source any;
source-region none;
to any;
destination any;
destination-region none;
user any;
category any;
application/service 0:icmp/any/any/any; <<<< Application is ICMP, & Protocol IS ANY
action allow;
icmp-unreachable: no
terminal yes;Bien ICMP qu’il s’agit d’un protocole, il ya une signature d’application spécifiquement pour l’application ICMP . Par conséquent, tant que l’application d’une session est indécise, le trafic continuera à correspondre à la sécurité permettant policy l’application ICMP et le service d’être mis à " ANY . »
Le IP protocole est déterminé par le service dans et non par PAN-OS l’application.
Resolution
Si vous souhaitez autoriser uniquement le trafic ICMP correspondant au policy spécifique, définissez le service en « application par défaut ».
"test-icmp; index: 1" {
from any;
source any;
source-region none;
to any;
destination any;
destination-region none;
user any;
category any;
application/service 0:icmp/icmp/any/any;<<<< Application is ICMP & Protocol is ICMP
action allow;
icmp-unreachable: no
terminal yes;Étant donné que le champ de service détermine IP le protocole, lorsque le service est défini comme une application par défaut, la règle reflète le protocole ICMP .
Additional Information
TIP: A bonnes pratiques est de toujours définir l’application par défaut.