Was ist der Unterschied zwischen "Spoofed IP address" und "Strict IP Address Check" im Zonenschutz?
16671
Created On 09/14/21 08:18 AM - Last Modified 07/31/23 12:48 PM
Question
Was sind die Unterschiede zwischen "Spoofed IP address" und "Strict IP Address Check" im Zonenschutz?
Environment
- Alle PAN-OS Versionen
- Firewall
- Zonenschutz aktiviert mit "Spoofed IP address" und "Strict IP Address Check"
Answer
Überprüfung gefälschter IP Adressen Verhalten in der Firewall
- Wenn die gefälschte Adresse aktiviert ist, führt die eine umgekehrte IP Routensuche zur Quelle durch und überprüft, ob die Schnittstelle zur gleichen IP Zone wie die firewall Zone der Eingangsschnittstelle gehört.
- Hier Firewall prüft nur, ob die Zonen gleich sind und es wird nicht geprüft, ob die Schnittstelle gleich ist oder nicht.
- Firewall führt die gefälschte IP Adresse in der slowpath-Phase aus. Das folgende Debug-Protokoll ist ein Beispiel dafür.
Packet received at ingress stage, tag 0, type ORDERED Packet info: len 98 port 18 interface 18 vsys 1 wqe index 62184 packet 0x0xc005959a00, HA: 0, IC: 0 Packet decoded dump: L2: 00:50:56:9b:da:e4->00:50:56:9b:5f:a5, type 0x0800 IP: 20.20.20.1->10.10.10.2, protocol 1 version 4, ihl 5, tos 0x00, len 84, id 35688, frag_off 0x4000, ttl 64, checksum 8307(0x7320) ICMP: type 8, code 0, checksum 11017, id 59261, seq 1 Flow lookup, msgtype 0, wp.sport 8,wp.dport 0, wp.l4info 524288 key word0 0x10002e77d0001 word1 0 word2 0x1141414ffff0000 word3 0x0 word4 0x20a0a0affff0000 Session setup: vsys 1 No active flow found, enqueue to create session == 2021-09-14 00:02:08.767 -0700 == Packet received at slowpath stage, tag 4248029283, type ATOMIC Packet info: len 98 port 18 interface 18 vsys 1 wqe index 62184 packet 0x0xc005959a00, HA: 0, IC: 0 Packet decoded dump: L2: 00:50:56:9b:da:e4->00:50:56:9b:5f:a5, type 0x0800 IP: 20.20.20.1->10.10.10.2, protocol 1 version 4, ihl 5, tos 0x00, len 84, id 35688, frag_off 0x4000, ttl 64, checksum 8307(0x7320) ICMP: type 8, code 0, checksum 11017, id 59261, seq 1 Session setup: vsys 1 Packet dropped, IP spoof on interface ethernet1/3 Packet dropped, Session setup failed
Streng IP Verhalten bei der Adressprüfung im Firewall
- Wenn die strikte Adressprüfung aktiviert ist, prüft die IP firewall Prüfung 2 Bedingungen. Wenn eine der folgenden Bedingungen fehlschlägt firewall , wird das Paket verworfen.
- Überprüft firewall , ob die Quelle oder das Ziel IP mit der Netzwerkschnittstellenadresse, der Broadcast-Adresse, der Loopback-Adresse, der Link-lokalen Adresse, der nicht angegebenen Adresse oder für die zukünftige Verwendung reserviert ist.
- Der firewall führt eine umgekehrte Routensuche zur Quelle IPdurch. Die Quelle IP muss über die Eingangsschnittstelle des Datenverkehrs routingfähig sein. Hier wird die firewall Prüfung auf Schnittstellenebene und nicht auf Zonenebene durchgeführt.
- Firewall führt die "Strict IP Address" in der Eingangsphase selbst durch. Das folgende Debug-Protokoll ist ein Beispiel dafür.
Packet received at ingress stage, tag 0, type ORDERED Packet info: len 98 port 18 interface 18 vsys 1 wqe index 62190 packet 0x0xc00722a280, HA: 0, IC: 0 Packet decoded dump: L2: 00:50:56:9b:da:e4->00:50:56:9b:5f:a5, type 0x0800 IP: 20.20.20.1->10.10.10.2, protocol 1 version 4, ihl 5, tos 0x00, len 84, id 43157, frag_off 0x4000, ttl 64, checksum 62293(0x55f3) ICMP: type 8, code 0, checksum 40388, id 52606, seq 1 source ip address in packet does not belong to interface address Packet dropped, zone protection triggered on interface ethernet1/3 - Wenn sowohl "Spoofed IP address" als auch "Strict Address" im Zonenschutz aktiviert sind, wird das firewall Paket aufgrund von "Strict IP IP Address" verworfen, da die Prüfung in der Eingangsphase selbst erfolgt.