¿Cuál es la diferencia entre "Dirección falsificada IP " y "Comprobación estricta IP de direcciones" en Protección de zona?
16695
Created On 09/14/21 08:18 AM - Last Modified 07/31/23 12:48 PM
Question
¿Cuáles son las diferencias entre "Dirección falsificada IP " y "Comprobación estricta IP de direcciones" en Protección de zona?
Environment
- Toda la PAN-OS versión
- Firewall
- Protección de zona habilitada con "Dirección falsificada IP " y "Comprobación estricta IP de dirección"
Answer
Comprobación de dirección falsificada IP Comportamiento en el Firewall
- Cuando la dirección falsificada IP está habilitada, el firewall realizará una búsqueda de ruta inversa al origen IP y verificará si la interfaz pertenece a la misma zona que la zona de la interfaz de entrada.
- Aquí Firewall solo comprueba si las zonas son las mismas y no comprueba si la interfaz es la misma o no.
- Firewall realiza la dirección Spoofed IP en la etapa slowpath. Debajo del registro de depuración hay un ejemplo de lo mismo.
Packet received at ingress stage, tag 0, type ORDERED Packet info: len 98 port 18 interface 18 vsys 1 wqe index 62184 packet 0x0xc005959a00, HA: 0, IC: 0 Packet decoded dump: L2: 00:50:56:9b:da:e4->00:50:56:9b:5f:a5, type 0x0800 IP: 20.20.20.1->10.10.10.2, protocol 1 version 4, ihl 5, tos 0x00, len 84, id 35688, frag_off 0x4000, ttl 64, checksum 8307(0x7320) ICMP: type 8, code 0, checksum 11017, id 59261, seq 1 Flow lookup, msgtype 0, wp.sport 8,wp.dport 0, wp.l4info 524288 key word0 0x10002e77d0001 word1 0 word2 0x1141414ffff0000 word3 0x0 word4 0x20a0a0affff0000 Session setup: vsys 1 No active flow found, enqueue to create session == 2021-09-14 00:02:08.767 -0700 == Packet received at slowpath stage, tag 4248029283, type ATOMIC Packet info: len 98 port 18 interface 18 vsys 1 wqe index 62184 packet 0x0xc005959a00, HA: 0, IC: 0 Packet decoded dump: L2: 00:50:56:9b:da:e4->00:50:56:9b:5f:a5, type 0x0800 IP: 20.20.20.1->10.10.10.2, protocol 1 version 4, ihl 5, tos 0x00, len 84, id 35688, frag_off 0x4000, ttl 64, checksum 8307(0x7320) ICMP: type 8, code 0, checksum 11017, id 59261, seq 1 Session setup: vsys 1 Packet dropped, IP spoof on interface ethernet1/3 Packet dropped, Session setup failed
Estricto IP Comportamiento de comprobación de direcciones en el Firewall
- Cuando la verificación estricta IP de direcciones está habilitada, las firewall comprobaciones 2 condiciones. Si alguna de las siguientes condiciones falla, se firewall descartará el paquete.
- El firewall comprueba si el origen o el destino IP es el mismo que la dirección de interfaz de red, la dirección de difusión, la dirección de bucle invertido, la dirección local de vínculo, la dirección no especificada o reservada para uso futuro.
- El firewall realizará una búsqueda de ruta inversa al origen IP. El origen IP debe ser enrutable a través de la interfaz de entrada del tráfico. Aquí se firewall realizará la comprobación en el nivel de interfaz y no en la zona.
- Firewall realizará la "Dirección estricta IP " en la propia etapa de ingreso. Debajo del registro de depuración hay un ejemplo de lo mismo.
Packet received at ingress stage, tag 0, type ORDERED Packet info: len 98 port 18 interface 18 vsys 1 wqe index 62190 packet 0x0xc00722a280, HA: 0, IC: 0 Packet decoded dump: L2: 00:50:56:9b:da:e4->00:50:56:9b:5f:a5, type 0x0800 IP: 20.20.20.1->10.10.10.2, protocol 1 version 4, ihl 5, tos 0x00, len 84, id 43157, frag_off 0x4000, ttl 64, checksum 62293(0x55f3) ICMP: type 8, code 0, checksum 40388, id 52606, seq 1 source ip address in packet does not belong to interface address Packet dropped, zone protection triggered on interface ethernet1/3 - Si tanto "Dirección falsificadaIP" como "Dirección estricta" están habilitadas en la protección de zona, entonces se firewall eliminará el paquete debido a "Dirección estricta IP IP" ya que la verificación ocurre en la etapa de ingreso.