Quelle est la différence entre « Adresse usurpée IP » et « Vérification stricte IP de l’adresse » dans Zone Protection
16681
Created On 09/14/21 08:18 AM - Last Modified 07/31/23 12:48 PM
Question
Quelles sont les différences entre « Adresse usurpée IP » et « Vérification stricte IP de l’adresse » dans Zone Protection ?
Environment
- Toutes les PAN-OS versions
- Firewall
- Protection de zone activée avec « Adresse usurpée IP » et « Vérification stricte IP de l’adresse »
Answer
Vérification d’adresse usurpée IP Comportement dans le Firewall
- Lorsque l’adresse usurpée IP est activée, le firewall effectue une recherche d’itinéraire inverse vers la source IP et vérifie si l’interface appartient à la même zone que la zone d’entrée.
- Ici Firewall , vérifie seulement si les zones sont les mêmes et il ne vérifie pas si l’interface est la même ou non.
- Firewall exécute l’adresse usurpée IP dans l’étape slowpath. Ci-dessous le journal de débogage est un exemple pour la même chose.
Packet received at ingress stage, tag 0, type ORDERED Packet info: len 98 port 18 interface 18 vsys 1 wqe index 62184 packet 0x0xc005959a00, HA: 0, IC: 0 Packet decoded dump: L2: 00:50:56:9b:da:e4->00:50:56:9b:5f:a5, type 0x0800 IP: 20.20.20.1->10.10.10.2, protocol 1 version 4, ihl 5, tos 0x00, len 84, id 35688, frag_off 0x4000, ttl 64, checksum 8307(0x7320) ICMP: type 8, code 0, checksum 11017, id 59261, seq 1 Flow lookup, msgtype 0, wp.sport 8,wp.dport 0, wp.l4info 524288 key word0 0x10002e77d0001 word1 0 word2 0x1141414ffff0000 word3 0x0 word4 0x20a0a0affff0000 Session setup: vsys 1 No active flow found, enqueue to create session == 2021-09-14 00:02:08.767 -0700 == Packet received at slowpath stage, tag 4248029283, type ATOMIC Packet info: len 98 port 18 interface 18 vsys 1 wqe index 62184 packet 0x0xc005959a00, HA: 0, IC: 0 Packet decoded dump: L2: 00:50:56:9b:da:e4->00:50:56:9b:5f:a5, type 0x0800 IP: 20.20.20.1->10.10.10.2, protocol 1 version 4, ihl 5, tos 0x00, len 84, id 35688, frag_off 0x4000, ttl 64, checksum 8307(0x7320) ICMP: type 8, code 0, checksum 11017, id 59261, seq 1 Session setup: vsys 1 Packet dropped, IP spoof on interface ethernet1/3 Packet dropped, Session setup failed
Strict IP Comportement de vérification des adresses dans le Firewall
- Lorsque la vérification stricte IP des adresses est activée, les firewall contrôles 2 conditions. Si l’une des conditions suivantes échoue, le firewall paquet sera abandonné.
- Le firewall vérifie si la source ou la destination IP est identique à l’adresse de l’interface réseau, à l’adresse de diffusion, à l’adresse de bouclage, à l’adresse locale de la liaison, à l’adresse non spécifiée ou réservée pour une utilisation ultérieure.
- Le firewall effectuera une recherche d’itinéraire inverse vers la source IP. La source IP doit être routable sur l’interface d’entrée du trafic. Ici, le vérifiera au niveau de l’interface firewall et non sur la zone.
- Firewall effectuera l'« adresse stricte IP » à l’étape d’entrée elle-même. Ci-dessous le journal de débogage est un exemple pour la même chose.
Packet received at ingress stage, tag 0, type ORDERED Packet info: len 98 port 18 interface 18 vsys 1 wqe index 62190 packet 0x0xc00722a280, HA: 0, IC: 0 Packet decoded dump: L2: 00:50:56:9b:da:e4->00:50:56:9b:5f:a5, type 0x0800 IP: 20.20.20.1->10.10.10.2, protocol 1 version 4, ihl 5, tos 0x00, len 84, id 43157, frag_off 0x4000, ttl 64, checksum 62293(0x55f3) ICMP: type 8, code 0, checksum 40388, id 52606, seq 1 source ip address in packet does not belong to interface address Packet dropped, zone protection triggered on interface ethernet1/3 - Si « Adresse usurpéeIP » et « Adresse stricte » sont activés dans la protection de zone, le firewall supprimera le paquet en raison de « Adresse stricte IP IP » car la vérification se produit à l’étape d’entrée elle-même.