「なりすまし」の違いは何ですかIPアドレス」および「厳密なIPゾーンプロテクションの「アドレスチェック」
32856
Created On 09/14/21 08:18 AM - Last Modified 07/31/23 12:48 PM
Question
「なりすまし」の違いは何ですかIPアドレス」および「厳密なIPゾーンプロテクションのアドレスチェック?
Environment
- 全てPAN-OSバージョン
- Firewall
- 「Spoofed」でゾーン保護を有効にするIPアドレス」および「厳密なIPアドレスチェック」
Answer
なりすましIPアドレス チェックの動作 Firewall
- なりすましのときIPアドレスが有効になっている場合、firewallソースへの逆ルート検索を実行しますIPインターフェイスが入力インターフェイスのゾーンと同じゾーンに属しているかどうかを確認します。
- ここFirewallゾーンが同じかどうかのみをチェックし、インターフェイスが同じかどうかはチェックしません。
- Firewall スプーフィングを実行するIPスローパス段階のアドレス。 以下のデバッグ ログは、同じ例です。
Packet received at ingress stage, tag 0, type ORDERED Packet info: len 98 port 18 interface 18 vsys 1 wqe index 62184 packet 0x0xc005959a00, HA: 0, IC: 0 Packet decoded dump: L2: 00:50:56:9b:da:e4->00:50:56:9b:5f:a5, type 0x0800 IP: 20.20.20.1->10.10.10.2, protocol 1 version 4, ihl 5, tos 0x00, len 84, id 35688, frag_off 0x4000, ttl 64, checksum 8307(0x7320) ICMP: type 8, code 0, checksum 11017, id 59261, seq 1 Flow lookup, msgtype 0, wp.sport 8,wp.dport 0, wp.l4info 524288 key word0 0x10002e77d0001 word1 0 word2 0x1141414ffff0000 word3 0x0 word4 0x20a0a0affff0000 Session setup: vsys 1 No active flow found, enqueue to create session == 2021-09-14 00:02:08.767 -0700 == Packet received at slowpath stage, tag 4248029283, type ATOMIC Packet info: len 98 port 18 interface 18 vsys 1 wqe index 62184 packet 0x0xc005959a00, HA: 0, IC: 0 Packet decoded dump: L2: 00:50:56:9b:da:e4->00:50:56:9b:5f:a5, type 0x0800 IP: 20.20.20.1->10.10.10.2, protocol 1 version 4, ihl 5, tos 0x00, len 84, id 35688, frag_off 0x4000, ttl 64, checksum 8307(0x7320) ICMP: type 8, code 0, checksum 11017, id 59261, seq 1 Session setup: vsys 1 Packet dropped, IP spoof on interface ethernet1/3 Packet dropped, Session setup failed
厳しいIPアドレスチェックでの動作Firewall
- 厳しい場合IPアドレス チェックが有効になっているfirewall2 つの条件をチェックします。 次の条件のいずれかが満たされない場合、firewallパケットをドロップします。
- のfirewallソースかデスティネーションかを調べますIPネットワーク インターフェイス アドレス、ブロードキャスト アドレス、ループバック アドレス、リンクローカル アドレス、指定されていないアドレス、または将来の使用のために予約されているアドレスと同じです。
- のfirewallソースへの逆ルート検索を実行しますIP. 起源IPトラフィックの入力インターフェイスを介してルーティング可能である必要があります。 ここでfirewallゾーンではなくインターフェイス レベルでチェックを実行します。
- Firewall 「厳密な」を実行しますIPAddress" をイングレス ステージ自体に追加します。 以下のデバッグ ログは、同じ例です。
Packet received at ingress stage, tag 0, type ORDERED Packet info: len 98 port 18 interface 18 vsys 1 wqe index 62190 packet 0x0xc00722a280, HA: 0, IC: 0 Packet decoded dump: L2: 00:50:56:9b:da:e4->00:50:56:9b:5f:a5, type 0x0800 IP: 20.20.20.1->10.10.10.2, protocol 1 version 4, ihl 5, tos 0x00, len 84, id 43157, frag_off 0x4000, ttl 64, checksum 62293(0x55f3) ICMP: type 8, code 0, checksum 40388, id 52606, seq 1 source ip address in packet does not belong to interface address Packet dropped, zone protection triggered on interface ethernet1/3 - 両方が「なりすまし」の場合IPアドレス」および「厳密なIPアドレス」がゾーン保護で有効になっている場合、firewall 「厳密なため、パケットをドロップしますIPチェックはイングレス ステージ自体で行われるためです。