「tcp_drop_out_of_wnd」グローバルカウンターの異常な増加を緩和する方法

グローバルカウンターの異常な増加tcp_drop_out_of_wnd軽減するため。
カウンタの説明:
このカウンタtcp_drop_out_of_wnd、TCPスライディングウィンドウ外で受信したTCPパケットがドロップされたときにインクリメントされます。

パロ ・ アルトのネットワーク ファイアウォールは、シーケンスのスライディング ウィンドウ (ウィンドウ サイズは、セッション内ではトラフィックの種類に基づいています) 元の確認から始まるを作成します。 このスライド式ウィンドウ内で現在のセッション内でパケットのシーケンス番号が存在することが予想されます。 このウィンドウは、新しい ACK メッセージが受信されたときにトラフィックのタイプで調整します。 デバイスのデフォルトの動作では、シーケンス番号がこのウィンドウの外側にあるときにパケットがドロップされます。

• 次世代ファイアウォール
• tcp_drop_out_of_wnd

1. ファイアウォールの現在のTCP設定を確認します。

   > show running tcp state
   
   session with asymmetric path            : drop packet
   Bypass if OO queue limit is reached     : no
   Favor new seg data                      : no
   Urgent data                             : clear
   Drop if zero after clear urgent flag    : yes
   Check Timestamp option                  : yes
   Allow Challenge Ack                     : no
   Remove MPTCP option                     : yes

2. これらのTCPドロップの影響を受けるトラフィックを特定することが重要です。 可能であれば、トラフィック プロファイリング ツールを使用するか、このグローバル カウンタの増加のタイムスタンプと一致するネットワーク ユーザから報告された最近のトラフィックの問題を参照します。 識別が成功した場合、そのトラフィックのサンプルに対してファイアウォールで パケットキャプチャを実行すると、この問題に対する適切な恒久的な修正を実装するのに非常に役立ちます。
3. 一時的な回避策を適用して、問題を軽減できます。
   1. 影響を受けるトラフィックフローの送信元ゾーンが不明な場合、またはすべてのネットワークをカバーしている場合、以下のグローバル設定により、ファイアウォールのデータプレーントラフィックのTCPサニティチェックが無効になります。

      > configure
      # set device config setting tcp asymmetric-path bypass
      # commit
      

   2. 影響を受けるトラフィックフローの送信元ゾーンがわかっている場合は、ファイアウォールに接続されている他のすべてのゾーンに対してTCPサニティチェックを実行しながら、1つ以上の特定のゾーンからのこのタイプのトラフィックを許可するようにゾーン保護プロファイルを設定できます。
      1. [ネットワーク] > [ネットワークプロファイル] > [ゾーン保護] でゾーン保護プロファイルを作成します
      2. [Zone Protection > TCP Drop > Reject Non-SYN TCP] を [no] に設定します。
      3. ゾーン保護>TCPドロップ>非対称パスをバイパスするように設定します
      4. このプロファイルをゾーンに割り当てて、TCP チェックを無効にします。

とても重要です： これらのTCPサニティチェックを無効にすると、攻撃者が通常は破棄されるパケットを挿入する可能性があるため、セキュリティに深刻な影響を与える可能性があることに注意してください。 これらのコマンドは、これらのパケット ドロップの原因をトラブルシューティングするため、または問題に対処している間に一時的にチェックをバイパスするためにのみ設定することを推奨しますが、永続的な解決策として設定することは推奨されません。

4. ステップ 2 でパケット キャプチャを確認した結果、ドロップされたパケットがグローバル カウンタ tcp_drop_out_of_wnd にカウントされたのは、次の理由によるものであると判断された場合は、次の原因です。
   1. TCPウィンドウ関連の問題:次に、ウィンドウサイズを適切に調整し、ネットワーク上のデバイス間の互換性を確保し、他のTCPパラメータを最適化してパフォーマンスと信頼性を向上させることで、この問題に対処します。
   2. 非対称ルーティングについては、「DotW:非対称ルーティングの問題」を参照してください。
   3. ドロップされたTCPパケットのシーケンス番号がTCPスライディングウィンドウサイズ内にあるため、ファイアウォールからの予期しない動作が発生した場合は、以下の問題と対応する修正が特定のトラフィックのユースケースに適用できるかどうかを調査します。
      1. ファイアウォールがサーバーのチャレンジ確認後にクライアントからRSTをドロップする 問題と修正の詳細については、 KB2 を参照してください。
      2. PAN-216314: (PA-3200 シリーズ ファイアウォールのみ)PAN-OS 10.1.9 または PAN-OS 10.1.9-h1 にアップグレードした後、セッションがアクティブな場合でも、オフロードされたアプリケーション トラフィック セッションが切断される問題を修正しました。 これは、アプリケーションのデフォルトのセッションタイムアウト値を超えたために発生していました。 問題と修正を含むリリースの詳細については、 KB1 を参照してください。
      3. ファイアウォールは、長いTCPセッションのTCP FINまたはRSTパケットをドロップし、ACK番号がウィンドウ内にある場合でも、ウィンドウ外TCPパケットとしてマークします。 この問題は 11.1.0 で修正されています。 この問題および修正プログラムを含む他のリリースの詳細については、パロアルトネットワークスのサポートに連絡し、PAN-223080 について言及してください。