Explizite Verweigerung Policy lässt zu, dass etwas Datenverkehr durchsickert
19297
Created On 09/24/20 21:44 PM - Last Modified 03/26/21 18:39 PM
Symptom
- A firewall ist mit einer Sicherheitsregel konfiguriert, die den Datenverkehr zu bestimmten Zielen explizit verweigert. In der folgenden Abbildung wird der Datenverkehr zu example.com verweigert:
GUI: Richtlinien > Sicherheit
- Eine Sniffererfassung zeigt jedoch an, dass Datenverkehr zu diesem Ziel zulässig ist:
- Verkehrsprotokolle bestätigen ferner, dass Pakete an das Ziel die konfigurierte Sicherheit treffen:
GUI: Überwachung > Datenverkehrs
Environment
- Any PAN-OS
- Palo Alto Firewalls (beide VM und Hardware )
- Authentifizierungsrichtlinien (Captive Portal) konfiguriert.
- Sicherheitsrichtlinien konfiguriert.
Cause
Wenn eine Authentifizierung policy für die konfiguriert ist firewall und eine Datenverkehrsübereinstimmung darauf vorhanden policy ist, wird ein Teil des Datenverkehrs unabhängig von der policy für diesen Datenverkehr festgelegten Aktion zugelassen.
Dies liegt daran, dass die Authentifizierung von der Autorisierung entkoppelt ist. Der erste Hinweis darauf ist von den oben gezeigten Verkehrsprotokollen mit 'Session End Reason' von 'auth- policy -redirect' für den ersten Datenverkehr.
Der vorhergehende Datenverkehr endet mit 'policy-deny.'
Sobald der 3-Wege-Handshake abgeschlossen ist, sendet der Endpunkt eine HTTP-GET (für HTTP Datenverkehr) oder Server Hello (im Fall von ), die HTTPS zulässig ist (wie in der früheren Sniffer-Erfassung dargestellt). Der Host wird dann zur Authentifizierung an das Captive-Portal umgeleitet:
Sniffer-Ablaufverfolgung für HTTPS :
Das Serverzertifikat aus der Erfassung ist das von Captive Portal, das angibt, dass der Benutzer zur Authentifizierung umgeleitet wird. Bei HTTP Abfragen sieht die Umleitung anders aus und ist offensichtlicher. Frame 23 im Screenshot unten veranschaulicht dies:
Sniffer-Ablaufverfolgung für HTTP :
Die policy Sicherheitsaktion wird erst angewendet, nachdem sich der Benutzer authentifiziert hat. Sobald sich der Benutzer authentifiziert, wird der Datenverkehr verweigert oder blockiert.
Resolution
Die Lösung hierfür besteht darin, verweigerten Datenverkehr von Authentifizierungsrichtlinien auszuschließen.Beachten Sie, dass es selten Anwendungsfall gibt, der eine Datenverkehrsauthentifizierung für Datenverkehr erfordert, der von verweigert policy wird. Dies führt zu einer ineffizienten Nutzung des Prozessorzyklus, abhängig von der Skalierung/Menge des Datenverkehrs, der authentifiziert und anschließend verweigert wird.