La denegación explícita Policy permite que se filtre algo de tráfico
19293
Created On 09/24/20 21:44 PM - Last Modified 03/26/21 18:39 PM
Symptom
- A firewall se configura con una regla de seguridad que deniega explícitamente el tráfico a determinados destinos. En la siguiente ilustración, se deniega el tráfico a example.com:
GUI: Políticas > seguridad
- Sin embargo, una captura del sniffer indica que el tráfico a este destino se está permitiendo:
- Los registros de tráfico confirman aún más que los paquetes al destino están golpeando la seguridad configurada:
GUI: Supervisar el tráfico >
Environment
- UnaNY PAN-OS
- Firewalls de Palo Alto (Ambos VM y Hardware )
- Directivas de autenticación (portal cautivo) configuradas.
- Directivas de seguridad configuradas.
Cause
Siempre que se configura una autenticación policy en el firewall y hay una coincidencia de tráfico en eso , parte del tráfico se permite a policy través independientemente de la acción establecida policy para ese tráfico.
Esto se debe a que la autenticación se desacopla de la autorización. La primera pista de esto es de los registros de tráfico mostrados arriba con 'Razón finalde sesión ' de 'auth- policy -redirect' para el primer tráfico.
El tráfico anterior termina con 'policy-deny.'
Una vez completado el apretón de manos de 3 vías, el punto final envía un HTTP-GET (para HTTP el tráfico) o el saludo del servidor (en el caso HTTPS de) que se permite (como se muestra en la captura anterior del sniffer.) A continuación, el host se redirige al portal cautivo para la autenticación:
Seguimiento del sniffer HTTPS para:
El certificado del servidor de la captura es el del portal cautivo que indica que el usuario está siendo redirigido para autenticar. Para HTTP las consultas, la redirección se ve diferente y es más obvia. El fotograma 23 en la captura de pantalla siguiente ilustra esto:
Seguimiento del sniffer HTTP para:
La acción de seguridad policy no se aplica hasta después de que el usuario se autentique. Una vez que el usuario autentica, el tráfico se deniega o se bloquea.
Resolution
La solución a esto es excluir el tráfico denegado de las directivas de autenticación.Tenga en cuenta que rara vez hay ningún caso de uso que requiera autenticación de tráfico para el tráfico que es denegado por policy . Esto da lugar a un uso ineficiente del ciclo del procesador dependiendo de la escala/cantidad de tráfico que se autentica y posteriormente se deniega.