Le refus explicite Policy permet à certains trafics de fuir
19303
Created On 09/24/20 21:44 PM - Last Modified 03/26/21 18:39 PM
Symptom
- A firewall est configuré avec une règle de sécurité qui refuse explicitement le trafic vers certaines destinations. Dans l’illustration ci-dessous, le trafic vers example.com est refusé :
GUI: Politiques > sécurité
- Toutefois, une capture de renifleur indique que le trafic vers cette destination est autorisé :
- Les journaux de trafic confirment en outre que les paquets vers la destination sont en train d’atteindre la sécurité configurée :
GUI: Surveiller > trafic
Environment
- ANY PAN-OS
- Palo Alto Firewalls (À la fois VM et Hardware )
- Stratégies d’authentification (Portail captif) configurées.
- Stratégies de sécurité configurées.
Cause
Chaque fois qu’une policy authentification est configurée sur le et il ya une correspondance de trafic à ce sujet , une partie firewall du trafic est autorisé à travers indépendamment de policy policy l’action définie pour ce trafic.
C’est parce que l’authentification est découplée de l’autorisation. Le premier indice de ceci est des journaux de trafic montrés ci-dessus avec 'Session End Reason' de 'auth- policy -rediriger' pour le premier trafic.
Le trafic précédent se termine par 'policy-deny.'
Une fois la poignée de main à 3 voies terminée, le point final envoie un HTTP-GET (pour HTTP le trafic) ou Server Hello (dans le cas de ) qui est autorisé (comme représenté dans la capture HTTPS renifleur plus tôt.) L’hôte est ensuite redirigé vers le portail captif pour l’authentification :
Trace sniffer HTTPS pour :
Le certificat serveur de la capture est celui de Captive Portal indiquant que l’utilisateur est redirigé pour s’authentifier. Pour HTTP les requêtes, la redirection semble différente et est plus évidente. Cadre 23 dans la capture d’écran ci-dessous illustre ceci:
Sniffer trace HTTP pour: L’action
de policy sécurité n’est pas appliquée jusqu’à ce que l’utilisateur authentifie. Une fois que l’utilisateur s’authentifie, le trafic est refusé ou bloqué.
Resolution
La solution est d’exclure le trafic refusé des politiques d’authentification.Notez qu’il ya rarement un cas d’utilisation qui nécessite l’authentification du trafic pour le trafic qui est refusé par policy . Il en résulte une utilisation inefficace du cycle du processeur en fonction de l’ampleur/quantité de trafic authentifiée et refusée par la suite.