明示的な拒否 Policy により、一部のトラフィックが漏洩する
19287
Created On 09/24/20 21:44 PM - Last Modified 03/26/21 18:39 PM
Symptom
- A firewall は、特定の宛先へのトラフィックを明示的に拒否するセキュリティ規則で構成されます。 次の図では 、example.com へのトラフィックが拒否されています。
GUI: セキュリティ>ポリシー
- ただし、スニファー キャプチャは、この宛先へのトラフィックが許可されていることを示します。
- トラフィック ログは、宛先へのパケットが設定されたセキュリティにヒットしていることをさらに確認します。
GUI: >トラフィックの監視
Environment
- Ny PAN-OS
- パロアルトファイアウォール (両方 VM と Hardware )
- 認証ポリシー(キャプティブ ポータル)が設定されています。
- セキュリティ ポリシーが構成されました。
Cause
で認証policyが設定 firewall され、そのトラフィックに一致するトラフィックがある場合 policy は、そのトラフィックに対して設定されたアクションに関係なく、一部の policy トラフィックが通過を許可されます。
これは、認証が承認から切り離されるためです。 この最初の手がかりは、最初のトラフィックに対して '' auth- policy -redirect' のセッション終了理由' と共に上記のトラフィック ログから取得されます。
上記のトラフィックは 'policy-denyで終わります。
3 ウェイ ハンドシェイクが完了すると、エンドポイントは HTTP-GET (トラフィックの場合 HTTP ) または Server Hello (前の HTTPS スニファ キャプチャで示したように) 許可されるサーバー Hello を送信します。ホストは、認証のためにキャプティブ ポータルにリダイレクト
HTTPS されます: スニファ トレース:
キャプチャからのサーバ証明書は、ユーザが認証にリダイレクトされていることを示すキャプティブ ポータルの証明書です。 HTTPクエリの場合、リダイレクトは異なって見え、より明白です。 次のスクリーンショットのフレーム 23 は、次
の例を示 HTTP しています: スニファー トレース
: セキュリティ policy アクションは、ユーザーが認証されるまで適用されません。 ユーザが認証されると、トラフィックは拒否またはブロックされます。
Resolution
この問題を解決するには、認証ポリシーから拒否されたトラフィックを除外します。によって拒否されたトラフィックに対してトラフィック認証を必要とするユース ケースが存在することはほとんどありません policy 。 これにより、認証されるトラフィックの規模/量に応じてプロセッサ サイクルを非効率的に使用し、その後拒否されます。