Tráfico de amenazas no detectado por el firewall

Tráfico de amenazas no detectado por el firewall

5159
Created On 09/13/24 08:58 AM - Last Modified 10/16/25 06:27 AM


Symptom


Cuando el tráfico de amenazas de prueba se ejecuta a través del firewall, no lo detecta como amenaza.

Ejemplos de cómo generar tráfico de amenazas de prueba:
Cómo verificar si el módulo de vulnerabilidades funciona correctamente
Cómo probar la prevención de amenazas usando un navegador web

Para saber si el firewall está detectando el tráfico como amenaza, podemos mirar la salida de los detalles de la sesión.

> mostrar ID de sesión 21834 Sesión 21834

Flujo c2s:
fuente: 172.16.212.10 [L3-Trust]
dst: 18.206.19.26
proto: 6
deporte: 64925 dport: 80
estado: DESCARTAR tipo: FLOW
src usuario: desconocido
Usuario DST: desconocido
Flujo S2C:
                fuente: 18.206.19.26 [L3-Untrust]
dst: 10.194.45.212
proto: 6
deporte: 80 dport: 1493
estado: DESCARTAR tipo: FLOW
src usuario: desconocido
dst usuario: desconocido
hora de inicio : Fri Sep 13 16:33:43 2024
tiempo de espera : 90 seg
        Tiempo de vida : 81 seg
Recuento total de bytes (C2S) : 3819
Recuento total de bytes (S2C) : 66
Recuento de paquetes de capa 7 (C2S) : 10
Recuento de paquetes de capa 7 (S2C) : 1
VSYS : Aplicación VSYS1
: Regla de navegación web
: Confiar para desconfiar
        service timeout override(index) : Sesión falsa que se registrará al final : Sesión verdadera

en la sesión ager : Sesión verdadera
actualizada por el par HA : Traducción de dirección/puerto falso
: Regla NAT de origen + destino
: Procesamiento de capa 7 de Trust-NAT (vsys1):
filtrado de URL completado
habilitado : Falso
        sesión a través de syn-cookies : Sesión falsa
terminada en el host : Túnel de recorrido de sesión falsa
: Túnel de terminación de sesión falso
: Sesión de portal cautivo falsa
: Interfaz de entrada falsa
: Interfaz de salida ethernet1/6
: Regla de QoS de sesión ethernet1/3
: N/A (clase 4)
        tracker stage firewall : mitigación tdb reset
end-reason : amenaza                                       

La "razón final" debe indicarse como "amenaza".
 

Environment


PANOS-11.1.3, PA-850

Cause


Una de las razones por las que el tráfico no se detecta como amenaza es que la política de seguridad afectada por el tráfico no tiene perfiles configurados.

secpol1.png
secpol2.png

Otra razón puede ser que se configuró una política de invalidación de aplicaciones que coincide con el tráfico de amenazas.

Si se ha configurado una política de anulación de aplicaciones y las opciones de análisis de aplicaciones personalizadas no están marcadas, el motor de amenazas dejará de inspeccionar el tráfico tan pronto como se identifique la aplicación personalizada.

secpol3.png

 

Resolution


  • Tener perfiles de seguridad configurados en la política de seguridad
  • Asegúrese de que el tráfico de amenazas no coincida con una política de anulación de aplicaciones

Additional Information


Cómo comprobar si el módulo de vulnerabilidades funciona correctamente
Cómo probar la prevención de amenazas mediante un navegador web
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TpA3CAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language