Trafic de menaces non détecté par le pare-feu

Trafic de menaces non détecté par le pare-feu

5159
Created On 09/13/24 08:58 AM - Last Modified 10/16/25 06:27 AM


Symptom


Lorsque le trafic de menace de test est exécuté à travers le pare-feu, il ne le détecte pas comme une menace.

Exemples de génération de trafic de menaces de test :
Comment vérifier si le module de vulnérabilité fonctionne correctement Comment tester la
prévention des menaces à l’aide d’un navigateur Web Pour

savoir si le pare-feu détecte le trafic comme une menace, nous pouvons examiner la sortie des détails de la session.

> show Session ID 21834
Session 21834
c2s flow : source :
172.16.212.10 [L3-Trust]
dst : 18.206.19.26
proto : 6
sport : 64925 dport : 80
                state : DISCARD type : FLOW
src user : unknown
dst user : unknown
s2c flow :
                source : 18.206.19.26 [L3-Untrust]
dst : 10.194.45.212
proto : 6
sport : 80 dport : 1493
état : DISCARD type : FLOW
src utilisateur : inconnu
dst utilisateur : inconnu
dst heure de début : Fri Sep 13 16:33:43 2024
timeout : 90 sec
        Temps de vie : 81 s
Nombre total d’octets (C2S) : 3819
Nombre total d’octets (S2C) : 66
Nombre de paquets de couche 7 (C2S) : 10
Nombre de paquets de couche 7 (S2C) : 1
vsys : vsys1
        Application : Règle de navigation web
        : Trust-to-Untrust
        service timeout override(index) : Fausse
session à consigner à la fin : True
session dans la session ager : True
session mise à jour par l’homologue HA : Fausse
traduction d’adresse/port : source + destination
nat-rule : Trust-NAT(vsys1)
layer7 processing : filtrage d’URL terminé
activé : False
        session via syn-cookies : Fausse
session terminée sur l’hôte : Fausse
session traverse le tunnel : Fausse
session de fin de tunnel : Fausse
session de portail captif : Fausse
interface d’entrée : ethernet1/6
Interface de sortie : ethernet1/3
session Règle de qualité de service : N/A (classe 4)
        Tracker Stage Pare-feu : Atténuation TDB Reset
        Raison de fin : menace

La « raison de fin » doit être indiquée comme « menace ».
 

Environment


PANOS-11.1.3, PA-850

Cause


L’une des raisons pour lesquelles le trafic n’est pas détecté en tant que menace est que la stratégie de sécurité touchée par le trafic n’a pas de profils configurés.

secpol1.png
secpol2.png

Une autre raison peut être qu’une stratégie de remplacement d’application qui correspond au trafic de menace a été configurée.

Si une stratégie de remplacement d’application a été configurée et que les options d’analyse des applications personnalisées ne sont pas cochées, le moteur de menaces cessera d’inspecter le trafic dès que l’application personnalisée sera identifiée.

secpol3.png

 

Resolution


  • Avoir des profils de sécurité configurés dans la stratégie de sécurité
  • Assurez-vous que le trafic des menaces ne correspond pas à une politique de remplacement d’application

Additional Information


Comment vérifier si le module de vulnérabilité fonctionne correctement Comment tester la
prévention des menaces à l’aide d’un navigateur Web
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TpA3CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language