EDL (External Dynamic List), die in Sicherheitsrichtlinien konfiguriert ist und zeitweise Datenverkehr zulässt, der blockiert werden soll
6230
Created On 08/21/23 08:23 AM - Last Modified 04/19/24 09:21 AM
Symptom
Sicherheitsrichtlinien geben EDL als Quelle für das Blockieren des eingehenden Datenverkehrs an.
Gelegentlich wird zufälligen IP-Adressen in der EDL für eine zufällige Zeit temporärer Zugriff gewährt.
Environment
PANOS-10.1.8-hx, PA-5260
Cause
Es wurden mehrere EDL-Objekte konfiguriert, die auf dieselbe Quelle verweisen.
Zum Beispiel:
EDL1 - http://10.10.10.10/block-ip-list.txt (Aktualisierungstimer: 5 Min.)EDL2 - http://10.10.10.10/block-ip-list.txt (Aktualisierungstimer: 1 Stunde)
Auf diese EDLs wird dann in Sicherheitsrichtlinien verwiesen.
SecurityPolicy1:
src: EDL1 dst: 192.168.1.0/24 action: drop SecurityPolicy2:src: EDL2 dst: 192.168.2.0
/24
action: drop SecurityPolicy3:src: any dst: any
action:
allow
In diesem Szenario kann es Fälle geben, in denen Datenverkehr, der mit SecurityPolicy1
übereinstimmen soll, stattdessen mit
SecurityPolicy3 abgeglichen wird.
Ablauf und Erklärung:
1. EDL1 wird aktualisiert (gemäß dem konfigurierten Aktualisierungstimer von 5 Minuten), aber es gibt keine Änderung in der Liste, sodass die alte/zwischengespeicherte Kopie verwendet wird.
2. EDL2 wird aktualisiert (gemäß dem konfigurierten Aktualisierungstimer von 1 Stunde) und während dieser Zeit wird die Liste geändert, sodass sie an DP übertragen wird.
3. Da EDL2 an DP gepusht wird, denkt devsrvr, dass EDL1 nicht verwendet wird, damit es nicht an DP gepusht wird.
devsrv.log
2023-07-11 10:01:04.932 +1000 Warnung: pan_ebls_find_filename(pan_config_parser_ebl.c:773): ebl_filename vsys1_EDL1.ebl nicht gefunden 4.
Nach einiger Zeit wird EDL1 erneut aktualisiert und dieses Mal gibt es eine Änderung in der Liste, so dass dies an DP gepusht wird.
In der Zeit zwischen den Schritten 3 und 4 ist EDL1 nicht funktionsfähig, sodass SecurityPolicy1 nicht getroffen wird, stattdessen wird Datenverkehr, der mit SecurityPolicy1 übereinstimmen soll, mit SecurityPolicy3 abgeglichen.
Resolution
Verwenden Sie nicht mehrere EDL-Objekte, die auf dieselbe Quelle verweisen. Sie können 1 EDL-Objekt verwenden und in allen Ihren Sicherheitsrichtlinien darauf verweisen.
Dies gilt auch für die Arbeit mit Multi-VSYS-Konfigurationen. Wir können 1 gemeinsam genutztes EDL-Objekt verwenden und in allen vsys, die es benötigen, darauf verweisen.