EDL (External Dynamic List) configurada en políticas de seguridad de forma intermitente permitiendo el tráfico que debe ser bloqueado
6238
Created On 08/21/23 08:23 AM - Last Modified 04/19/24 09:21 AM
Symptom
Políticas de seguridad especifica EDL como origen para bloquear el tráfico entrante.
Ocasionalmente, a las IP aleatorias en la EDL se les permite el acceso temporal durante un tiempo aleatorio.
Environment
PANOS-10.1.8-hx, PA-5260
Cause
Se han configurado varios objetos EDL que apuntan a la misma fuente.
Por ejemplo:
EDL1 - http://10.10.10.10/block-ip-list.txt (Temporizador de actualización: 5 min)EDL2 - http://10.10.10.10/block-ip-list.txt (Temporizador de actualización: 1 hora)
A continuación,
se hace referencia a estas EDL en las políticas de seguridad.
SecurityPolicy1:
src: EDL1 dst: 192.168.1.0/24 action: drop SecurityPolicy2:src: EDL2 dst: 192.168.2.0
/24
action: drop SecurityPolicy3:src: any dst: any
action:
allow
En este escenario, puede haber casos en los que el tráfico que se supone que coincide con SecurityPolicy1
coincida con
SecurityPolicy3 en su lugar.
Secuencia de eventos y explicación:
1. EDL1 se actualiza (según el temporizador de actualización configurado de 5 minutos) pero no hay cambios en la lista, por lo que se utiliza la copia antigua / en caché.
2. EDL2 se actualiza (según el temporizador de actualización configurado de 1 hora) y durante este tiempo hay un cambio en la lista, por lo que se envía a DP.
3. A medida que EDL2 se envía a DP, devsrvr piensa que EDL1 no se usa, por lo que no se envía a DP.
devsrv.log
2023-07-11 10:01:04.932 +1000 Advertencia: pan_ebls_find_filename(pan_config_parser_ebl.c:773): ebl_filename vsys1_EDL1.ebl no encontrado 4.
Después de algún tiempo, EDL1 se actualiza nuevamente y esta vez hay un cambio en la lista, por lo que se envía a DP.
En el tiempo entre los pasos 3 y 4, EDL1 no será funcional, por lo que SecurityPolicy1 no se verá afectado, sino que el tráfico que se supone que coincide con SecurityPolicy1 se emparejará con SecurityPolicy3.
Resolution
No utilice varios objetos EDL que hagan referencia a la misma fuente. Puede utilizar 1 objeto EDL y hacer referencia a esto en todas sus políticas de seguridad.
Esto también se aplica cuando se trabaja con configuraciones multi-vsys. Podemos usar 1 objeto EDL compartido y hacer referencia a esto en todos los vsys que lo necesiten.