Cómo mitigar el problema alto debido al alto DP CPU uso de la aplicación

• Palo Alto Firewall
• DP CPU
• Uso de la aplicación

1. Identifique qué puertos, origen IP y destino IP utiliza esta aplicación.
   1. Vaya a su FW UI Monitor > Registros > tráfico.
   2. Filtrar según: (app eq <nombre de la aplicación>)
2. Consulte applipedia para obtener más información sobre la aplicación de alto uso y sobre sus puertos estándar.
3. Compruebe si el aumento o pico de tráfico de esta aplicación se espera o no en su red:
   1. Si es necesario, considere:
      1. Cambiar la ruta de red de este tráfico para omitir el FWarchivo .
      2. Cambiar la configuración o la configuración del origen del tráfico para reducir la cantidad de este tráfico.
      3. Cambiar la hora programada de este flujo de tráfico si es posible para que esté fuera de las horas pico.
      4. Configurar y aplicar QoS para evitar que el tráfico de esta aplicación afecte a FWlos recursos de en el futuro
   2. Si es inesperado, entonces:
      1. Elimine el tráfico de su red.
      2. Bloquee el tráfico para que no llegue a su FWarchivo .
      3. Utilice la zona y DOS la FW protección contra el tráfico de aplicaciones infractoras.
4. Compruebe si sus FW soportes HW descargan; Si es así, compruebe si la descarga está habilitada.    
   1. Hardware la descarga es compatible con los siguientes firewalls: PA-3200 Series, Series, PA-5200 PA-7000 Series y PA-5450 firewall.
   2. Para comprobar si HW la descarga está habilitada.

      > show session info | match offload 

   3. Para habilitar HW la descarga

      > set session offload yes

   4. Los VM-FW de la serie que ejecutan la versión 10.1.0 en adelante pueden admitir la descarga inteligente de tráfico.
   5. A sesión que ya no envía paquetes al para el procesamiento L7, se considera descargado y el CPU proceso layer7 se muestra como completado en la salida de :

      > show session id <id#> 

5. Compruebe si el total de sesiones durante el alta DP CPU superó las sesiones admitidas de su FW plataforma.Si se espera esta gran cantidad de sesiones, considere actualizar a FW plataformas de mayor capacidad.
6. Si el tráfico es legítimo, esperado y confiable, entonces:
   1. Agregar una regla de seguridad por encima de la regla actual que está alcanzando, pero con menos perfiles de seguridad policy habilitados en la pestaña Acciones de la regla; o,
   2. Marque la casilla de verificación (deshabilitar la inspección de respuesta del servidor) en la regla de seguridad policy que solo permite este tráfico de aplicación, esto deshabilitará la inspección de capa 7 en la DSRI dirección de servidor a cliente del flujo de tráfico y solo debe configurarse en reglas en las que el tráfico del servidor sea de confianza; o bien,
   3. Considere la posibilidad de usar una invalidación de aplicaciones para este tráfico a fin de reducir la carga de los DP recursos. Tenga en cuenta que esto significa que este tráfico evitaría la inspección de contenido. La anulación de aplicaciones debe ser una solución de último recurso y solo debe usarse como un enfoque temporal para reducir el CPU uso.
7. Además de los pasos anteriores y en función de la aplicación que se sospecha que está causando el altoDP CPU, verifique los pasos o notas que se enumeran a continuación en relación con cada aplicación: syslog, paloalto-logging-service, unknown-udp, meraki-cloud-controller, ssl, dns-base, crowdstrike, paloalto-updates, google-base, open-vpn, ping, vmware, ms-ds-smbv2, ms-ds-smbv3, ipsec-esp-udp, ms-update, netflow, rtsp, rtp-base, rtcp, navegación web, panorama.

1. syslog
   1. Si el tráfico syslog proviene del a continuación, considere reducir este tráfico cambiando la FW FW configuración.
   2. FW Si los registros ya se están enviando a Panorama, considere la posibilidad de enviar registros al servidor syslog Panorama desde en lugar de directamente desde Firewall.

Nota 1: Al observar el inicio de la sesión en los registros de tráfico, verifique si la sesión de syslog fue de muy larga duración (tal vez días o incluso semanas) y luego se cerró recientemente, esto podría mostrar un aumento en el ACC uso de la aplicación syslog que se esperaría y no debería ser alarmante.
Nota 2: Denegar el tráfico syslog UDP puede provocar un uso elevado DP de recursos . Es mejor permitir el tráfico o enrutar ese tráfico para evitarlo FW.

2. paloalto-logging-service
   1. Compruebe si el origen o Panorama el origen de este tráfico están configurados correctamente y considere la posibilidad de reducir la cantidad de registros enviados a Cortex Data Lake (CDL) en función de la gravedad del registro, el FW tipo de registro y las reglas de seguridad policy que registran.
3. desconocido-udp
   1. Cree aplicaciones personalizadas para las aplicaciones no reconocidas por el e identificadas como unknown-udp para permitir las aplicaciones legítimas, denegar las aplicaciones no deseadas y, dependiendo de la naturaleza y el FW uso de la app(s), compruebe si debería considerar aplicarles una anulación de aplicación .
   2. Si una aplicación fue reconocida previamente por el FW y dejó de ser reconocida después de una actualización de contenido, vuelva a revertir la actualización de contenido y abra un ticket de soporte técnico para informar y solucionar este problema.
4. meraki-cloud-controller
   1. Compruebe si el tráfico de la aplicación meraki-cloud-controller es de confianza en su red y si puede considerar aplicarle una anulación de aplicaciones.
5. Ssl
   1. El SSL tráfico, si no se descifra, se descarga y, por lo tanto, no debería ser el principal contribuyente del alto uso de los recursos del plano de datos si el número total de sesiones recibidas en el FW está dentro del límite de lo que admite la plataforma. En ese caso, se recomienda investigar las otras aplicaciones de alto uso.
   2. Si SSL el tráfico se está descifrando en el entonces durante el tiempo de high-dp CPU compruebe si el firewall valor en la salida de :

      > show session all filter ssl-decrypt yes count yes 

      en cualquier momento excede el número máximo de sesiones de descifrado simultáneo de la plataforma y, de ser así, considere cambiar su firewall configuración para reducir la cantidad de tráfico descifrado creando una regla de exclusión de descifrado para el tráfico exento de descifrado o planee actualizar su FW a una plataforma de mayor capacidad.
6. base DNS
   1. Si se descubre que el aumento o el aumento del tráfico basado en DNS es malicioso o inesperado en su red, comprenda los principales ataques basados en DNS que su organización debe conocer y las formas de mitigarlos.
7. Crowdstrike
   1. Compruebe si el tráfico de la aplicación crowdstrike es de confianza en su red y si puede considerar aplicarle una anulación de aplicación.
8. paloalto-actualizaciones
   1. Programe las actualizaciones durante las horas no pico.
   2. Si considera el uso de la anulación de aplicaciones, base sus reglas en los servidores oficiales de actualización de Palo Alto Networks.
9. Google base
   1. Consulte la solución 5 anterior. De lo contrario, si el total de sesiones está dentro del límite admitido, considere investigar otras aplicaciones de alto uso.
10. Open-VPN
    1. El abierto-VPN, si no se descifra se descarga y es así no debe ser el principal contribuyente al alto FW uso de recursos. En un escenario en el que el servidor open-vpn se encuentra detrás del , deshabilite SSL el descifrado entrante para estas conexiones en el , y deje que el servidor open-vpn realice el proceso de descifrado solo; después de que el servidor open-vpn haya descifrado el tráfico, reenvíe el firewall firewallfirewalltráfico de texto no cifrado al para su inspección.
11. ping
    1. Hay al menos cuatro áreas en la protección de zonas que pueden abordar específicamente el ICMP problema:
       1. Protección contra inundaciones de ICMP / ICMPv6.
       2. Protección contra ataques basada en paquetes de ICMP / ICMPv6.
       3. Configure la protección DoS.
       4. De todas las soluciones presentadas aquí, Packet Buffer Protection es la más fácil de implementar entre las tres.
12. Vmware
    1. Si se espera tráfico, considere la solución presentada en 3.a arriba.
13. ms-ds-smbv2
    1. Esta aplicación, si se recibe con una gran cantidad por parte del puede potencialmente utilizar sus recursos, FW considere configurar una anulación de aplicación para este tráfico.
    2. Compruebe si SMB está utilizando la compresión de archivos filtrando el tráfico de acuerdo con esa aplicación en Monitor > Packet Capture y luego emitiendo el siguiente comando de CLI:

       > show counter global filter packet-filter yes delta yes | match zip

       Según el resultado de los contadores, debería poder concluir si SMB el tráfico se está comprimiendo y, en caso afirmativo, deshabilitarlo en el SMB lateral.Esto debería reducir los CPU ciclos para SMB.
14. ms-ds-smbv3
    1. Palo Alto Networks recomienda deshabilitar SMB la división multicanal de archivos a través de Windows PowerShell para obtener la máxima protección e inspección de archivos.
    2. Si sigue viendo Alto después del DP CPU paso n. A A continuación, utilice el mismo enfoque que el enumerado para MS-DS-SMBv2 anterior.
15. IPsec-ESP-UDP
    1. Solucionar problemas de alta DP CPU Debido al tráfico IPsec para comprobar si es la causa detrás del alto DP CPU (demasiada encapsulación/desencapsulación, operaciones de túnel, etc.):
       Tenga en cuenta que la configuración de cifrado de menor intensidad y/o algoritmo de cifrado en el túnel iniciado o terminado en el puede reducir FWla VPN FW carga de procesamiento de en algunos casos.
       Para una gran cantidad de tráfico IPsec que pasa a través de la firewall causa Alto DP CPU use Cómo solucionar problemas de High Dataplane CPU.
    2. Las sesiones de tráfico marcadas como la aplicación 'ipsec-esp-udp' también pueden ser sesiones de sus usuarios (puerto 4501) en ese caso, asegúrese de que su firewall configuración no exceda el número máximo de túneles admitidos y siga los pasos que se pueden seguir para aumentar el rendimiento debido al mayor número de GlobalProtect VPN Firewall GlobalProtect VPN GlobalProtect conexiones VPN  (aproveche la función de túnel dividido, no tunelice el tráfico de video, elimine usuarios inactivos, etc.) que reducirá la cantidad de uso de recursos del plano de datos de estos GlobalProtect VPN usuarios.
       Si es necesario para solucionar GlobalProtect problemas, consulte la lista de recursos.
16. actualización de MS
    1. Compruebe qué posible razón está detrás del aumento del tráfico ms-update:
       1. A La actualización de Microsoft Windows se programó para ser al mismo tiempo para varios dispositivos Windows en su red.
       2. A El departamento Policy de IT su empresa empujó simultáneamente a muchos dispositivos Windows al mismo tiempo.
    2. Aplique la solución en función del motivo encontrado:
       1. Desactive Actualizaciones automáticas para máquinas de dominio y administre las actualizaciones de Windows a través de Grupo Policy , eligiendo cuándo enviarlas de forma selectiva.
       2. Programe las actualizaciones de Windows para que se realicen en un momento menos impactante durante las horas no pico.
       3. Establezca una programación de actualización de Windows escalonada para que los dispositivos Windows de la red no realicen sus actualizaciones al mismo tiempo.
17. Netflow
    1. Si es FW el receptor o el remitente del tráfico de flujo de red, verifique la configuración, su FW seguridad policy que permite este tráfico y cómo los contadores de tráfico de flujo de red se incrementan cuando se reciben o envían en el plano de FW datos; use CLI comandos: 

       > debug log-receiver netflow statistics
       > debug dataplane netflow statistics
       > show counter global | match netflow

    2. Asegúrese de que no se trata FW de recibir o enviar registros Netflow a una velocidad anormal o excesiva, ya que eso podría indicar un bucle de enrutamiento u otros problemas de configuración en el , el FWremitente o la red. Los registros de flujo de red se procesan en el FW DP lo que significa que una alta tasa de este tráfico, si se recibe o se envía, puede afectar .FW DP CPU
18. rtsp
    1. El protocolo de transmisión en tiempo real es un protocolo de nivel de aplicación para el control sobre la entrega de datos con propiedades en tiempo real. Considere el uso de la invalidación de aplicaciones para este tráfico sólo si la capacidad de Application Layer Gateway ALG no es necesaria para que la realice el firewall. De lo contrario, podría arriesgarse a romper el VOIP tráfico. Otras aplicaciones que utilizan ALG se enumeran aquí.
19. rtp-base
    1. Este tráfico contiene paquetes de audio y video, es posible aplicarle la anulación de la aplicación si se necesita una mejora en el rendimiento.
20. RTCP
    1. Este tráfico contiene paquetes de audio y video, es posible aplicarle la anulación de la aplicación si se necesita una mejora en el rendimiento.
21. navegación por la web
    1. Considere deshabilitar SSL el descifrado para el tráfico web que puede estar exento de descifrado, ya que eso disminuirá la cantidad de tráfico clasificado como 'navegación web' (en cambio, permanecerá como 'ssl') y sería descargado por el FW.Tenga en cuenta que, por lo general, el gasta más recursos (CPU) en inspeccionar el tráfico de "navegación web" que en el FW tráfico "ssl".
22. panorama
    1. Si una gran cantidad de tráfico es inesperada, compruebe si hubo algún cambio de actualización o configuración en Panorama, recopilador de registros o administrado por Panorama que lo haya causado y si ese cambio de configuración debe revertirse o firewall ajustarse para reducir esta cantidad de panorama tráfico.