Route53 HealthChecks werden gelöscht, wenn die regionsbasierte Merkmal mit der Quellregion „US“ aktiviert ist.

3240

Created On 12/29/22 07:14 AM - Last Modified 04/09/25 13:06 PM

Symptom

Ab Prisma Access 3.1.2 wird die Merkmal zum Blockieren eingehender Verbindungen aus bestimmten Ländern unterstützt.
- Funktionen in Prisma Access 3.1

„Blockieren Sie eingehende Verbindungen aus bestimmten Ländern für GlobalProtect, Explicit Proxy und Remote-Netzwerkbereitstellungen“

Wenn wir dies mit der Quellregion US aktivieren, werden Route53 HealthCheck-Pakete von AWS ebenfalls von der Richtlinie gelöscht.

Environment

Prisma-Zugang
Route53-Integritätschecks

Cause

When we configured a security policy for Region Based Blocking following the document, the rule will be inserted at the top of security policies in the cloud FWs.

> show running security-policy

"Mobile_User_EMBG_Source_Countries; index: 1" {
        from untrust;
        source 0.0.0.0;
        source-region US;
        to any;
        destination any;
        destination-region none;
        user any;
        source-device any;
        destinataion-device any;
        category any;
        application/service 0:any/any/any/app-default;
        action drop;
        icmp-unreachable: no
        terminal no;

If we configure it with source-region US, Route53 HealthCheck packets from AWS will be also dropped by this rule.

> show log traffic direction equal backward
Time                App             From                            Src Port          Source
Rule                Action          To                              Dst Port          Destination
Src User        Dst User                        End Reason
Rule_UUid
====================================================================================================
2022/12/26 17:20:02 not-applicable  untrust                         51528             15.177.2.98
Mobile_User_EMBG_So drop            untrust                         443               208.127.163.207
                                                policy-deny
f4ba1dd3-825f-4450-aca2-f51b2fadb103
2022/12/26 17:19:58 not-applicable  untrust                         27640             15.177.18.96
Mobile_User_EMBG_So drop            untrust                         443               208.127.163.207
                                                policy-deny
f4ba1dd3-825f-4450-aca2-f51b2fadb103
2022/12/26 17:19:57 not-applicable  untrust                         51528             15.177.2.98
Mobile_User_EMBG_So drop            untrust                         443               208.127.163.207
                                                policy-deny

IPGeoLocation shows that these addresses(15.177.x.x) belong to Amazon Technologies Inc. (ROUTE53_HEALTHCHECKS, Global)

Resolution

Gemäß dem aktuellen Design können wir nicht nur HealthChecks akzeptieren und gleichzeitig alle anderen Zugriffsversuche aus den USA blockieren.
Diese Merkmal sollte nur zum Blockieren des Datenverkehrs aus bestimmten Risikoländern verwendet werden.

Route53 HealthChecks werden gelöscht, wenn die regionsbasierte Merkmal mit der Quellregion „US“ aktiviert ist.

Symptom

Environment

Cause

Resolution

Other users also viewed: