Los controles de salud de Route53 se eliminan cuando la función de bloqueo basado en la región está habilitada con la región de origen de EE. UU.

3248

Created On 12/29/22 07:14 AM - Last Modified 04/09/25 13:06 PM

Symptom

A partir de Prisma Access 3.1.2, se admite la función Bloquear conexiones entrantes de países específicos.
- Características de Prisma Access 3.1

"Bloquear conexiones entrantes de países específicos para implementaciones de GlobalProtect, proxy explícito y redes remotas"

Cuando habilitamos esto con la región de origen EE. UU., la política de seguridad también descartará los paquetes Route53 HealthCheck de AWS.

Environment

Acceso Prisma
Controles de salud de Route53

Cause

When we configured a security policy for Region Based Blocking following the document, the rule will be inserted at the top of security policies in the cloud FWs.

> show running security-policy

"Mobile_User_EMBG_Source_Countries; index: 1" {
        from untrust;
        source 0.0.0.0;
        source-region US;
        to any;
        destination any;
        destination-region none;
        user any;
        source-device any;
        destinataion-device any;
        category any;
        application/service 0:any/any/any/app-default;
        action drop;
        icmp-unreachable: no
        terminal no;

If we configure it with source-region US, Route53 HealthCheck packets from AWS will be also dropped by this rule.

> show log traffic direction equal backward
Time                App             From                            Src Port          Source
Rule                Action          To                              Dst Port          Destination
Src User        Dst User                        End Reason
Rule_UUid
====================================================================================================
2022/12/26 17:20:02 not-applicable  untrust                         51528             15.177.2.98
Mobile_User_EMBG_So drop            untrust                         443               208.127.163.207
                                                policy-deny
f4ba1dd3-825f-4450-aca2-f51b2fadb103
2022/12/26 17:19:58 not-applicable  untrust                         27640             15.177.18.96
Mobile_User_EMBG_So drop            untrust                         443               208.127.163.207
                                                policy-deny
f4ba1dd3-825f-4450-aca2-f51b2fadb103
2022/12/26 17:19:57 not-applicable  untrust                         51528             15.177.2.98
Mobile_User_EMBG_So drop            untrust                         443               208.127.163.207
                                                policy-deny

IPGeoLocation shows that these addresses(15.177.x.x) belong to Amazon Technologies Inc. (ROUTE53_HEALTHCHECKS, Global)

Resolution

Según el diseño actual, no podemos aceptar solo controles de salud y bloquear todos los demás intentos de acceso desde EE. UU.
Esta función debe usarse únicamente para bloquear el tráfico procedente de determinados países riesgosos.

Los controles de salud de Route53 se eliminan cuando la función de bloqueo basado en la región está habilitada con la región de origen de EE. UU.

Symptom

Environment

Cause

Resolution

Other users also viewed: