ソースリージョンがUSでリージョンベースのブロッキング機能が有効になっている場合、Route53 HealthChecksはドロップされます。

ソースリージョンがUSでリージョンベースのブロッキング機能が有効になっている場合、Route53 HealthChecksはドロップされます。

3250
Created On 12/29/22 07:14 AM - Last Modified 04/09/25 13:06 PM


Symptom


  • Prisma Access 3.1.2 以降では、特定の国からの着信接続をブロックする機能がサポートされています。

「GlobalProtect、明示的なプロキシ、およびリモート ネットワーク展開の特定の国からの着信接続をブロックする」

  • ソースリージョン US でこれを有効にすると、AWS からの Route53 HealthCheck パケットもセキュリティポリシーによってドロップされます。

Environment


  • プリズマアクセス
  • Route53 ヘルスチェック

Cause


When we configured a security policy for Region Based Blocking following the document, the rule will be inserted at the top of security policies in the cloud FWs. 
> show running security-policy

"Mobile_User_EMBG_Source_Countries; index: 1" {
        from untrust;
        source 0.0.0.0;
        source-region US;
        to any;
        destination any;
        destination-region none;
        user any;
        source-device any;
        destinataion-device any;
        category any;
        application/service 0:any/any/any/app-default;
        action drop;
        icmp-unreachable: no
        terminal no;
If we configure it with source-region US, Route53 HealthCheck packets from AWS will be also dropped by this rule. 
> show log traffic direction equal backward
Time                App             From                            Src Port          Source
Rule                Action          To                              Dst Port          Destination
Src User        Dst User                        End Reason
Rule_UUid
====================================================================================================
2022/12/26 17:20:02 not-applicable  untrust                         51528             15.177.2.98
Mobile_User_EMBG_So drop            untrust                         443               208.127.163.207
                                                policy-deny
f4ba1dd3-825f-4450-aca2-f51b2fadb103
2022/12/26 17:19:58 not-applicable  untrust                         27640             15.177.18.96
Mobile_User_EMBG_So drop            untrust                         443               208.127.163.207
                                                policy-deny
f4ba1dd3-825f-4450-aca2-f51b2fadb103
2022/12/26 17:19:57 not-applicable  untrust                         51528             15.177.2.98
Mobile_User_EMBG_So drop            untrust                         443               208.127.163.207
                                                policy-deny
IPGeoLocation shows that these addresses(15.177.x.x) belong to Amazon Technologies Inc. (ROUTE53_HEALTHCHECKS, Global)

Resolution


現在の設計では、米国からのその他のすべてのアクセス試行をブロックしながら、HealthChecks のみを受け入れることはできません。
この機能は、特定のリスクのある国からのトラフィックをブロックする場合にのみ使用してください。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kFvtCAE&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language