So lassen ICMP Sie Fehler beim Melden von Paketen zu / blockieren
17825
Created On 08/19/21 08:30 AM - Last Modified 05/17/23 03:28 AM
Objective
In diesem Dokument werden die verfügbaren Optionen zum Blockieren oder Zulassen ICMP von Fehlercodepaketen erläutert.
Informationen zum Blockieren ICMP von Abfragepaketen finden Sie im folgenden Artikel.
SECURITY POLICY TO ALLOW /DENY A CERTAIN ICMP TYPE
ICMP Fehlerberichtspakete verwenden den Typ 3,4,5,11,12.
ICMP Abfragepakete verwenden den Typ 0,8,13,14.
In diese Pakete ist das eigentliche Paket eingebettet, für das der Fehler gemeldet wird.
Anmerkung: Wenn die Lösung aus Szenario 1 implementiert wird, werden alle ICMP Fehlerberichtspakete verworfen. Daher ist es nicht vorteilhaft, beide Lösungen zusammen zu verwenden.
Beispiel:
Wenn ein Paket auf einem L3-Gerät (router/firewall) empfangen wird und keine Möglichkeit hat, es weiterzuleiten, wird ein TCP SYN ICMP Typ-3-Paket generiert Außerdem wird das TCP SYN Paket
darin gekapselt.
Senden Sie dann dieses ICMP Fehlerberichtspaket zurück an die Quelle.
Szenario 1 : (Für ICMP Fehlerberichterstattungspakete mit zugeordneten Sitzungen)
Wenn eine zugeordnete Sitzung vorhanden ist:
- Das TCP SYN Paket hat die PA Firewall.
- Dann hat der nächste Hop ein ICMP Fehlerberichtspaket (Ziel nicht erreichbar) zurückgesendet.
- PA firewall überprüft das innere gekapselte Paket und versucht, eine Sitzung zu finden.
- Da das TCP SYN Paket bereits eine Sitzung erstellt hat, stimmt dieses ICMP Fehlerpaket mit dieser Sitzung überein.
- Das ICMP Fehlerberichtspaket kann in diesem Fall nicht mithilfe von Sicherheit Policy blockiert werden. Das Zonenschutzprofil muss wie unten beschrieben verwendet werden.
- Bitte beachten Sie, dass bei dieser Methode alle ICMP Fehlerberichtstypen blockiert werden und es nicht möglich ist, den Typ auszuwählen.
Szenario 2 : (Für ICMP Fehlerberichterstattungspakete ohne zugeordnete Sitzungen)
Wenn keine zugeordnete Sitzung vorhanden ist:
- Das TCP SYN Paket hat die nicht durchlaufen oder die firewall Sitzung wurde bereits geschlossen.
- Es gibt ein ICMP ERROR Paket, das von der .PA firewall
- Da keine zugeordnete Sitzung auf dem vorhanden firewallist, wird eine neue ICMP Sitzung für dieses ICMP Fehlerberichtspaket erstellt.
- Dieses Paket kann mit einer benutzerdefinierten Anwendung mit Signatur und Sicherheit Policyblockiert werden.
Environment
PA firewall mit Beliebig PANOS
Procedure
Blockieren des ICMP ERROR REPORTING Pakets in Szenario 1
: Die Sicherheit policy kann nicht verwendet werden, um das Paket zu blockieren, da das ICMP ERROR Paket mit der zugeordneten Sitzung des inneren Pakets übereinstimmt und in derselben Sitzung weitergeleitet wird.
Wenn also alle ICMP Fehlerberichtspakete blockiert werden müssen, ist die einzige Möglichkeit, dies zu tun, die Verwendung des Zonenschutzprofils.
1. Konfigurieren Sie ein Zonenschutzprofil.
Netzwerk- > Netzwerkprofile > Zonenschutz > > <Name
>Paketbasierter Angriffsschutz hinzufügen > Drop > Discard ICMP embedded with error message (Enable) > ICMP OK
2. Konfigurieren Sie dieses Zonenschutzprofil in der Sicherheitszone Netzwerk > Zonen > Wählen Sie die Zone > das
Zonenschutzprofil aus > Wählen Sie das oben konfigurierte Profil aus Übernehmen Sie dann die
Konfiguration.
Blockieren des ICMP ERROR REPORTING Pakets in Szenario 2.
Erstellen Sie eine benutzerdefinierte Anwendung für ICMP-Fehlercode
1. Objekte > Anwendungen > > Namen hinzufügen : ICMP-Fehlercode
2. Wählen Sie
die Kategorie : Netzwerk
Unterkategorie : Routing-Technologie
: Netzwerk-Protokoll
3. Fortgeschrittene > ICMP Typ > Geben Sie 3,4,5,11,12 ein Wiederholen Sie die Schritte 4 und 5 für jeden Wert in 3,4,5,11,12
4. Signaturen > Signaturname > Fehlercode-sig > Bedingungsoperator hinzufügenOR
: Gleich
Kontext : icmp-rsp-type
Wert : 3
5. Klicken Sie auf OK
6. Sobald die Signatur für alle Werte in 3,4,5,11,12 hinzugefügt wurde, klicken Sie auf OK
7. Konfigurieren Sie eine Sicherheit policy mit den erforderlichen Parametern und Anwendungen > FehlercodeICMP-
hinzufügen 8. Legen Sie die Aktion dieser Sicherheit Policy auf Löschen oder Zulassen
9 fest. Verschieben Sie das nach Policy oben und commit.
Verifizierung :
Szenario 1 : (unter Verwendung des Zonenschutzes)
Der folgende globale Zähler wird inkrementiert, sobald Pakete aufgrund der Einstellung verworfen werden.
> show counter global filter packet-filter yes delta yes Global counters: Elapsed time since last sampling: 33.725 seconds name value rate severity category aspect description -------------------------------------------------------------------------------- flow_dos_pf_icmperr 5 0 drop flow dos Packets dropped: Zone protection option 'discard-icmp-error'
Szenario 2 : (Verwenden der benutzerdefinierten Anwendungssignatur)
Überprüfen Sie das Sitzungsprotokoll, um festzustellen, ob die Anwendungsaußerkraftsetzung angewendet wird, falls die Sicherheit policy auf "Zulassen" festgelegt ist.
Die Anwendung sollte als ICMP-Error-Code angezeigt werden
admin@PA5260(active-primary)> show session all filter source 10.10.10.2
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])Vsys
Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
17 ICMP-Error-Code ACTIVE FLOW 10.10.10.2[3]/untrust/1 (10.10.10.2[3])
vsys1 10.3.1.146[1]/trust (10.3.1.146[1])Die Datenverkehrsprotokolle können überprüft werden, um festzustellen, ob anhand des Policy Namens zulässige oder verweigerte Pakete vorhanden sind.