Cómo permitir/bloquear ICMP paquetes de informes de errores
28046
Created On 08/19/21 08:30 AM - Last Modified 05/17/23 03:28 AM
Objective
El documento explica las opciones disponibles para bloquear o permitir ICMP paquetes de código de error.
Para bloquear ICMP paquetes de consulta, consulte el siguiente artículo.
SECURITY POLICY TO ALLOW /DENY A CERTAIN ICMP TYPE
ICMP Los paquetes de notificación de errores utilizan el tipo 3,4,5,11,12.
ICMP Los paquetes de consulta utilizan el tipo 0,8,13,14.
Estos paquetes tienen el paquete real incrustado en ellos para el que se informa del error.
Nota: Si se implementa la solución del escenario 1, se eliminarán todos los paquetes de informe de ICMP errores. Por lo tanto, no hay ningún beneficio en el uso de ambas soluciones juntas.
Ejemplo:
Si hay un paquete recibido en un dispositivo L3 (enrutador/firewall) y no tiene ninguna forma de reenviarlo, generaría un TCP SYN ICMP paquete Tipo 3 También encapsulará el paquete
dentro de TCP SYN él.
A continuación, envíe este ICMP paquete de informe de errores al origen.
Escenario 1 : (Para ICMP paquetes de informe de errores con sesiones asociadas)
Si existe una sesión asociada:
- El TCP SYN paquete pasó a través del PA Firewallarchivo .
- Luego, el siguiente salto devolvió un ICMP paquete de informe de errores (destino inalcanzable)
- PA firewall comprobará el paquete encapsulado interno e intentará encontrar una sesión.
- Dado que el TCP SYN paquete ya habrá creado una sesión, este ICMP paquete de error coincidirá con esa sesión.
- El ICMP paquete de informe de errores no se puede bloquear mediante Seguridad Policy en este caso. El perfil de protección de zona deberá utilizarse como se describe a continuación.
- Tenga en cuenta que en este método, todos los ICMP tipos de informe de errores se bloquearán y no es posible elegir el tipo.
Escenario 2 : (Para ICMP paquetes de informe de errores sin sesiones asociadas)
Si la sesión asociada no existe:
- El TCP SYN paquete no pasó por el firewall o la sesión ya se ha cerrado.
- Hay un ICMP ERROR paquete recibido por el PA firewallarchivo .
- Dado que no hay ninguna sesión asociada presente en el firewall, se creará una nueva ICMP sesión para este ICMP paquete de informe de errores.
- Este paquete se puede bloquear mediante una aplicación personalizada con firma y seguridad Policy.
Environment
PA firewall con Cualquiera PANOS
Procedure
Bloqueo de ICMP ERROR REPORTING paquetes en el escenario 1:
La seguridad policy no se puede utilizar para bloquear el paquete porque el ICMP ERROR paquete coincidirá con la sesión asociada del paquete interno y se reenviará en la misma sesión.
Por lo tanto, si todos los ICMP paquetes de informes de errores deben bloquearse, la única forma de hacerlo es usar el perfil de protección de zona.
1. Configure un perfil de protección de zona. Perfiles >de red > de
red > Zone Protection > Agregar
protección contra ataques basada en paquetes >> < Eliminar > Descartar ICMP incrustado con mensaje de error (Habilitar) > ICMP OK
2. Configure este perfil de protección de zona en la zona de seguridad Zonas > de red > Elija el perfil
de protección de zona > zona > Elija el perfil configurado anteriormente
A continuación, confirme la configuración.
Bloqueo de ICMP ERROR REPORTING paquetes en el escenario 2.
Cree una aplicación personalizada para ICMP-el código
de error 1. Objetos > aplicaciones > Agregar > Nombre : ICMP-Código
de error 2. Elija
la categoría: Redes
Subcategoría: Tecnología de enrutamiento
: Protocolo
de red 3. > ICMP avanzada Tipo > Tipo 3,4,5,11,12 Repita los pasos 4 y 5 para cada valor en 3,4,5,11,12
4. Firmas > Nombre de firma > Error-Code-sig > Agregar OR condición
Operador : Igual al
contexto : icmp-rsp-type
Valor : 3
5. Haga clic en OK
6. Una vez que se agregue Firma para todos los valores en 3,4,5,11,12, haga clic OK
en 7. Configure una seguridad policy con el parámetro necesario y las aplicaciones > Agregar ICMP-código
de error 8. Establezca Acción de esta seguridad Policy en Quitar o Permitir
9. Mueve el Policy a la parte superior y comprométete.
Verificación:
Escenario 1: (uso de la protección de zona)
El siguiente contador global comenzará a incrementarse una vez que los paquetes se descarten debido a la configuración.
> show counter global filter packet-filter yes delta yes Global counters: Elapsed time since last sampling: 33.725 seconds name value rate severity category aspect description -------------------------------------------------------------------------------- flow_dos_pf_icmperr 5 0 drop flow dos Packets dropped: Zone protection option 'discard-icmp-error'
Escenario 2 : (Uso de la firma de aplicación personalizada)
Compruebe el registro de sesiones para ver si la anulación de la aplicación se está aplicando en caso de que la seguridad policy se establezca en permitir.
La aplicación debe mostrarse como ICMP-código de error
admin@PA5260(active-primary)> show session all filter source 10.10.10.2
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])Vsys
Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
17 ICMP-Error-Code ACTIVE FLOW 10.10.10.2[3]/untrust/1 (10.10.10.2[3])
vsys1 10.3.1.146[1]/trust (10.3.1.146[1])Los registros de tráfico se pueden comprobar para ver si hay paquetes permitidos o denegados basados en el Policy nombre.