Comment autoriser/bloquer ICMP les paquets de rapport d’erreurs
28050
Created On 08/19/21 08:30 AM - Last Modified 05/17/23 03:28 AM
Objective
Le document explique les options disponibles pour bloquer ou autoriser ICMP les paquets de codes d’erreur.
Pour bloquer ICMP les paquets de requête, reportez-vous à l’article ci-dessous.
SECURITY POLICY TO ALLOW /DENY A CERTAIN ICMP TYPE
ICMP Les paquets de rapport d’erreurs utilisent le type 3,4,5,11,12.
ICMP Les paquets de requête utilisent le type 0,8,13,14.
Ces paquets contiennent le paquet réel incorporé pour lequel l’erreur est signalée.
Note: Si la solution du scénario 1 est implémentée, tous les paquets de rapport d’erreurs ICMP seront supprimés. Par conséquent, il n’y a aucun avantage à utiliser les deux solutions ensemble.
Exemple:
S’il y a un paquet reçu sur un périphérique L3 (routeur/firewall) et n’a aucun moyen de le transférer, il générerait un ICMP TCP SYN paquet de type 3 Il encapsulera également le TCP SYN paquet
à l’intérieur.
Renvoyez ensuite ce ICMP paquet de rapport d’erreurs à la source.
Scénario 1 : (Pour ICMP les paquets de rapport d’erreurs avec les sessions associées)
Si une session associée existe :
- Le TCP SYN paquet est passé par le PA Firewallfichier .
- Ensuite, le tronçon suivant a renvoyé un paquet de rapport d’erreurs ICMP (Destination inaccessible)
- PA firewall vérifiera le paquet encapsulé interne et essaiera de trouver une session.
- Étant donné que le TCP SYN paquet aura déjà créé une session, ce ICMP paquet d’erreur correspondra à cette session.
- Le ICMP paquet de rapport d’erreurs ne peut pas être bloqué à l’aide de la sécurité Policy dans ce cas. Le profil de protection de zone devra être utilisé comme décrit ci-dessous.
- Veuillez noter que dans cette méthode, tous les ICMP types de rapports d’erreurs seront bloqués et il n’est pas possible de choisir le type.
Scénario 2 : (Pour ICMP les paquets de rapport d’erreurs sans sessions associées)
Si la session associée n’existe pas :
- Le TCP SYN paquet n’a pas traversé le firewall ou la session a déjà été fermée.
- Un paquet est ICMP ERROR reçu par le PA firewallfichier .
- Étant donné qu’aucune session associée n’est présente sur le , une nouvelle ICMP session sera créée pour ce ICMP paquet de rapport d’erreursfirewall.
- Ce paquet peut être bloqué à l’aide d’une application personnalisée avec signature et sécurité Policy.
Environment
PA firewall avec n’importe quel PANOS
Procedure
Blocage ICMP ERROR REPORTING du paquet dans le scénario 1 :
La sécurité policy ne peut pas être utilisée pour bloquer le paquet car le ICMP ERROR paquet correspondra à la session associée du paquet interne et sera transféré sur la même session.
Par conséquent, si tous les ICMP paquets de rapport d’erreurs doivent être bloqués, la seule façon de le faire est d’utiliser le profil de protection de zone.
1. Configurez un profil de protection de zone. Profils réseau >
réseau > protection de zone > ajouter > <nom>protection
contre les attaques basées sur les paquets > déposer > ICMP ignorer ICMP incorporé avec un message d’erreur (Activer) > OK
2. Configurez ce profil de protection de zone sur la zone de sécurité Zones > réseau > Choisissez le profil de
protection de zone > de zone > choisissez le profil configuré ci-dessus
Validez ensuite la configuration.
Blocage ICMP ERROR REPORTING du paquet dans le scénario 2.
Créez une application personnalisée pour ICMP-le code
d’erreur 1. Objets > applications > ajouter > nom : ICMP-code d’erreur
2. Choisissez
Catégorie : RéseauSous-catégorie : Technologie de
routage
: Network-Protocol
3. > ICMP avancé Type > Tapez 3,4,5,11,12 Répétez les étapes 4 et 5 pour chaque valeur dans 3,4,5,11,12
4. Signatures > nom de signature > error-code-sig > add OR condition
opérateur : égal au
contexte : icmp-rsp-type
Valeur : 3
5. Cliquez sur OK
6. Une fois que la signature pour toutes les valeurs de 3,4,5,11,12 est ajoutée, cliquez sur OK
7. Configurez une sécurité policy avec le paramètre nécessaire et Applications > Ajouter ICMP-le code
d’erreur 8. Définissez l’action de cette sécurité Policy sur Supprimer ou Autoriser
9. Déplacez le vers le Policy haut et validez.
Vérification
:Scénario 1 : (utilisation de la protection de zone)
Le compteur global ci-dessous commencera à s’incrémenter une fois que les paquets sont abandonnés en raison du paramètre.
> show counter global filter packet-filter yes delta yes Global counters: Elapsed time since last sampling: 33.725 seconds name value rate severity category aspect description -------------------------------------------------------------------------------- flow_dos_pf_icmperr 5 0 drop flow dos Packets dropped: Zone protection option 'discard-icmp-error'
Scénario 2 : (Utilisation de la signature d’application personnalisée)
Vérifiez le journal des sessions pour voir si le remplacement de l’application est appliqué en cas de sécurité policy définie sur autoriser.
L’application doit s’afficher sous forme ICMP-de code d’erreur
admin@PA5260(active-primary)> show session all filter source 10.10.10.2
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])Vsys
Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
17 ICMP-Error-Code ACTIVE FLOW 10.10.10.2[3]/untrust/1 (10.10.10.2[3])
vsys1 10.3.1.146[1]/trust (10.3.1.146[1])Les journaux de trafic peuvent être vérifiés pour voir s’il existe des paquets autorisés ou refusés en fonction du Policy nom.