許可/ブロックする方法ICMPパケットのエラー報告
28044
Created On 08/19/21 08:30 AM - Last Modified 05/17/23 03:27 AM
Objective
このドキュメントでは、ブロックまたは許可するために使用できるオプションについて説明しています。ICMPエラーコードパケット。
封鎖するICMPクエリパケットについては以下の記事を参照してください。
SECURITY POLICY TO ALLOW /DENY A CERTAIN ICMP TYPE
ICMP エラー報告パケットはタイプ 3、4、5、11、12 を使用します。
ICMP クエリ パケットはタイプ 0、8、13、14 を使用します。
これらのパケットには、エラーが報告されている実際のパケットが埋め込まれています。
ノート :シナリオ 1 の解決策が実装されると、すべてのICMPエラー報告パケットはドロップされます。 したがって、両方のソリューションを一緒に使用してもメリットはありません。
例 :
ある場合TCP SYNパケットは L3 デバイス (ルーター/firewall ) 転送する方法がないため、ICMPタイプ3パケット
また、それはカプセル化しますTCP SYNその中のパケット。
それからこれを送信してくださいICMP送信元にパケットを報告するときにエラーが発生しました。
シナリオ 1 : (ためにICMP関連するセッションを含むエラー報告パケット)
関連するセッションが存在する場合:
- のTCP SYNパケットが通過したPA Firewall。
- 次にネクストホップはICMPエラー報告パケット (宛先に到達不能)
- PA firewall 内部のカプセル化されたパケットをチェックし、セッションの検索を試みます。
- 以来、TCP SYNパケットはすでにセッションを作成しています。これはICMPエラー パケットはそのセッションに一致します。
- のICMPエラー報告パケットはセキュリティを使用してブロックできませんPolicyこの場合。 ゾーン保護プロファイルは、以下で説明するように使用する必要があります。
- この方法では、すべてのICMPエラー報告タイプはブロックされ、タイプを選択することはできません。
シナリオ 2 : (ためにICMP関連セッションのないエラー報告パケット)
関連付けられたセッションが存在しない場合:
- のTCP SYNパケットは通過しませんでしたfirewallまたはセッションはすでに終了しています。
- がありますICMP ERRORが受信したパケットPA firewall。
- 関連するセッションが存在しないため、firewall 、新しいICMPこのためにセッションが作成されますICMPエラー報告パケット。
- このパケットは、署名とセキュリティを備えたカスタム アプリケーションを使用してブロックできます。Policy 。
Environment
PA firewall どれでもPANOS
Procedure
ブロッキングICMP ERROR REPORTINGシナリオ 1 のパケット:
安全policyパケットをブロックするために使用することはできません。ICMP ERRORパケットは、内部パケットの関連セッションと一致し、同じセッションで転送されます。
したがって、すべてがICMPエラー報告パケットはブロックする必要があります。ブロックする唯一の方法は、ゾーン保護プロファイルを使用することです。
1. ゾーン保護プロファイルを構成します。
「ネットワーク」>「ネットワークプロファイル」>「ゾーン保護」>「追加」><名前>
パケットベースの攻撃防御 >ICMPドロップ > 破棄ICMPエラーメッセージを埋め込む(有効) >OK
2. セキュリティ ゾーンでこのゾーン保護プロファイルを構成します。
ネットワーク > ゾーン > ゾーンの選択 > ゾーン保護プロファイル > 上記で設定したプロファイルの選択
次に、構成をコミットします。
ブロッキングICMP ERROR REPORTINGシナリオ 2 のパケット。
カスタム アプリケーションを作成するICMP-エラーコード
1. 「オブジェクト」>「アプリケーション」>「追加」>「名前」 :ICMP-エラーコード
2. 選ぶ
カテゴリー: ネットワーキング
サブカテゴリ: ルーティング
テクノロジー: ネットワークプロトコル
3. 上級 >ICMPタイプ > タイプ3、4、5、11、12
3、4、5、11、12 の値ごとに手順 4 と 5 を繰り返します。
4. 署名 > 署名名> エラーコード-署名 >追加OR状態
オペレーター: に等しい
コンテクスト: icmp-rsp-タイプ
価値:3
5. クリックOK
6. 3、4、5、11、12 のすべての値の署名を追加したら、OK
7。 セキュリティを設定するpolicy必要なパラメータとアプリケーション > 追加ICMP-エラーコード
8. この証券のアクションを設定しますPolicyにドロップまたは許可
9. を移動します。Policyトップに移動してコミットします。
検証 :
シナリオ 1 : (ゾーン保護を使用)
以下のグローバル カウンタは、設定によりパケットがドロップされると増加し始めます。
> show counter global filter packet-filter yes delta yes Global counters: Elapsed time since last sampling: 33.725 seconds name value rate severity category aspect description -------------------------------------------------------------------------------- flow_dos_pf_icmperr 5 0 drop flow dos Packets dropped: Zone protection option 'discard-icmp-error'
シナリオ 2 : (カスタム アプリケーション署名の使用)
セッション ログを確認して、セキュリティの場合にアプリケーション オーバーライドが適用されているかどうかを確認します。policy許可するように設定されています。
アプリケーションは次のように表示されます。ICMP-エラーコード
admin@PA5260(active-primary)> show session all filter source 10.10.10.2
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])Vsys
Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
17 ICMP-Error-Code ACTIVE FLOW 10.10.10.2[3]/untrust/1 (10.10.10.2[3])
vsys1 10.3.1.146[1]/trust (10.3.1.146[1])トラフィック ログをチェックして、許可されたパケットがあるか拒否されたパケットがあるかを確認できます。Policy名前。