許可/ブロックする方法ICMPパケットのエラー報告

許可/ブロックする方法ICMPパケットのエラー報告

17817
Created On 08/19/21 08:30 AM - Last Modified 05/17/23 03:27 AM


Objective


このドキュメントでは、ブロックまたは許可するために使用できるオプションについて説明しています。ICMPエラーコードパケット。
封鎖するICMPクエリパケットについては以下の記事を参照してください。
SECURITY POLICY TO ALLOW /DENY A CERTAIN ICMP TYPE

ICMP エラー報告パケットはタイプ 3、4、5、11、12 を使用します。
ICMP クエリ パケットはタイプ 0、8、13、14 を使用します。

これらのパケットには、エラーが報告されている実際のパケットが埋め込まれています。
ユーザーが追加した画像

ノート :シナリオ 1 の解決策が実装されると、すべてのICMPエラー報告パケットはドロップされます。 したがって、両方のソリューションを一緒に使用してもメリットはありません。
例 :
ある場合TCP SYNパケットは L3 デバイス (ルーター/firewall ) 転送する方法がないため、ICMPタイプ3パケット
また、それはカプセル化しますTCP SYNその中のパケット。
それからこれを送信してくださいICMP送信元にパケットを報告するときにエラーが発生しました。

シナリオ 1 : (ためにICMP関連するセッションを含むエラー報告パケット)
関連するセッションが存在する場合:
  1. のTCP SYNパケットが通過したPA Firewall。
  2. 次にネクストホップはICMPエラー報告パケット (宛先に到達不能)
  3. PA firewall 内部のカプセル化されたパケットをチェックし、セッションの検索を試みます。
  4. 以来、TCP SYNパケットはすでにセッションを作成しています。これはICMPエラー パケットはそのセッションに一致します。
  5. のICMPエラー報告パケットはセキュリティを使用してブロックできませんPolicyこの場合。 ゾーン保護プロファイルは、以下で説明するように使用する必要があります。
  6. この方法では、すべてのICMPエラー報告タイプはブロックされ、タイプを選択することはできません。

シナリオ 2 : (ためにICMP関連セッションのないエラー報告パケット)
関連付けられたセッションが存在しない場合:
  1. のTCP SYNパケットは通過しませんでしたfirewallまたはセッションはすでに終了しています。
  2. がありますICMP ERRORが受信したパケットPA firewall。
  3. 関連するセッションが存在しないため、firewall 、新しいICMPこのためにセッションが作成されますICMPエラー報告パケット。
  4. このパケットは、署名とセキュリティを備えたカスタム アプリケーションを使用してブロックできます。Policy 。

Environment


PA firewall どれでもPANOS

Procedure


ブロッキングICMP ERROR REPORTINGシナリオ 1 のパケット:
安全policyパケットをブロックするために使用することはできません。ICMP ERRORパケットは、内部パケットの関連セッションと一致し、同じセッションで転送されます。
したがって、すべてがICMPエラー報告パケットはブロックする必要があります。ブロックする唯一の方法は、ゾーン保護プロファイルを使用することです。
1. ゾーン保護プロファイルを構成します。
「ネットワーク」>「ネットワークプロファイル」>「ゾーン保護」>「追加」><名前>


ユーザーが追加した画像

パケットベースの攻撃防御 >ICMPドロップ > 破棄ICMPエラーメッセージを埋め込む(有効) >OK


ユーザーが追加した画像

2. セキュリティ ゾーンでこのゾーン保護プロファイルを構成します。
ネットワーク > ゾーン > ゾーンの選択 > ゾーン保護プロファイル > 上記で設定したプロファイルの選択


ユーザーが追加した画像
次に、構成をコミットします。

ブロッキングICMP ERROR REPORTINGシナリオ 2 のパケット。
カスタム アプリケーションを作成するICMP-エラーコード
1. 「オブジェクト」>「アプリケーション」>「追加」>「名前」 :ICMP-エラーコード
2. 選ぶ
カテゴリー: ネットワーキング
サブカテゴリ: ルーティング
テクノロジー: ネットワークプロトコル


ユーザーが追加した画像

3. 上級 >ICMPタイプ > タイプ3、4、5、11、12


ユーザーが追加した画像

3、4、5、11、12 の値ごとに手順 4 と 5 を繰り返します。
4. 署名 > 署名名> エラーコード-署名 >追加OR状態
オペレーター: に等しい
コンテクスト: icmp-rsp-タイプ
価値:3

ユーザーが追加した画像


ユーザーが追加した画像

5. クリックOK

6. 3、4、5、11、12 のすべての値の署名を追加したら、OK

ユーザーが追加した画像

7。 セキュリティを設定するpolicy必要なパラメータとアプリケーション > 追加ICMP-エラーコード

ユーザーが追加した画像

8. この証券のアクションを設定しますPolicyにドロップまたは許可

ユーザーが追加した画像

9. を移動します。Policyトップに移動してコミットします。


検証 :
シナリオ 1 : (ゾーン保護を使用)
以下のグローバル カウンタは、設定によりパケットがドロップされると増加し始めます。
> show counter global filter packet-filter yes delta yes

Global counters:
Elapsed time since last sampling: 33.725 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------

flow_dos_pf_icmperr                        5        0 drop      flow      dos       Packets dropped: Zone protection option 'discard-icmp-error'


シナリオ 2 : (カスタム アプリケーション署名の使用)
セッション ログを確認して、セキュリティの場合にアプリケーション オーバーライドが適用されているかどうかを確認します。policy許可するように設定されています。
アプリケーションは次のように表示されます。ICMP-エラーコード
admin@PA5260(active-primary)> show session all filter source 10.10.10.2

--------------------------------------------------------------------------------
ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port])Vsys
                                          Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
17           ICMP-Error-Code ACTIVE  FLOW       10.10.10.2[3]/untrust/1  (10.10.10.2[3])
vsys1                                          10.3.1.146[1]/trust  (10.3.1.146[1])



トラフィック ログをチェックして、許可されたパケットがあるか拒否されたパケットがあるかを確認できます。Policy名前。

ユーザーが追加した画像
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMQpCAM&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language