如何允许/阻止ICMP错误报告数据包

如何允许/阻止ICMP错误报告数据包

17829
Created On 08/19/21 08:30 AM - Last Modified 05/17/23 03:28 AM


Objective


该文档解释了可用于阻止或允许的选项ICMP错误代码数据包。
阻止ICMP查询数据包请参考以下文章。
SECURITY POLICY TO ALLOW /DENY A CERTAIN ICMP TYPE

ICMP 错误报告数据包使用类型 3、4、5、11、12。
ICMP 查询数据包使用类型 0、8、13、14。

这些数据包中嵌入了报告错误的实际数据包。
用户添加的图像

笔记 :如果实施场景 1 的解决方案,则所有ICMP错误报告数据包将被丢弃。 因此,同时使用这两种解决方案没有任何好处。
例子 :
如果有一个TCP SYN数据包在 L3 设备(路由器/firewall ) 并且没有任何方式转发它,它会生成一个ICMP类型 3 数据包
它还将封装TCP SYN包里面。
然后发送这个ICMP向源报告数据包时出错。

场景 1 : (为了ICMP带有关联会话的错误报告数据包)
如果关联会话存在:
  1. 这TCP SYN数据包通过PA Firewall.
  2. 然后下一跳发回一个ICMP报错包(Destination Unreachable)
  3. PA firewall 将检查内部封装的数据包并尝试找到一个会话。
  4. 自从TCP SYN数据包已经创建了一个会话,这ICMP错误数据包将匹配该会话。
  5. 这ICMP无法使用安全性阻止错误报告数据包Policy在这种情况下。 必须如下所述使用区域保护配置文件。
  6. 请注意,在该方法中,所有ICMP错误报告类型将被阻止,并且无法选择类型。

场景 2 : (为了ICMP没有关联会话的错误报告数据包)
如果关联会话不存在:
  1. 这TCP SYN数据包没有经过firewall或者会话已经关闭。
  2. 有一个ICMP ERROR收到的数据包PA firewall.
  3. 由于没有关联的会话存在于firewall, 一个新的ICMP会话将为此创建ICMP报错包。
  4. 可以使用具有签名和安全性的自定义应用程序来阻止此数据包Policy.

Environment


PA firewall 与任何PANOS

Procedure


阻塞ICMP ERROR REPORTING场景 1 中的数据包:
安全policy不能用于阻止数据包,因为ICMP ERROR数据包将匹配内部数据包的关联会话,并将在同一会话上转发。
因此,如果所有ICMP必须阻止错误报告数据包,唯一的方法是使用区域保护配置文件。
1. 配置区域保护配置文件。
网络 > 网络配置文件 > 区域保护 > 添加 > <名称>


用户添加的图像

基于数据包的攻击防护 >ICMP掉落 > 丢弃ICMP嵌入错误消息(启用)>OK


用户添加的图像

2. 在安全区域配置此区域保护配置文件
网络 > 区域 > 选择区域 > 区域保护配置文件 > 选择上面配置的配置文件


用户添加的图像
然后提交配置。

阻塞ICMP ERROR REPORTING场景 2 中的数据包。
创建自定义应用程序ICMP-错误代码
1. 对象 > 应用程序 > 添加 > 名称:ICMP-错误代码
2. 选择
类别: 联网
子类别:路由
技术: 网络协议


用户添加的图像

3. 进阶 >ICMP类型 > 类型3,4,5,11,12


用户添加的图像

对 3、4、5、11、12 中的每个值重复步骤 4 和 5
4. 签名 > 签名名称> 错误代码签名 >添加OR健康)状况
操作员: 等于
语境: icmp-rsp-类型
价值: 3

用户添加的图像


用户添加的图像

5. 点击OK

6. 添加 3、4、5、11、12 中所有值的签名后,单击OK

用户添加的图像

7. 配置一个安全policy具有所需的参数和应用程序 > 添加ICMP-错误代码

用户添加的图像

8. 设置此证券的操作Policy到放弃或允许

用户添加的图像

9. 移动Policy到顶部并提交。


确认 :
场景 1 : (使用区域保护)
一旦由于设置而丢弃数据包,下面的全局计数器将开始递增。
> show counter global filter packet-filter yes delta yes

Global counters:
Elapsed time since last sampling: 33.725 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------

flow_dos_pf_icmperr                        5        0 drop      flow      dos       Packets dropped: Zone protection option 'discard-icmp-error'


场景 2 : (使用自定义应用程序签名)
检查会话日志以查看是否在安全情况下应用了应用程序覆盖policy被设置为允许。
该应用程序应显示为ICMP-错误代码
admin@PA5260(active-primary)> show session all filter source 10.10.10.2

--------------------------------------------------------------------------------
ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port])Vsys
                                          Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
17           ICMP-Error-Code ACTIVE  FLOW       10.10.10.2[3]/untrust/1  (10.10.10.2[3])
vsys1                                          10.3.1.146[1]/trust  (10.3.1.146[1])



可以检查流量日志以查看是否有基于允许或拒绝的数据包Policy姓名。

用户添加的图像
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMQpCAM&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language