EtherIP-Protokollpakete können zu einer Ressourcenauslastung auf Firewalls der PANW nächsten Generation führen
15973
Created On 09/19/22 15:17 PM - Last Modified 06/28/23 09:25 AM
Symptom
Das EtherIP-Protokoll (IP Protokoll 97) tunnelt Ethernet- und IEEE 802.3-Medienzugriffskontrollrahmen in IP Datagrammen, sodass Nicht-DatenverkehrIP ein IP Internet durchqueren kann. Das Protokoll ist sehr leichtgewichtig und bietet keinen Schutz vor Endlosschleifen.
Obwohl es normalerweise zum Übertragen verschlüsselter Daten verwendet wird, kann der Datenverkehr gemäß der vorhandenen Netzwerktopologie Firewalls der nächsten Generation durchlaufen PANW . Ein hohes Volumen an EtherIP-Datenverkehr kann zu einer Ressourcenauslastung führen.
Environment
Jede nächste Generation firewall
Jede PANW PanOS-Version
Cause
EtherIP-Traffic begegnet uns vor allem in Infrastrukturen, in WLAN denen er für die Übertragung des Datenverkehrs zwischen WLAN Controllern und/oder Access Points verwendet wird. Der Datenverkehr, der von mehreren internen Subnetzen stammt/für diese bestimmt ist, kann über einen einzigen EtherIP-Tunnel übertragen werden.
Aufgrund des hohen Volumens von Paketen, die denselben "Sitzungsdatensatz" auf dem treffen, können die Ressourcen auf dem firewall verwendet firewall werden. Die hardware Modelle mit Netzwerkprozessor (Offload-Prozessor) können den EtherIP-Datenverkehr aufgrund der Art des Protokolls nicht entlasten.
Der Netzwerkprozessor sendet zusammen mit dem EtherIP-Paket eine Nachricht an die Datenebenen. Auf der Datenebene erhöht sich flow_fpga_rcv_igr_PROTO mit jedem Paket.
> show counter global filter delta yes ... flow_fpga_rcv_igr_PROTO 4176134021 2502 info flow offload FPGA IGR Exception: PROTO
Resolution
Wenn der EtherIP-Datenverkehr auf der :firewall
- EtherIP-IDapp zugelassen werden soll, sollte in einem Wertpapier policy verwendet werden, um den Datenverkehr zuzulassen.
- Eine Anwendungsüberschreibung policy mit einer benutzerdefinierten Anwendung, die für IP Protokoll 97 definiert ist, kann verwendet werden, um die Verarbeitungslast um einen kleinen Teil zu verringern.
- Wenn das Volumen des Datenverkehrs und die Auslastung hoch sind, wird empfohlen, den EtherIP-Datenverkehr aus der firewallzu entfernen.
Wenn der EtherIP-Verkehr auf der Seite firewallblockiert werden soll:
- Wenn das Volumen niedrig ist, kann eine Sicherheit policy mit etherip-idapp verwendet werden, um den Datenverkehr zu verweigern.
- Wenn das Volumen hoch ist, können Zonen- und/oder DoS-Schutzrichtlinien verwendet werden, um die Pakete in einem frühen Stadium der Paketverarbeitung zu verwerfen.
Additional Information
Link zu EtherIP RFC:https://www.rfc-editor.org/rfc/rfc3378
Ein Artikel über die Paketverarbeitungsstufen von Firewalls der PANW nächsten Generation:https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClWFCA0
Öffentliches Dokument im Zusammenhang mit der Anwendungsüberschreibung
:https://docs.paloaltonetworks.com/pan-os/9-1/-web-interface-help/policies/pan-ospolicies-application-override
Öffentliches Dokument zum Zonen- und DoS-Schutz:
https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/zone-protection-and-dos-protection