Los paquetes de protocolo EtherIP pueden causar la utilización de recursos en PANW firewalls de próxima generación
15973
Created On 09/19/22 15:17 PM - Last Modified 06/28/23 09:25 AM
Symptom
El protocolo EtherIP (IP protocolo 97) tuneliza las tramas de control de acceso a medios Ethernet y IEEE 802.3 en datagramas para IP que el tráfico no puedaIP atravesar Internet IP . El protocolo es muy ligero y no proporciona protección contra bucles infinitos.
A pesar de que generalmente se usa para transportar datos cifrados, el tráfico puede atravesar PANW firewalls de próxima generación según la topología de red existente. El alto volumen de tráfico EtherIP puede causar la utilización de recursos.
Environment
Cualquier PANW versión de próxima generación firewall
de Any PanOS
Cause
Nos encontramos con tráfico EtherIP principalmente en WLAN infraestructuras donde se utiliza para transportar tráfico entre WLAN controladores y / o puntos de acceso. El tráfico procedente de/destinado a varias subredes internas puede ser transportado a través de un único túnel EtherIP.
Debido al alto volumen de paquetes que alcanzan el mismo registro de "sesión" en el firewall que se pueden utilizar los recursos firewall . Los hardware modelos que tienen procesador de red (descarga) no podrán descargar el tráfico EtherIP debido a la naturaleza del protocolo.
El procesador de red envía un mensaje a los planos de datos junto con el paquete EtherIP. En el plano de datos, flow_fpga_rcv_igr_PROTO aumentará en cada paquete.
> show counter global filter delta yes ... flow_fpga_rcv_igr_PROTO 4176134021 2502 info flow offload FPGA IGR Exception: PROTO
Resolution
Si el tráfico EtherIP debe permitirse en el :
- etherip-idapp debe usarse en una seguridad policy para permitir el firewalltráfico.
- Una anulación policy de aplicaciones con una aplicación personalizada definida para el protocolo 97 se puede utilizar para IP aliviar la carga de procesamiento en una pequeña porción.
- Si el volumen del tráfico y la utilización es alto, se recomienda eliminar el tráfico EtherIP del firewall.
Si el tráfico EtherIP debe bloquearse en el :
- Si el volumen es bajo, se puede usar una seguridad policy con etherip-idapp para denegar el firewalltráfico.
- Si el volumen es alto, se pueden usar políticas de protección de zona y / o DoS para eliminar los paquetes en una etapa temprana del procesamiento de paquetes.
Additional Information
Enlace a EtherIP :https://www.rfc-editor.org/rfc/rfc3378
Un artículo sobre las etapas de procesamiento de paquetes en PANW firewalls de próxima generación:https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClWFCA0
Documento público relacionado con la anulación de aplicaciones:https://docs.paloaltonetworks.com/pan-os/9-1/-web-interface-help/policies/pan-ospolicies-application-override
Documento público relacionado con la protección de zonas y DoS:
RFC https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/zone-protection-and-dos-protection