Les paquets du protocole EtherIP peuvent entraîner l’utilisation des ressources sur PANW les pare-feu de nouvelle génération
15977
Created On 09/19/22 15:17 PM - Last Modified 06/28/23 09:25 AM
Symptom
Le protocole EtherIP (IP protocole 97) tunnelise Ethernet et IEEE 802.3 trames de contrôle d’accès aux médias dans IP des datagrammes afin que le non-traficIP puisse traverser Internet IP . Le protocole est très léger et n’offre pas de protection contre les boucles infinies.
Bien qu’il soit généralement utilisé pour transporter des données cryptées, le trafic peut traverser PANW les pare-feu de nouvelle génération selon la topologie du réseau en place. Un volume élevé de trafic EtherIP peut entraîner l’utilisation des ressources.
Environment
Toute nouvelle génération firewall
Toute PANW version PanOS
Cause
Nous rencontrons le trafic EtherIP principalement dans WLAN les infrastructures où il est utilisé pour transporter le trafic entre WLAN les contrôleurs et / ou les points d’accès. Le trafic provenant de/destiné à plusieurs sous-réseaux internes peut être acheminé via un seul tunnel EtherIP.
En raison du volume élevé de paquets atteignant le même enregistrement de « session » sur le firewall les ressources sur le firewall peut être utilisé. Les hardware modèles qui ont un processeur réseau (déchargement) ne pourront pas décharger le trafic EtherIP en raison de la nature du protocole.
Le processeur réseau envoie un message aux plans de données avec le paquet EtherIP. Sur le plan de données , flow_fpga_rcv_igr_PROTO augmentera de chaque paquet.
> show counter global filter delta yes ... flow_fpga_rcv_igr_PROTO 4176134021 2502 info flow offload FPGA IGR Exception: PROTO
Resolution
Si le trafic EtherIP doit être autorisé sur le :
- etherip-idapp doit être utilisé dans une sécurité policy pour autoriser le firewalltrafic.
- Un remplacement policy d’application avec une application personnalisée définie pour le protocole 97 peut être utilisé pour IP alléger la charge de traitement d’une petite partie.
- Si le volume du trafic et l’utilisation sont élevés, il est conseillé de supprimer le trafic EtherIP du firewall.
Si le trafic EtherIP doit être bloqué sur le :
- Si le volume est faible, une sécurité policy avec etherip-idapp peut être utilisée pour refuser le firewalltrafic.
- Si le volume est élevé, les stratégies de protection Zone et/ou DoS peuvent être utilisées pour supprimer les paquets à un stade précoce du traitement des paquets.
Additional Information
Lien vers EtherIP :https://www.rfc-editor.org/rfc/rfc3378
Un article sur les étapes de traitement des paquets sur PANW les pare-feu de nouvelle génération :https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClWFCA0
Document public relatif à la substitution des applications :https://docs.paloaltonetworks.com/pan-os/9-1/-web-interface-help/pan-ospolicies/policies-application-override
Document public relatif à la protection des zones et des attaques DoS :
RFC https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/zone-protection-and-dos-protection