Cómo reducir el porcentaje de utilización de la tabla de sesión

Cómo reducir el porcentaje de utilización de la tabla de sesión

20896
Created On 02/02/23 04:21 AM - Last Modified 12/09/23 00:59 AM


Objective


  • Cuando un flujo de tráfico llega a través de Palo Alto Networks firewall, instala firewall lo que se llama una "sesión" para ese flujo de tráfico.
  • A La sesión se define por dos flujos unidireccionales (un flujo bidireccional).
  • Cada sesión se identifica de forma única por una sola tecla de 6 tuplas:
    • Dirección de origen IP
    • Puerto de origen
    • Dirección de destino IP
    • Puerto de destino
    • Protocolo
    • Zona de seguridad
  • Cada firewall uno (varía según el modelo) solo puede mantener un cierto número de sesiones antes de que la mesa de sesión alcance su capacidad (es decir, la mesa de sesión se llene).
  • Este artículo ayuda a identificar los flujos de tráfico que están tomando un gran número de sesiones en la tabla de sesiones (CLI: mostrar sesión todas)

Environment


  • Palo Alto Firewalls
  • Apoyado PAN-OS
  • Utilización de la tabla de sesión

Procedure


  1. Identifique la(s) fuente IP(s) y IPdestino(s) de los flujos de tráfico que ocupan el mayor número de sesiones consultando:
    1. Web UI: pestaña > Actividad de ACC red > Actividad de origen, Actividad de destino / Uso de IP IP la aplicación > seleccione el botón de opción Sesiones
    2. Web UI: Supervisar los registros de > > Tráfico use filtros para buscar las IP direcciones que se encuentran en los gráficos anteriores ACC
    3. CLI: >mostrar sesión todos
    4. CLI: >Mostrar sesión de estadísticas del sistema
  • El objetivo con todo lo anterior es buscar a través de ellos y encontrar qué origen IPo destino IPves repetidamente (o un gran número de sesiones).
  • Estas son las sesiones ofensivas que probablemente ocupan la mayor cantidad de porcentaje de utilización de la tabla de sesiones
  • Deben examinarse más a fondo para determinar si son flujos de tráfico válidos en su organización, o si son atacantes/hosts maliciosos/no autorizados o flujos de tráfico innecesarios/accidentales/involuntarios.
  1. Mitigue o detenga estos flujos de tráfico (es decir, para reducir el porcentaje de utilización de la tabla de sesión siguiendo estos pasos:
  1. Apagar / detener el flujo (s) de tráfico desde su fuente (de llegar al firewall en primer lugar)
  2. Crear/ajustar una regla de seguridad Policy para denegar ese tráfico
  3. Configure la protección de zona y/o la protección DoS en el firewallarchivo . Puede encontrar pasos detallados en Solución de problemas de ataques DoS y perfil de protección de zona: detección de inundaciones

Nota:  Borre estas sesiones ofensivas de la firewall después de que se haya configurado lo anterior. Esto se puede hacer usando los siguientes comandos, Ejemplos a continuación:
> Borrar sesión todo el origen del filtro 192.168.51.71
> Borrar sesión todo el destino del filtro 8.8.8.8
> Borrar sesión todo Filtro Aplicación Skype

Después de borrar las sesiones, asegúrese de que no vuelvan ejecutando el CLI comando ">mostrar sesión todas" nuevamente. De lo contrario, consulte y realice el Paso 2 anterior
 
  1. (Opcional) Habilite el envejecimiento acelerado de las sesiones
Navegar a Web UI: Configuración del > del dispositivo > configuración de sesión > configuración de sesión (editar) > Envejecimiento acelerado (habilitar)
  • Si bien el envejecimiento acelerado puede ayudar a reducir la utilización de la tabla de sesión, el paso 2 anterior es el método preferido y recomendado para reducir la utilización de la tabla de sesión.
  • El envejecimiento acelerado no debería ser necesario y solo debería usarse cuando el Paso 2 anterior no resolvió el problema.
  • Para obtener información sobre cómo configurar el envejecimiento acelerado según las prácticas recomendadas, consulte el paso 6 en Configurar las opciones de sesión y Sesión - Envejecimiento acelerado

Additional Information


Para obtener más información sobre sesiones, ataques DDoS volumétricos que suelen ocupar un gran número de sesiones, o para identificar cualquier tráfico que esté creando un gran número de sesiones (aumentando así la utilización de la tabla de sesiones), consulte los siguientes documentos:
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000samTCAQ&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language