Comment faire pour réduire le % d’utilisation de la table de session
20990
Created On 02/02/23 04:21 AM - Last Modified 12/09/23 00:59 AM
Objective
- Lorsqu’un flux de trafic passe par les réseaux firewallde Palo Alto, le installe ce qu’on firewall appelle une « session » pour ce flux de trafic.
- A La session est définie par deux flux unidirectionnels (un flux bidirectionnel).
- Chaque session est identifiée de manière unique par une seule touche de 6 tuples :
- Adresse source IP
- Port source
- Adresse de destination IP
- Port de destination
- Protocole
- Zone de sécurité
- Chacun firewall (varie selon le modèle) ne peut tenir qu’un certain nombre de sessions avant que la table de session n’atteigne sa capacité (c’est-à-dire que la table de session devient pleine).
- Cet article permet d’identifier les flux de trafic qui prennent un nombre élevé de sessions dans la table des sessions (CLI: afficher toutes les sessions)
Environment
- Pare-feu Palo Alto
- Soutenu PAN-OS
- Utilisation de la table de session
Procedure
- Identifiez la ou les sources IPet la ou les destinations IPdes flux de trafic qui occupent le plus grand nombre de sessions en vous référant à:
- Web UI: onglet > Activité réseau > Activité ACC source, Activité IP de destination / Utilisation de IP l’application > sélectionnez le bouton radio Sessions
- Web UI: Surveillez > journaux > Trafic utilisez des filtres pour rechercher les adresses trouvées dans les IP graphiques ci-dessus ACC
- CLI: >show session all
- CLI: >afficher la session de statistiques système
- Le but de tout ce qui précède est de les rechercher et de trouver les sources IPou les destinations IPque vous voyez à plusieurs reprises (ou un nombre élevé de sessions pour).
- Ce sont les sessions incriminées qui occupent probablement la plus grande quantité d’utilisation de la table de session.
- Ils doivent être examinés plus en détail pour déterminer s’il s’agit de flux de trafic valides dans votre organisation, ou s’il s’agit d’attaquants/d’hôtes malveillants ou de flux de trafic inutiles/accidentels/non intentionnels.
- Atténuez ou arrêtez ces flux de trafic (c’est-à-dire pour réduire l’utilisation de la table de session) en procédant comme suit :
- Arrêter/arrêter le(s) flux(s) de trafic de sa source (de venir à la firewall en premier lieu)
- Créer/ajuster une règle de sécurité Policy pour refuser ce trafic
- Configurez la protection de zone et/ou la protection DoS sur le firewallfichier . Vous trouverez des instructions détaillées dans Dépannage des attaques DoS et profil de protection de zone - Détection des inondations
Note: Effacez ces sessions incriminées après la configuration de ce firewall qui précède. Cela peut être fait en utilisant les commandes ci-dessous, Exemples ci-dessous:
> effacer la session toutes les sources de filtre 192.168.51.71
> effacer la session toutes les destinations de filtre 8.8.8.8
> effacer la session toutes les applications de filtre Skype
> effacer la session toutes les destinations de filtre 8.8.8.8
> effacer la session toutes les applications de filtre Skype
Après avoir effacé les sessions, assurez-vous qu’elles ne reviennent pas en exécutant à nouveau la commande « >afficher la CLI session tout ». Sinon, veuillez vous référer et effectuer l’étape 2 ci-dessus
- (Facultatif) Activer le vieillissement accéléré des sessions
Accédez à Web UI: Configuration de la > de l’appareil > Paramètres de session > de session (modifier) > Vieillissement accéléré (activer)
- Bien que le vieillissement accéléré puisse aider à réduire l’utilisation des tables de session, l’étape 2 ci-dessus est la méthode préférée et recommandée pour réduire l’utilisation de la table de session.
- Le vieillissement accéléré ne devrait pas être nécessaire et ne devrait être utilisé que lorsque l’étape 2 ci-dessus n’a pas résolu le problème.
- Pour plus d’informations sur la configuration du vieillissement accéléré conformément aux meilleures pratiques, reportez-vous à l’étape 6 de la section Configurer les paramètres de session et la session - Vieillissement accéléré
Additional Information
Pour plus d’informations sur les sessions, les attaques DDoS volumétriques qui occupent généralement un nombre élevé de sessions, ou pour identifier tout trafic qui crée un nombre élevé de sessions (augmentant ainsi l’utilisation de la table de session%), reportez-vous aux documents ci-dessous:
- Présentation de la session Palo Alto Networks Firewall
- Comment surveiller les sessions en direct dans le CLI
- Comment afficher les statistiques de session à partir du CLI
- Affichage/effacement des sessions du moniteur de session
- Défense contre les attaques DoS et DDoS volumétriques
- Configurer la protection DoS contre l’inondation de nouvelles sessions