※この記事は以下の記事の日本語訳です。
Session Tracker Feature
https://live.paloaltonetworks.com/t5/Learning-Articles/Session-Tracker-Feature/ta-p/61790
PAN-OS 6.0, 6.1
詳細
PAN-OS 6.0 において、"show session id" コマンドでのセッション終了理由の追跡機能が追加されました。セッションの終了理由が、"show session id <ID番号>" 結果の下部にある "tracker stage firewall" 部分に出力されます。
セッションはパケットの処理の様々なフェーズでクローズされる可能性があります。例えば、以下のようなケースがあります。
- セッションが拒否された、あるいはタイムアウトした
- 脅威が検知されたことによりパケットが破棄された
- エンド端末によりリセットされた
セッション追跡の目的は、特定のセッション上で取られたアクションに対して、より明確な理由を確認することにあります。表示された情報によって、セッション切断について過去に遡って分析することが出来ます。また多くの場合事象を再現させることは難しいですが、この機能によって事象再現に要する時間を削減することが出来ます。
以下のような複数のステータスが用意されています。
- Aged out - セッションがタイムアウトにより終了しました。
- TCP FIN - 接続の一方または両方のホストが TCP FIN パケットを送信してセッションをクローズしました。
- TCP RST - client - クライアントがサーバーへ TCP リセットを送信しました。
- TCP RST - server - サーバーがクライアントへ TCP リセットを送信しました。
- appid policy lookup deny - セッションが、拒否またはドロップ アクションが指定されたセキュリティ ポリシーと一致しました。
- mitigation tdb - 脅威を検知したためセッションは終了しました。
- resource limit - セッションがリソース制限の問題によりドロップされました。たとえば、セッションの順序外パケット数が、フローまたはグローバル順序外パケット キューごとに許容された数を超えた場合などが考えられます。他の多数の理由によっても出力される場合があります。
- host service - トラフィックがファイアウォールへ送信されましたが、サービスが許可されていないあるいは有効になっていません。
以下は "show session id" コマンドのセッション終了理由の例です。
> show session id 4632
Session 4632
c2s flow:
source: 192.168.210.103 [trust]
dst: 198.172.88.58
proto: 6
sport: 4475 dport: 80
state: INIT type: FLOW
src user: unknown
dst user: unknown
pbf rule: wt-VPNTest 1
s2c flow:
source: 198.172.88.58 [VPN]
dst: 192.168.210.103
proto: 6
sport: 80 dport: 4475
state: INIT type: FLOW
src user: unknown
dst user: unknown
start time : Mon Sep 9 16:39:06 2013
timeout : 30 sec
total byte count(c2s) : 1063
total byte count(s2c) : 1461
layer7 packet count(c2s) : 12
layer7 packet count(s2c) : 10
[…..]
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : True
captive portal session : False
ingress interface : ethernet1/6
egress interface : tunnel.179
session QoS rule : N/A (class 4)
tracker stage firewall : TCP FIN
以下のコマンドは、"tracker stage" が有効なセッション一覧を出力させるコマンドです。
> show log traffic direction equal backward show-tracker equal yes
Time App From Src Port Source
Rule Action To Dst Port Destination
Src User Dst User Session Info
==================================================
2013/09/09 16:44:01 flash trust 4433 192.168.210.103
TCP-logging allow VPN 80 74.125.239.124
2013/09/09 16:44:00 incomplete untrust 52405 10.30.6.210
allow-any allow untrust 135 10.30.14.212
2013/09/09 16:40:25 ms-update trust 4402 192.168.210.103
TCP-logging allow VPN 80 96.17.148.40
著者: djoksimovic
-
Aperture
1 -
App-ID
18 -
Authentication
15 -
AutoFocus
2 -
Certificate Management
1 -
Certificates
14 -
Cloud
5 -
Configuration
131 -
Decryption
4 -
Endpoint
17 -
Expedition
1 -
GlobalProtect
31 -
Hardware
16 -
High Availability
5 -
Integration
7 -
Japanese Content
1 -
Learning
42 -
Logs
29 -
Management
175 -
Migration
4 -
NAT
10 -
Network
54 -
Objects & Security Profiles
54 -
PAN-OS
1 -
Panorama
6 -
policies
54 -
Reports
4 -
SaaS
1 -
Setup & Administration
56 -
SSL
1 -
SSL Decryption
1 -
Support Guidance
25 -
Threat
39 -
threat prevention
2 -
URL Filtering
15 -
User-ID
28 -
Virtual
3 -
VPN
25 -
Vulnerability
2 -
Vulnerability Protection
1 -
WildFire
18 -
wildfire alerts
1
- « 前へ
- 次へ »
