セッション追跡機能

※この記事は以下の記事の日本語訳です。

Session Tracker Feature
https://live.paloaltonetworks.com/t5/Learning-Articles/Session-Tracker-Feature/ta-p/61790

PAN-OS 6.0, 6.1

詳細

PAN-OS 6.0 において、"show session id" コマンドでのセッション終了理由の追跡機能が追加されました。セッションの終了理由が、"show session id <ID番号>" 結果の下部にある "tracker stage firewall" 部分に出力されます。
セッションはパケットの処理の様々なフェーズでクローズされる可能性があります。例えば、以下のようなケースがあります。

• セッションが拒否された、あるいはタイムアウトした
• 脅威が検知されたことによりパケットが破棄された
• エンド端末によりリセットされた

セッション追跡の目的は、特定のセッション上で取られたアクションに対して、より明確な理由を確認することにあります。表示された情報によって、セッション切断について過去に遡って分析することが出来ます。また多くの場合事象を再現させることは難しいですが、この機能によって事象再現に要する時間を削減することが出来ます。
以下のような複数のステータスが用意されています。

• Aged out - セッションがタイムアウトにより終了しました。
• TCP FIN - 接続の一方または両方のホストが TCP FIN パケットを送信してセッションをクローズしました。
• TCP RST - client - クライアントがサーバーへ TCP リセットを送信しました。
• TCP RST - server - サーバーがクライアントへ TCP リセットを送信しました。
• appid policy lookup deny - セッションが、拒否またはドロップ アクションが指定されたセキュリティ ポリシーと一致しました。
• mitigation tdb - 脅威を検知したためセッションは終了しました。
• resource limit - セッションがリソース制限の問題によりドロップされました。たとえば、セッションの順序外パケット数が、フローまたはグローバル順序外パケット キューごとに許容された数を超えた場合などが考えられます。他の多数の理由によっても出力される場合があります。
• host service - トラフィックがファイアウォールへ送信されましたが、サービスが許可されていないあるいは有効になっていません。

以下は "show session id" コマンドのセッション終了理由の例です。

> show session id 4632

Session            4632

c2s flow:

source:      192.168.210.103 [trust]

dst:         198.172.88.58

proto:       6

sport:       4475            dport:      80

state:       INIT            type: FLOW

src user:    unknown

dst user:    unknown

pbf rule:    wt-VPNTest 1

s2c flow:

source:      198.172.88.58 [VPN]

dst:         192.168.210.103

proto:       6

sport:       80              dport:      4475

state:       INIT            type:       FLOW

src user:    unknown

dst user:    unknown

start time                    : Mon Sep  9 16:39:06 2013

timeout                       : 30 sec

total byte count(c2s)         : 1063

total byte count(s2c)         : 1461

layer7 packet count(c2s)      : 12

layer7 packet count(s2c)      : 10

[…..]

session via syn-cookies       : False

session terminated on host    : False

session traverses tunnel      : True

captive portal session        : False

ingress interface             : ethernet1/6

egress interface              : tunnel.179

session QoS rule              : N/A (class 4)

tracker stage firewall        : TCP FIN

以下のコマンドは、"tracker stage" が有効なセッション一覧を出力させるコマンドです。

> show log traffic direction equal backward show-tracker equal yes

Time                App             From            Src Port          Source

Rule                Action          To              Dst Port          Destination

Src User            Dst User        Session Info

===============================================================================

2013/09/09 16:44:01 flash           trust           4433              192.168.210.103

TCP-logging         allow           VPN             80                74.125.239.124

                                                    TCP FIN

2013/09/09 16:44:00 incomplete      untrust         52405             10.30.6.210

allow-any           allow           untrust         135               10.30.14.212

                                                    Aged out

2013/09/09 16:40:25 ms-update       trust           4402              192.168.210.103

TCP-logging         allow           VPN             80                96.17.148.40

                                                    TCP RST – client

著者: djoksimovic