Palo Alto Networks ファイアウォールが 非 SYN の最初のパケットを許可するよう設定する方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Set the Palo Alto Networks Firewall to Allow non-Syn First Packet
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Set-the-Palo-Alto-Networks-Firewa...

 

PAN-OS 5.0、6.0

 

概要

Palo Alto Networks ファイアウォールは、デフォルトでは、セキュリティ対策として、SYN フラグが立っていない最初のパケットを拒否します。正常な TCP コネクションは 3-ウェイ ハンドシェイクから開始します。つまり、ファイアウォールが確認した最初のパケットが SYN パケットではない場合、それは有効なパケットではない可能性があるため、破棄されます。

 

まれに、このセキュリティ チェックをせずにパケットを許可することが必要な場合があります。通常、非対称ルーティングが理由で、この機能を無効にすることが必要とされます。

 

詳細

  • このオプションを恒久的に無効にするためには、次の CLI コマンドを実行します:
    > configure
    # set deviceconfig setting session tcp-reject-non-syn no
    # commit

  • この機能を元に戻す場合は、次の CLI コマンドを使用します:
    > configure
    # set deviceconfig setting session tcp-reject-non-syn yes
    # commit

  • 非 SYN の TCP パケットを一時的に許可するためには、次の CLI コマンドを実行します (Configure モードではありません):
    > set session tcp-reject-non-syn no
    注: このコマンドは一時的であり、コミットもしくはコミットを発生させる変更もしくはリブートの後に元に戻ります。

  • さらに、これらの設定はゾーンごとの GUI で、以下のように Zone Protection を使用して変更できます。
    1. Network > Zone Protection へ移動
    2. Add をクリック
    3. Packet Based Attack Protection > TCP/IP Drop を選択
      Zone TCP.PNG.png
  • Packet-Based Attack Protection の定義を参照するためには、ウィンドウの右上角のヘルプ ('?') をクリックします。いくつかの重要な定義を以下に説明します:
    • Reject Non-SYN TCP - TCP セッション セットアップの最初のパケットが SYN パケットでない場合にパケットを拒否するかどうかを決定します:
      • Global - CLI で割り当てたシステム全体の設定を使用します。
      • yes - 非 SYN TCP を拒否します。
      • no - 非 SYN TCP を受け入れます。
        注: 非 SYN TCP トラフィックを許可すると、ブロック発生後クライアントおよび/またはサーバー コネクションが設定されていない場合に、ファイルをブロックするポリシーが期待通りに動作しない可能性があります。

 

    • Asymmetric Path - 非同期 ACK またはウィンドウ範囲外のシーケンス番号を含むパケットをドロップまたはバイパスするかどうかを決定します:
      • global - CLI で割り当てたシステム全体の設定を使用します。
      • drop - 非対称パスを含むパケットをドロップします。
      • bypass - 非対称パスを含むパケットのスキャンをバイパスします。

 

  • Network > Zones へ移動し、この Zone Protection Profile を必要な Interface/Zone に適用します。下記例では Zone Protection Profile は適用されていません。

Zones.PNG.png

  • Zone、例えば "Untrust1" をクリックし、下記に示すように Zone Protection Profile を追加して、Zone Protection Profile のドロップ ダウン メニューからその Zone Protection Profile を選択します。

Zone.PNG.png

  • 目的の Zone Protection Profile を選択したら、OK をクリックします。下記例では "Untrust1" ゾーンに Zone Protection Profile "Recon-Protect-Alert" が適用されています。

Zone Enable.PNG.png

 

著者: ppatel