Security policy actions

Ogni volta che definite una nuova security policy sul vostro bel firewall Palo Alto Networks, oltre a specificare i vari criteri di match per stabilire in quali casi quella policy deve essere applicata, dovete anche dire che tipo di azione deve essere eseguita sui pacchetti che la innescano. L’azione va specificata nel campo ‘Action’ del riquadro ‘Action Setting’ nella tab ‘Actions’ della form di creazione/modifica della security policy:

Le opzioni disponibili sono le seguenti:

  • Allow (opzione di default)
  • Deny
  • Drop
  • Reset client
  • Reset server
  • Reset both client and server

Tralasciamo le azioni più ovvie e autoesplicative, e concentriamoci invece su Deny e Drop. Sono la stessa cosa oppure fanno cose differenti? Ovviamente fanno cose differenti; vediamo.

Drop: consiste nel droppare in maniera “sileziosa” il pacchetto intercettato dalla regola, vale a dire che il firewall scarta il pacchetto senza notificare in alcun modo l’host che lo ha inviato, che quindi non ha idea di cosa accada e del perché non riesce a stabilire una connessione o ad ottenere risposte. Quando si sceglie questa azione, opzionalmente si può decidere di inviare un pacchetto ICMP Unreachable al mittente per informarlo esplicitamente.

Deny: con questa azione il firewall applica l’azione di App Deny specifica dell’applicazione identificata per il pacchetto intercettato, quindi il comportamento del firewall varia in funzione dell’applicazione. Tale azione può essere un drop silenzioso come descritto prima, oppure un drop con reset.

Quello di informare il mittente del pacchetto in merito al fatto che la connessione è stata interrotta dal firewall può essere utile per regolare il comportamento di un’applicazione, evitando che questa continui a reiterare i tentativi di connessione, preservandone quindi il funzionamento.

Questo tuttavia è quello che dice la documentazione, il che non implica automaticamente che sia anche ciò che accade nella realtà.

Leave a Reply

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.