V2で誤ったプロトコルが許可される事象
Managed Firewall, Managed UTM
2024年9月30日 (2024年9月30日:更新)
事象概要
以下の条件がそろっている際にポリシーBのDNAT宛にポリシーAで許可されたサービスを流すと、ポリシーAでマッチする。
①Destination AddressがallでactionがacceptのポリシーAが存在していること。
②DNATを適用したポリシーBが存在していること。
③ポリシーAとポリシーBは同じIncoming InterfaceとOutgoing Interfaceとする。
影響
ポリシーBで許可されていないプロトコルがポリシーAで許可されていた場合、意図しない通信が成立してしまう可能性がある。
発生する構成例
送信元⇒(Port4)FW(Port5)⇒宛先 となる構成の場合
※DNATの設定はDNAT_hogeとして正しく設定されていることとします。
| Incoming Interface | Outgoing Interface | Destination Address Type | Destination | Service | Action | |
| policy A | Port4 | Port5 | Address Object | All | All | Accept |
| policy B | Port4 | Port5 | Nat Object | DNAT_hoge | 何らかのService | Accept |
対処方法
V3にバージョンアップすることで本事象は改善されます。
バージョンアップ手順はこちらです。
シングル構成
https://sdpf.ntt.com/services/docs/network-based-security/tutorials/rsts/security/order/managed_firewall_utm_v2/order_vu_single.html
HA構成
https://sdpf.ntt.com/services/docs/network-based-security/tutorials/rsts/security/order/managed_firewall_utm_v2/order_vu_ha.html