Unerwarteter Verkehr vom User-ID-Agent gesehen

Problem

Unerwarteter Verkehr wird vom User-ID-Agent über UDP-Ports 135 und 137 gesehen.

• Die Anwendung ist als unvollständig, Msrpc oder NetBIOS-NS aufgelistet.
• Das Ziel scheint zufällige öffentliche IP-Adressen zu sein.
• Es gibt eine Menge von Event 10009 Veranstaltungen DCOM-Veranstaltungen im System Log unter dem Event-Viewer auf dem Agent.

Ursache

Dieses Problem kann auftreten, wenn User-ID auf der nicht vertrauenswürdigen (Public Facing) Zone aktiviert ist und WMI-soning auf dem User-ID-Agent aktiviert ist. Das Problem geschieht, weil alle eingehenden Verbindungen, die aus der Public-Facing-Zone gelangen, wahrscheinlich eine unbekannte IP-Adresse sein werden, da die User-ID auf dieser Zone aktiviert ist, wird die Palo Alto Networks Firewall versuchen, die Benutzer-Kartierung für die Quelle-IP-Adresse zu identifizieren. Da die Kartierung nicht auf der Firewall oder dem User-ID-Agent existiert, wird der Agent versuchen, die IP-Benutzer-Kartierung durch eine WMI-Sonde zu lösen, die höchstwahrscheinlich fehlschlagen wird. Dies kann zu Leistungsproblemen sowohl auf der Firewall als auch auf dem Agent führen.

Der Verkehr, der erzeugt und an die öffentliche Verkleidung geschickt wird, ist wie unten gezeigt, siehe den Verkehr, der für eine zufällige öffentliche IP-Adresse bestimmt ist und für den Port 137 bestimmt ist, und die Anwendung ist NetBIOS-NS:

Unten gezeigt, sehen Sie den Verkehr für die Anwendung Msrpc und manchmal unvollständig:

Lösung

Aktivieren Sie die User-ID nicht in der Public Facing Zone. In den meisten Fällen sollte die User-ID nur auf vertrauenswürdigen oder internen Zonen aktiviert werden. Wenn die User-ID auf der Public-Facing-Zone aktiviert ist, deaktivieren Sie diese, indem Sie zu Netzwerk > Zonen > gehen, und klicken Sie auf die Untrust-Zone und deaktivieren Sie "BenutzerIdentifikation aktivieren":

Die endgültige Zonen Konfiguration sollte wie das Beispiel unten aussehen:

Besitzer: Jteetsel