Tráfico inesperado visto desde el agente de ID de usuario

Incidencia

Se observa tráfico inesperado desde el agente de ID de usuario sobre los puertos UDP 135 y 137.

• La aplicación se enumera como incompleta, MSRPC o NetBIOS-NS.
• El destino parece ser direcciones IP públicas aleatorias.
• Hay un montón de eventos 10009 eventos DCOM en el registro del sistema bajo el visor de eventos en el agente.

Causa

Este problema puede producirse si el identificador de usuario está habilitado en la zona no confiable (orientación pública) y el sondeo WMI está habilitado en el agente identificador de usuario. El problema ocurre porque cualquier conexión entrante de la zona de orientación pública será probablemente una dirección IP desconocida, porque el ID de usuario está habilitado en esta zona, el cortafuegos de Palo Alto Networks intentará identificar la asignación de usuario para la dirección IP de origen. Dado que la asignación no existe en el cortafuegos o el agente de ID de usuario, el agente intentará resolver la asignación de usuario IP a través de un sondeo WMI, lo que probablemente fallará. Esto puede causar problemas de rendimiento tanto en el Firewall como en el agente.

El tráfico generado y enviado a la zona de orientación pública es como se muestra a continuación, ver el tráfico destinado a una dirección IP pública aleatoria y destinado al puerto 137, y la aplicación es NetBIOS-NS:

A continuación se muestra el tráfico de la aplicación MSRPC y a veces incompleto:

Resolución

No habilite el ID de usuario en la zona de orientación pública. En la mayoría de los casos, el identificador de usuario sólo debe habilitarse en zonas internas o de confianza. Si el ID de usuario está habilitado en la zona de orientación pública, entonces deshabilitarlo yendo a la red > Zones > y haga clic en la zona Untrust y desmarque "activar la identificación del usuario":

La configuración de la zona final debe verse como el siguiente ejemplo:

Propietario: jteetsel