Unbekannte IP-Rate Limit Mitigation für Benutzer-ID Zuordnungen

Übersicht

Service-Geräte, die weder eine Komponente der Unternehmensdomäne noch einen echten Benutzer hinter ihnen werden häufig übersehen, wenn die User-ID-Topologie zu entwerfen. Diese Geräte "bring your own Device" (BYOD) und Smartphones, Verhalten sich wie Mitarbeiter-Workstations und Sitzungen auf der Firewall des Unternehmens, Schaffung von zusätzlichen Stress auf die User-ID-Topologie zu erzeugen. Smart-Phones verdoppeln die Anzahl der Benutzer, die identifiziert und zu den richtigen Sicherheitsrichtlinien angepasst werden müssen. Wegen diesem Szenario ist es möglich, das Limit für unbekannte IP-Adressen und Benutzer-ID Agenten sondiert die Palo Alto Networks Firewall zu erreichen.

Problem

Benutzer werden nicht identifiziert und erscheinen als "unbekannt", in der die Firewall Nutzer-IP-Zuordnungen. Dies kann dazu führen Benutzer entsprechen in der Regel falsch und verursachen Verkehr gelöscht oder gesperrt werden.

In der User-ID Protokoll (useridd.log) erscheint folgende Meldung:

> tail folgen ja mp-Log useridd.log

2014-01-20 14:07:45.498 + 0100 Pan_user_id_agent_update_unknown_ip_rate_limit: Unbekannte IP-Rate beträgt jetzt 101, sodass Bandbreitenbegrenzung für VM1_collector

Eine Kontrolle über die Anzahl der unbekannten IP-Benutzer Zuordnungen liefert einen hohen Wert, zum Beispiel: 

> Show Benutzer User-Ip-Mapping alle geben unbekannte Option Anzahl

Insgesamt: 349 Benutzer

Ursache

Dieser Prozess geschieht, wenn die Rate der Senden von Abfragen für unbekannte IP-Adressen von der Firewall an die User-ID-Agent über 100 unbekannten IP-Adressen pro Sekunde wird. In der Zeit, wenn dieses Protokoll generiert wird, hat die Firewall viele unbekannte IP-Adressen in die Nutzer-IP-Zuordnungen. Wenn jeder beantragen muss an dieser Stelle eine unbekannte IP-Adresse an der User-ID-Agent gesendet werden, wird die Abfrage gelöscht und die Zuordnung ist nicht von der User-ID-Agent beantragt.

Hinweis: das Limit für die Firewall beträgt 100 Anfragen für unbekannte IP-Adressen pro Sekunde, was auch für die größten Implementierungen eine hohe Rate ist. Die meisten Benutzer feststellen nicht auch die Standardeinstellungen, wahrscheinlich dieses Problem während der Lebensdauer der Firewall.

Die Bandbreitenbegrenzung dauert in der Regel für ein paar Sekunden (abhängig von dem Netz) und der Administrator kann die Ratenbegrenzung in derselben Protokolldatei (useridd.log) entfernt sehen:

2014-01-20 14:07:45.498 + 0100 Pan_user_id_agent_update_unknown_ip_rate_limit: Unbekannte IP-Rate beträgt jetzt 101, sodass Bandbreitenbegrenzung für VM1_collector

2014-01-20 14:07:47.504 + 0100 Pan_user_id_agent_update_unknown_ip_rate_limit: Unbekannte IP-Rate beträgt jetzt 76, deaktivieren Sie die Bandbreitenbegrenzung für VM1_collector

Nach der Bandbreitenbegrenzung fertigen Ergebnisse in eine deutlich kleinere Anzahl von unbekannten Benutzern ist das gleiche Kommando ausgeführt. Zum Beispiel:

> Show Benutzer User-Ip-Mapping alle geben unbekannte Option Anzahl

Gesamt: 21 Benutzer

In diesem Zeitraum (2 Sekunden im obigen Beispiel) wurden alle Benutzer, die IP-User-Mapping benötigt verworfen. Die Bandbreitenbegrenzung Periode ist klein und die "unbekannten" Ip-Benutzer-Zuordnungen haben deutlich kleinere Ablauf Timer als die identifizierten Benutzer. Es ist jedoch möglich, dass Benutzer falsche Regeln aufgrund dieser entsprechen Prozess zu begrenzen. Dies wird begleitet durch ungewöhnliche Verkehr anmeldet, wo ein Benutzer als eine Quelle des Verkehrs zugeordnet, gefolgt von einem "unbekannten" Benutzer als Quelle von derselben IP-Adresse dann später gefolgt von dem Benutzer wieder korrekt zugeordnet wird. Der Prozess hängt von der Aktivität des Benutzers. Wenn der Benutzer eine andere Sitzung initiiert, wird eine neue Anforderung an die User-ID-Agent gesendet, da die Firewall "unbekannt" Benutzer, die IP-Adresse zugewiesen hat. Der Agent antwortet mit dem Mapping.

Die hohe Rate von unbekannter Nutzer-IP-Anfragen von der Firewall kann auftreten, wenn es gibt viele Systeme, die Nutzer hinter sich haben. Dazu gehören IP-Telefone, Mobiltelefone, Drucker, wireless-Accesspoints, Server und Arbeitsstationen, die nicht Teil der Domäne sind, und andere Maschinen zum Einsatz in der Gesellschaft. Da diese Geräte häufig Sessions initiieren und keine Benutzer hinter sich haben, versucht die Palo Alto Networks Firewall ständig, Sie zu kartieren.

Lösung

Um das Problem zu beheben, verwenden Sie die Benutzer-Identifikation-ACLs auf die Zonen, wo die Benutzer-ID aktiviert ist.

1. Gehen Sie zu Netzwerk > Zonen.
2. Wählen Sie die Zone, wo die Benutzer-ID aktiviert ist.
3. Hinzufügen einer ausschließen oder / und Einschlussliste, wenn nötig. Beide Listen sind standardmäßig, was bedeutet, dass die Firewall versucht, Nutzer hinter alle IP-Adressen zu identifizieren, die Traffic generieren. Wenn die Include-Liste leer ist, enthält die Firewall alle IP-Adressen, außer in der Ausschlussliste.
   

Die Zonenkonfiguration finden Sie das gleiche Setup auf der CLI. Zum Beispiel:

> konfigurieren

# Show Zone Vertrauen-L3

Vertrauen-L3 {}

  Netzwerk {}

    Layer3 [ethernet1/2 loopback.4 vlan.30];

  }

Enable-Benutzerkennung ja;

  Benutzer-Acl {}

    Ausschlussliste [10.2.13.0/24 10.8.97.0/27 172.120.5.0/25 Androiden "http-Server dynamische Gruppe" iPhones];

  }

}

Dies schränkt die Anzahl der Anforderungen, die die Firewall an der User-ID-Agent sendet nicht zeigen kein Interesse für die Objekte gegeben in der Ausschlussliste. Benutzer hinter diesen Adressen werden nicht identifiziert und in den Protokollen werden nicht angezeigt. Die Liste kann IP-Adressen, Netzwerke, Objekte oder Objektgruppen (statisch oder dynamisch) bestehen.

FAQ - mehr Info

Siehe unten für einige häufig gestellte Fragen und weitere Informationen zu diesem Thema:

• Was ist die tatsächlichen Auswirkungen der Userid aktivieren-Bandbreitenbegrenzung für unbekannte IPs?  
  1. Die PA ist-Sendeanforderungen für User-Ip-Mapping Bandbreitenbegrenzung da gibt es mehr als 100 unbekannte Benutzer pro zweite Generierung von Traffic, das war die DP treffen.
  2. Die Bandbreitenbegrenzung Periode ist klein und die "unbekannten" Ip-Benutzer-Zuordnungen haben deutlich kleinere Ablauf Timer als die identifizierten Benutzer. Es ist jedoch möglich, dass Benutzer falsche Regeln aufgrund dieser entsprechen Prozess zu begrenzen. Dies wird begleitet durch ungewöhnliche Verkehr anmeldet, wo ein Benutzer als eine Quelle des Verkehrs zugeordnet, gefolgt von einem "unbekannten" Benutzer als Quelle von derselben IP-Adresse und dann später gefolgt von dem Benutzer wieder korrekt zugeordnet wird. Der Prozess hängt von der Aktivität des Benutzers. Wenn der Benutzer eine andere Sitzung initiiert, wird eine neue Anforderung an die User-ID-Agent gesendet, da die Firewall "unbekannt" Benutzer, die IP-Adresse zugewiesen hat. Der Agent antwortet mit dem Mapping.
• Gibt es irgendwelche Schutzmaßnahmen verfügbar außer Zone einschließen/ausschließen ACLs, die wir kennen sollten? 
  1. Globale Firewall
     1. Vielleicht möchten die Funktion unten verwenden, aber dies nur bedeutet, die Nutzer-Ip-Zuordnung, die Sie lernen möchten.
        • Teilnetze zu einschließen/ausschließen für User-Mapping zu definieren
        • Gerät > Benutzeridentifikation > Benutzerzuordnung
        • Verwenden Sie die Include/Exclude Liste der Teilnetze zu definieren, die der User-ID-Agent wird ein- oder ausschließen bei IP-Adresse, Benutzername Zuordnung (Discovery).
     2. Pro Zone auf Firewall-w/UserID auf es aktiviert:
        1. Siehe Dokumentation im aktuellen Artikel
        2. Big Caveat -aus der Online-Hilfe:
           • "Wenn Sie der Ausschlussliste aber nicht die Liste Einträge hinzufügen, die Firewall schließt Benutzer Mapping-Informationen für alle Teilnetze innerhalb der Zone, Sie nicht nur die Teilnetze hinzugefügt." "
           • Wir sind einschließlich der RFC1918-Netze in der Liste enthalten, da die schließt haben Vorrang vor den beinhaltet.

• Gibt es ein "Nerd-Knopf", der auf größeren Plattformen, um die Schwelle eingestellt werden kann? 
  1. Nein, die Rate ist hartcodiert 100 unbekannte Benutzer pro Sekunde unabhängig von der Plattform.

Besitzer: Ialeksov