Mitigación de límite de tasa IP desconocida para las asignaciones de identificador de usuario
Resolution
Resumen
Dispositivos de servicio que son ni un componente de dominio corporativo ni un usuario real detrás de ellos a menudo pasado por alto al diseñar la topología de ID de usuario. Estos dispositivos, "traiga su propio dispositivo" (BYOD) y teléfonos inteligentes, se comportan como estaciones de trabajo de empleados y generar sesiones del firewall corporativo, creando estrés adicional en la topología de ID de usuario. Los teléfonos inteligentes duplicar el número de usuarios que necesitan ser identificadas y coincide con la política de seguridad correcta. Debido a este escenario, es posible alcanzar el límite de direcciones IP desconocidas y ID de usuario agentes sondeados en el cortafuegos de Palo Alto Networks.
Incidencia
Los usuarios no son identificados y aparecen como 'desconocidos' en las asignaciones de usuario IP del firewall. Esto puede provocar usuarios que empareja una regla incorrecta y causar tráfico cayó o bloqueado.
En el registro de identificación de usuario (useridd.log) aparece el siguiente mensaje:
> cola siga sí mp-registro useridd.log
2014-01-20 14:07:45.498 + 0100 pan_user_id_agent_update_unknown_ip_rate_limit: tasa de IP desconocido es 101, que permite la limitación de velocidad para VM1_collector
Un control sobre el número de asignaciones de IP usuario desconocidos devuelve un valor alto, por ejemplo:
> Mostrar usuario ip mapping de usuario todo tipo cuenta opción desconocida
Total: 349 usuarios
Causa
Este proceso ocurre cuando la tasa de envío de consultas de direcciones IP desconocidas desde el firewall al agente de usuario se convierte en más de 100 direcciones IP desconocidas por segundo. En el momento cuando se genera este registro, el firewall tiene muchas direcciones IP desconocidas en las asignaciones de usuario IP. En este momento, si cualquier petición para una dirección IP desconocida debe enviarse al agente de ID de usuario, la consulta se cae y no se solicita la asignación del agente de usuario.
Nota: el límite en el Firewall es de 100 solicitudes de direcciones IP desconocidas por segundo, lo que es una tasa alta incluso para las implementaciones más grandes. Mayoría de los usuarios, con incluso el por defecto, probablemente no nota este problema durante la vida útil del firewall.
La limitación de velocidad normalmente dura un par de segundos (dependiendo de la red) y el administrador puede ver la tasa de limitación de ser eliminado en el mismo archivo de registro (useridd.log):
2014-01-20 14:07:45.498 + 0100 pan_user_id_agent_update_unknown_ip_rate_limit: tasa de IP desconocido es 101, que permite la limitación de velocidad para VM1_collector
2014-01-20 14:07:47.504 + 0100 pan_user_id_agent_update_unknown_ip_rate_limit: tasa de IP desconocido es ahora 76, desactivar la limitación de velocidad para VM1_collector
Ejecutar el mismo comando operacional después de la limitación de velocidad resulta acabada en un número significativamente menor de usuarios desconocidos. Por ejemplo:
> Mostrar usuario ip mapping de usuario todo tipo cuenta opción desconocida
Total: 21 usuarios
Durante ese período (2 segundos en el ejemplo anterior), se descartaron todos los usuarios que necesitan asignación IP-usuario. El período de limitación de velocidad es pequeño y el "desconocidas" asignaciones de usuario ip tienen temporizadores de vencimiento perceptiblemente más pequeños que los usuarios identificados. Sin embargo, es posible que los usuarios se adaptan a las reglas mal debido a esto limitar el proceso. Esto será acompañado por registros de tráfico inusual, donde un usuario es asignado como una fuente de tráfico, seguido por un usuario "desconocido" como una fuente de la misma dirección IP, entonces seguido más adelante por el usuario se asigna correctamente otra vez. El proceso depende de la actividad del usuario. Si el usuario inicia una sesión, una nueva solicitud se envía al agente de usuario porque el firewall tiene "desconocido" usuario asignado a esa dirección IP. El agente responde con la asignación.
El alto índice de peticiones de usuario desconocido-IP desde el servidor de seguridad puede ocurrir cuando hay muchos sistemas que no tienen los usuarios detrás de ellos. Incluyen teléfonos IP, teléfonos móviles, impresoras, puntos de acceso inalámbricos, servidores y estaciones de trabajo que no son parte del dominio, y otras máquinas utilizadas en la Corporación. Dado que estos dispositivos suelen iniciar sesiones y no tienen usuarios detrás de ellos, el Firewall de Palo Alto Networks está constantemente tratando de mapearlos.
Resolución
Para resolver este problema, utilice las ACL de identificación del usuario en las zonas donde está permitida la identificación de usuario.
- Ir a red > zonas.
- Seleccione la zona donde está habilitada la identificación del usuario.
- Agregar una exclusión o / y lista, si es necesario. Ambas listas están vacías por defecto, lo que significa que el servidor de seguridad intenta identificar a los usuarios detrás de todas las direcciones IP que generan tráfico. Si la lista incluye está vacía, el firewall incluye todas las direcciones IP, excepto ésos en la lista de exclusiones.
Para revisar la configuración de zona, consulte la misma configuración en el CLI. Por ejemplo:
> configurar
# Mostrar la zona de confianza-L3
Confianza-L3 {}
{red}
layer3 [ethernet1/2 loopback.4 vlan.30];
}
identificación del usuario activar sí;
usuario-acl {}
lista de exclusiones [10.2.13.0/24 10.8.97.0/27 172.120.5.0/25 androides "http servidores dinámica grupal" iPhones];
}
}
Esto limita el número de solicitudes que el servidor de seguridad envía al agente de ID de usuario, por no mostrar ningún interés por los objetos dados en la lista de exclusiones. Los usuarios detrás de esas direcciones no son identificados y no aparecen en los registros. La lista puede tener direcciones IP, redes, objetos o grupos de objetos (estáticos o dinámicos).
Preguntas frecuentes - más información
Vea a continuación algunas preguntas frecuentes y más información sobre este tema:
- ¿Cuál es el impacto real de ID de usuario que permite Tarifa-limitación para IPs desconocidas?
- La PA es tarifa-limitando las solicitudes de envío de ip mapping de usuario porque hay más de 100 usuarios de desconocido por segundo generando tráfico que estaba golpeando a la DP.
- El período de limitación de velocidad es pequeño y el "desconocidas" asignaciones de usuario ip tienen temporizadores de vencimiento perceptiblemente más pequeños que los usuarios identificados. Sin embargo, es posible que los usuarios se adaptan a las reglas mal debido a esto limitar el proceso. Esto será acompañado por registros de tráfico inusual, donde un usuario es asignado como una fuente de tráfico, seguido por un usuario "desconocido" como una fuente de la misma dirección IP y seguido más tarde por el usuario se asigna correctamente otra vez. El proceso depende de la actividad del usuario. Si el usuario inicia una sesión, una nueva solicitud se envía al agente de usuario porque el firewall tiene "desconocido" usuario asignado a esa dirección IP. El agente le responderá con la asignación.
- ¿Están allí cualquier mitigaciones disponibles además de zona de incluir/excluir ACL que debemos saber acerca de?
- Global en el Firewall
- Puede que desee utilizar la característica siguiente, pero esto sólo implica que la asignación de ip de usuario que desea aprender.
- Definir subredes para incluir/excluir para la asignación de usuario
- Dispositivo > identificación del usuario > Mapping de usuario
- Utilice la lista de redes de inclusión/exclusión para definir las subredes que el agente de usuario incluyen o excluyen al realizar la asignación de IP dirección de nombre de usuario (descubrimiento).
- Por zona en el cortafuegos w/ID de usuario habilitado en él:
- Consulte la documentación en el actual artículo
- Gran ADVERTENCIA -de la ayuda en línea:
- "Si agregar entradas a la lista de excluir pero no la lista incluyen, el firewall no incluye información de mapping de usuario para todas las subredes dentro de la zona, no sólo las subredes agregó."
- Estamos incluyendo las RFC1918 redes en la lista incluyen desde la excluye tienen precedencia sobre los incluye.
- Puede que desee utilizar la característica siguiente, pero esto sólo implica que la asignación de ip de usuario que desea aprender.
- Global en el Firewall
- ¿Hay un "botón de nerd" que puede ser ajustado en grandes plataformas para elevar el umbral?
- No, la tarifa es codificado a los 100 usuarios de desconocido por segundo independientemente de la plataforma.
Propietario: ialeksov