IP inconnue taux limite des mesures d’atténuation pour les mappages de nom d’utilisateur

IP inconnue taux limite des mesures d’atténuation pour les mappages de nom d’utilisateur

31793
Created On 09/26/18 13:50 PM - Last Modified 09/25/23 12:42 PM


Resolution


 

 

Vue d’ensemble

Dispositifs de service qui ne sont ni une composante de la domaine d’entreprise ni ont un utilisateur réel derrière eux sont souvent négligés lors de la conception de la topologie de l’ID utilisateur. Ces dispositifs, « apportez votre propre appareil » (BYOD) et les téléphones intelligents, se comportent comme des postes de travail salarié et générer des séances pour le pare-feu d’entreprise, créant une pression supplémentaire sur la topologie de l’ID utilisateur. Les téléphones intelligents doubler le nombre d’utilisateurs qui doivent être identifiés et mis en correspondance avec la politique de sécurité appropriée. En raison de ce scénario, il est possible d’atteindre la limite pour des adresses IP inconnues et les agents de User-ID sondés sur le pare-feu de Palo Alto Networks.

 

Demande client

Les utilisateurs ne sont pas identifiés et apparaissent comme « inconnus » dans les mappages utilisateur-IP du pare-feu. Cela peut utilisateurs correspondant à une règle mal et provoquer le trafic à être supprimé ou bloqué.

Le message suivant apparaît dans le journal de User-ID (useridd.log) :

> queue suivre Oui mp-log useridd.log

2014-01-20 14:07:45.498 + 0100 pan_user_id_agent_update_unknown_ip_rate_limit : taux d’IP inconnue est actuellement 101, ce qui permet la limitation du débit pour VM1_collector

 

Un contrôle sur le nombre de mappages de IP-utilisateur inconnus retourne une valeur élevée, par exemple : 

> Voir l’utilisateur ip-utilisateur-cartographie tous type comte option inconnue

Total : 349 utilisateurs

 

Cause

Ce processus se produit lorsque le taux de l’envoi de requêtes pour des adresses IP inconnues du pare-feu à l’Agent utilisateur devient plus de 100 adresses IP inconnues par seconde. À l’époque où ce journal est généré, le pare-feu a beaucoup d’adresses IP inconnue dans les mappages utilisateur-IP. À ce stade, si toute demande pour une adresse IP inconnue doit être envoyée à l’Agent de l’User-ID, la requête est supprimée et la cartographie n’est pas demandée par l’Agent utilisateur.

Note: la limite sur le pare-feu est 100 demandes d'adresses IP inconnues par seconde, ce qui est un taux élevé, même pour les implémentations les plus importantes. La plupart des utilisateurs, avec même les paramètres par défaut, probables ne remarquent pas cette question au cours de la durée de vie du pare-feu.

 

La limitation du débit normalement dure pendant quelques secondes (selon le réseau) et l’administrateur peut voir le cinétiquement limitante retranchée dans le même fichier journal (useridd.log) :

2014-01-20 14:07:45.498 + 0100 pan_user_id_agent_update_unknown_ip_rate_limit : taux d’IP inconnue est actuellement 101, ce qui permet la limitation du débit pour VM1_collector

2014-01-20 14:07:47.504 + 0100 pan_user_id_agent_update_unknown_ip_rate_limit : taux d’IP inconnue est maintenant 76, désactiver la limitation du débit pour VM1_collector

 

En exécutant la commande opérationnelle même après que la limitante est résultats finis dans un nombre significativement plus faible d’utilisateurs inconnus. Par exemple :

> Voir l’utilisateur ip-utilisateur-cartographie tous type comte option inconnue

Total : 21 utilisateurs

 

Au cours de cette période (2 secondes dans l’exemple ci-dessus), tous les utilisateurs qui ont besoin de mappage utilisateur IP ont été rejetées. La période de limitation de vitesse est faible et les mappages utilisateur-ip « inconnus » ont des minuteries expiration nettement plus petits que les utilisateurs désignés. Cependant, il est possible que les utilisateurs correspondent aux règles mal à cause de cela limitant le processus. Cela sera accompagné par les journaux de trafic inhabituel, où un utilisateur est mappé comme une source de trafic, suivi d’un utilisateur « inconnu » comme une source de la même adresse IP, puis suivi plus tard par l’utilisateur est mappé correctement à nouveau. Le processus dépend de l’activité de l’utilisateur. Si l’utilisateur initie une nouvelle session, puis une nouvelle demande est envoyée à l’Agent utilisateur parce que le pare-feu est « inconnu » utilisateur affecté à cette adresse IP. L’agent répond avec la cartographie.

 

Le taux élevé de demandes utilisateur inconnu-adresse IP du pare-feu peut se produire lorsqu’il y a beaucoup de systèmes qui n’ont pas les utilisateurs derrière eux. Ils incluent IP téléphones, téléphones mobiles, imprimantes, points d’accès sans fil, serveurs et postes de travail qui ne font pas partie du domaine, et autres machines utilisées dans la société. Étant donné que ces dispositifs sont souvent initier des sessions et n'ont pas d'utilisateurs derrière eux, le pare-feu de Palo Alto Networks est constamment essayer de les mapper.

 

Résolution

Pour résoudre ce problème, utilisez les ACL d’Identification de l’utilisateur sur les zones où l’Identification de l’utilisateur est activée.

  1. Accédez au réseau > Zones.
  2. Sélectionnez la zone où l’identification de l’utilisateur est activée.
  3. Ajouter une exclusion ou / et saisir la liste, si nécessaire. Les deux listes sont vides par défaut, ce qui signifie que le pare-feu tente d’identifier les utilisateurs derrière toutes les adresses IP qui génèrent du trafic. Si la liste d’inclusion est vide, le firewall inclut toutes les adresses IP, sauf ceux sur la liste des exclusions.
    Screen Shot 2014-01-26 à 12.28.08 AM.png

 

Pour consulter la configuration de la zone, voir la même configuration sur l’interface CLI. Par exemple :

> configurer

# Voir la zone Trust-L3

Confiance-L3 {}

  réseau {}

    Layer 3 [ethernet1/2 loopback.4 vlan.30] ;

  }

Enable-identification des utilisateurs Oui ;

  utilisateur-acl {}

    Liste des exclusions [10.2.13.0/24 10.8.97.0/27 172.120.5.0/25 androïdes « groupe dynamique de serveurs http » iPhones] ;

  }

}

 

Cela limite le nombre de demandes que le pare-feu envoie à l’Agent utilisateur, en ne montrant aucun intérêt pour les objets donnés dans la liste des exclusions. Les utilisateurs derrière ces adresses ne sont pas identifiés et n’apparaissent pas dans les journaux. La liste peut avoir des adresses IP, réseaux, objets ou groupes d’objets (statiques ou dynamiques).

 

FAQ - plus d’Info

Voir ci-dessous pour certains FAQ et plus d’informations sur ce problème :

  • Quel est l’impact réel de Userid habilitante limitante pour IPs inconnu ?  
    1. Le PA est cinétiquement limitante les demandes d’envoi pour le mappage de l’utilisateur-ip car il n’y a plus de 100 utilisateurs inconnu par deuxième générer du trafic qui frappait la DP.
    2. La période de limitation de vitesse est faible et les mappages utilisateur-ip « inconnus » ont des minuteries expiration nettement plus petits que les utilisateurs désignés. Cependant, il est possible que les utilisateurs correspondent aux règles mal à cause de cela limitant le processus. Cela sera accompagné par les journaux de trafic inhabituel, où un utilisateur est mappé comme une source de trafic, suivi d’un utilisateur « inconnu » comme une source de la même adresse IP et puis plus tard par l’utilisateur est mappé correctement à nouveau. Le processus dépend de l’activité de l’utilisateur. Si l’utilisateur initie une nouvelle session, puis une nouvelle demande est envoyée à l’Agent utilisateur parce que le pare-feu est « inconnu » utilisateur affecté à cette adresse IP. L’agent répondra avec la cartographie.
  • Sont là des atténuations disponible en dehors de la zone inclure/exclure des ACL que nous devrions connaître ? 
    1. Global sur les pare-feu
      1. Vous pouvez utiliser la fonction ci-dessous, mais cela implique seulement au mappage utilisateur ip que vous souhaitez apprendre.
        • Définir les sous-réseaux pour inclure/exclure pour le mappage de l’utilisateur
        • Périphérique > Identification de l’utilisateur > mappage utilisateur
        • La liste d’inclusion/exclusion des réseaux permet de définir les sous-réseaux que l’agent utilisateur va inclure ou exclure lors de l’exécution de mappage d’adresse-de-nom d’utilisateur IP (découverte).
      2. Par Zone sur Firewall w/UserID a permis à ce sujet :
        1. Consultez la documentation dans l’article actuel
        2. Grande mise en garde-de l'aide en ligne:
          • « Si vous ajoutez des entrées à la liste d’exclusion, mais pas la liste comprennent, le pare-feu exclut les informations de mappage utilisateur pour tous les sous-réseaux au sein de la zone, pas seulement les sous-réseaux que vous avez ajouté. »
          • Nous sommes, y compris les réseaux RFC1918 dans la liste inclure depuis l’exclut priment sur le comprend.
  • Y a-t-il un bouton de « nerd » qui peut être ajusté sur les plus grandes plateformes d’élever le seuil ? 
    1. Non, le taux est codé en dur pour 100 utilisateurs inconnu par seconde indépendamment de la plateforme.

 

propriétaire : ialeksov
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cls9CAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language