ユーザー ID マッピングの不明な IP 率制限緩和
Resolution
概要
ユーザー ID のトポロジを設計するとき、企業のドメインのコンポーネントでどちらもそれらの背後にある実際のユーザーがあるサービス デバイスはしばしば見過ごされています。これらのデバイスは、'独自のデバイスをもたらす' (BYOD) とスマート フォン、従業員のワークステーションとして動作し、ユーザー ID のトポロジに付加的な圧力を作成する企業のファイアウォールへのセッションを生成します。スマート フォンは、識別され、適切なセキュリティ ポリシーと一致する必要があるユーザーの数を倍増します。このシナリオでは、ため、未知の IP アドレスとユーザー ID エージェント パロアルト ネットワーク ファイアウォール上の制限に到達することが可能です。
問題
ユーザーが識別されていないとに '不明' と表示されます、ファイアウォールのユーザー IP マッピング。これは間違ったルールに一致するユーザーは、ことができます、削除またはブロックするトラフィックを引き起こします。
ユーザー ID のログ (useridd.log) に次のメッセージが表示されます。
> フォローはい mp ログ useridd.log の尾
2014-01-20 14:07:45.498 0100 は pan_user_id_agent_update_unknown_ip_rate_limit: 不明な IP 率は 101、VM1_collector の速度の制限を有効にします。
未知の IP ユーザー マッピングの数のチェックは、たとえば高い値を返します。
> 表示ユーザー ip ユーザ マッピングすべては未知のオプション数を入力
合計: 349 ユーザー
原因
このプロセスは、ファイアウォールからユーザー ID エージェントに未知の IP アドレスにクエリを送信する率は、1 秒あたり 100 以上の不明な IP アドレスをなるときに発生します。このログが生成されたときに、ファイアウォールは、多くの不明な IP アドレス ユーザー IP マッピング。この時点でのいずれかを要求する場合、不明な IP アドレスはクエリが削除され、マッピングがユーザー ID エージェントから要求されていないユーザー ID エージェントに送信する必要があります。
注:ファイアウォールの制限は、最大の実装でも高いレートである1秒あたりの不明な IP アドレスの100要求です。ほとんどのユーザーも既定の設定可能性がありますファイアウォールの寿命中にこの問題を通知しません。
(ネットワーク) によって秒のカップルのため通常続くレート制限と、管理者は、同じログ ファイル (useridd.log) で削除されている律を見ることができます。
2014-01-20 14:07:45.498 0100 は pan_user_id_agent_update_unknown_ip_rate_limit: 不明な IP 率は 101、VM1_collector の速度の制限を有効にします。
2014-01-20 14:07:47.504 0100 は pan_user_id_agent_update_unknown_ip_rate_limit: 不明な IP 率は 76 では今、VM1_collector のレート制限を無効にします。
レート制限は、不明なユーザーの非常に小さい数値で結果を終えた後は、同じ運用コマンドを実行しています。例えば:
> 表示ユーザー ip ユーザ マッピングすべては未知のオプション数を入力
合計: 21 ユーザー
(上記の例では 2 秒)、その期間中に IP ユーザへのマッピングを必要とするすべてのユーザーが破棄されました。レート制限期間は小さく、識別されたユーザーよりも大幅に小さいの有効期限タイマーがあり、「不明」ip ユーザー マッピング。ただし、ユーザーがプロセスを制限する一致はこのため不適切なルールに不可能です。これは異常なトラフィック ログ、ユーザーがトラフィックのソースとしてマップ、続いて「不明」ユーザー ソースとして同じ IP アドレスから、後で後で、もう一度正しくマップされているユーザーを伴います。プロセスは、ユーザーのアクティビティに依存します。ユーザーは、別のセッションを開始する場合は、ファイアウォールがその IP アドレスに割り当てられている「不明」のユーザーを持っているので新しい要求がユーザー ID エージェントに送信は。エージェントは、マッピングを返します。
ファイアウォールからの不明なユーザー IP 要求の高い率は、それらの背後のユーザーを持っていない多くのシステムがある場合に発生します。彼らは、IP 電話、携帯電話、プリンター、無線アクセス ポイント、サーバーおよびドメインの一部ではないワークステーションおよび企業で使用される他のマシン。これらのデバイスは頻繁にセッションを開始し、その背後にあるユーザーを持っていないので、, パロアルトネットワークファイアウォールは、常にそれらをマップしようとしている.
解決方法
問題を解決するには、ユーザー Id が有効になっているゾーンでユーザー識別 Acl を使用します。
- ネットワークに行く > ゾーン。
- ユーザー id が有効になっているゾーンを選択します。
- 追加、除外または/必要な場合] ボックスの一覧で、です。両方のリストは、既定では、ファイアウォールがトラフィックを生成するすべての IP アドレスの背後にあるユーザーを識別しようとしていることを意味する空。含める] の一覧が空の場合、ファイアウォールには、除外リストを除く、すべての IP アドレスが含まれています。
ゾーン構成を確認するには、CLI 上の同じ設定を参照してください。例えば:
> 構成
# 表示ゾーン信頼 L3
信頼 L3 {
ネットワーク {
レイヤー 3 [ethernet1/2 loopback.4 vlan.30];
}
有効にするユーザー識別はい;
ユーザ acl {
除外リスト [10.2.13.0/24 10.8.97.0/27 172.120.5.0/25 アンドロイド「http サーバーの動的グループ」Iphone];
}
}
これは、ファイアウォールがない除外リストに与えられたオブジェクトの任意の関心を示すことによってユーザー ID エージェントに送信する要求の数を制限します。これらのアドレスの背後のユーザーは識別されず、ログには表示されません。一覧には、IP アドレス、ネットワーク、オブジェクト、またはオブジェクトのグループ (静的または動的) を持つことができます。
よくあるご質問-詳細情報
いくつかについては後述の FAQ とこの問題の詳細については。
- ユーザー Id 有効にする律不明な ip アドレスのための実際の影響は何ですか。
- PA は律 ip ユーザー マッピングの送信要求 DP を叩いていた 2 番目のトラフィックを生成するあたり 100 を超える未知のユーザーがあるため。
- レート制限期間は小さく、識別されたユーザーよりも大幅に小さいの有効期限タイマーがあり、「不明」ip ユーザー マッピング。ただし、ユーザーがプロセスを制限する一致はこのため不適切なルールに不可能です。これは異常なトラフィック ログ、どこユーザーがトラフィックのソースとしてマップ、続けて「不明」ユーザーがソースとして同じ IP アドレスからと後で正しく再マップされているユーザーによって伴われます。プロセスは、ユーザーのアクティビティに依存します。ユーザーは、別のセッションを開始する場合は、ファイアウォールがその IP アドレスに割り当てられている「不明」のユーザーを持っているので新しい要求がユーザー ID エージェントに送信は。エージェントは、マッピングと返信されます。
- あるゾーン以外にも利用可能な緩和策含める/除外する Acl 我々 が知っておくべきですか。
- グローバル ファイアウォール
- 以下の機能を使用する場合がありますが、これはのみ学習したいユーザー ip マッピングする意味します。
- ユーザー マッピングの包含/除外するサブネットを定義します。
- デバイス > ユーザー Id > ユーザー マッピング
- 含む/含まないネットワーク リストを使用すると、ユーザー ID エージェントを含めるか (発見) IP アドレスのユーザー名マッピングを実行するときに除外する複数のサブネットワークを定義します。
- 上のゾーンあたり w/ユーザー Id が有効になってをファイアウォールします。
- 現在の記事を参照してください。
- 大きな注意事項-オンラインヘルプから:
- 「除外リスト リストではなくエントリを追加するファイアウォールの除外ゾーン内すべてサブネットのユーザー マッピング情報、追加しただけではなくサブネットワーク。」
- 我々 は、以来、リストで RFC1918 ネットワークを含む、除外に優先順位があるが含まれています。
- 以下の機能を使用する場合がありますが、これはのみ学習したいユーザー ip マッピングする意味します。
- グローバル ファイアウォール
- 基準を上げる大きなプラットフォーム上調整ことができます「オタクのノブ」はありますか。
- いいえ、速度は、プラットフォームに関係なく 1 秒あたり 100 不明ユーザーにハードコードされます。
所有者: ialeksov