Comprobaciones de cadera no se registran y se permite el tráfico cuando partido de cadera no

Comprobaciones de cadera no se registran y se permite el tráfico cuando partido de cadera no

49043
Created On 09/27/18 07:23 AM - Last Modified 02/07/19 23:36 PM


Resolution


 

 

Síntoma

Cuando una comprobación de cadera falla en un agente GlobalProtect, no se registra ningún evento en el registro de coincidencia de cadera. El host se conecta correctamente a la puerta de enlace y se permite el tráfico del host.

 

Causa

Los cheques de cadera que fallan no registran un evento bajo monitor > logs > partido de cadera. Asimismo, las directivas de seguridad configuradas con perfiles de cadera no se aplican a partidos de cadera fallidos. Los eventos de hip Match sólo se registran cuando se conectan los hosts con un perfil de cadera o un objeto hip. Para asegurar que se registre un evento de hip y para controlar el tráfico del host, cree un objeto hip que coincida con el tipo de host y controle el tráfico del agente GlobalProtect conectado con las reglas de seguridad.

 

Ejemplo

Para registrar GlobalProtect eventos de conexión para todos los hosts que están fuera de un grupo deseado, en este caso todos los hosts que no son miembros del dominio "mi dominio. local"), y para denegar el tráfico para esos hosts, siga estos pasos:

 

  1. Cree un objeto hip basado en un negativo que coincida con todos los objetos fuera de un grupo de host deseado. Ir a objetos > GlobalProtect > cadera objetos. Añada un objeto nuevo y especifique que el dominio del host de conexión "no es" igual a "mi dominio. local".  Imagen de usuario añadido
    Los hosts que se conectan, que no son miembros del dominio "mi dominio. local", coincidirán con este objeto hip, y se registrará un evento bajo el monitor > logs > log de hip Match.                                                                                                                                                                   
  2. Cree un perfil de cadera y añada el objeto hip:                                                                                                                           Imagen de usuario añadido
  3. Cree una directiva de seguridad que controle el tráfico de los hosts que no son miembros de dominio del dominio "mi dominio. local". Cree una directiva que deniegue el tráfico de los hosts que coincidan con el perfil de cadera.                                                                                 Imagen de usuario añadido

 

Verificar

Conecte un host con el agente GlobalProtect que no es un miembro de dominio de "mi dominio. local".

  1. Compruebe que se ha registrado un evento de match de cadera cuando el host conectado va a supervisar > logs > partido de cadera.
  2. Ir al monitor > log > tráfico y comprobar el tráfico del host es negado por la Directiva GP-deny.

 

Propietario: jmoses
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm83CAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language