Vérifications de la hanches ne sont pas consignées et le trafic est autorisé lorsque HIP correspondance échoue

Vérifications de la hanches ne sont pas consignées et le trafic est autorisé lorsque HIP correspondance échoue

49053
Created On 09/27/18 07:23 AM - Last Modified 02/07/19 23:36 PM


Resolution


 

 

Symptôme

Lorsqu'une vérification de la hanche échoue pour un agent GlobalProtect, aucun événement n'est consigné dans le journal des correspondances hip. L'hôte se connecte avec succès à la passerelle, et le trafic de l'hôte est autorisé.

 

Cause

Les contrôles de la hanche qui échouent ne pas enregistrer un événement sous moniteur > logs > hip match. De même, les stratégies de sécurité configurées avec les profils hip ne s'appliquent pas aux matches de hanche défaillants. Les événements hip match ne sont enregistrés que lorsque les hôtes connectés correspondent à un profil de hanche ou à un objet hip. Pour vous assurer qu'un événement hip est consigné et pour contrôler le trafic de l'hôte, créez un objet Hip qui correspond au type d'hôte et contrôlez le trafic de l'agent GlobalProtect connecté avec les règles de sécurité.

 

Exemple

Pour enregistrer les événements de connexion GlobalProtect pour tous les hôtes qui se trouvent en dehors d'un groupe désiré, dans ce cas tous les hôtes qui ne sont pas membres du domaine "mydomain. local", et pour refuser le trafic pour ces hôtes, procédez comme suit:

 

  1. Créez un objet hip basé sur un négatif qui correspondra à tous les objets en dehors d'un groupe hôte désiré. Aller à objets > GlobalProtect > objets hip. Ajoutez un nouvel objet et spécifiez que le domaine de l'hôte de connexion «n'est pas» égal à «mydomain. local».  Image ajoutés par l’utilisateur
    Les hôtes qui se connectent, qui ne sont pas membres du domaine «mydomain. local», correspondront à cet objet Hip, et un événement sera consigné sous le journal Monitor > journaux > hip match log.                                                                                                                                                                   
  2. Créez un profil de hanche et ajoutez l'objet hip:                                                                                                                           Image ajoutés par l’utilisateur
  3. Créez une stratégie de sécurité qui contrôle le trafic à partir d'hôtes qui ne sont pas membres de domaine du domaine «mydomain. local». Créez une stratégie qui refuse le trafic des hôtes qui correspondent au profil de la hanche.                                                                                 Image ajoutés par l’utilisateur

 

Vérifiez

Connectez un hôte à l'agent GlobalProtect qui n'est pas un membre de domaine de «mydomain. local».

  1. Vérifiez qu'un événement hip match a été enregistré lorsque l'hôte connecté en allant à surveiller > logs > hip match.
  2. Accédez au moniteur > log > Traffic et vérifiez que le trafic de l'hôte est refusé par la stratégie GP-Deny.

 

propriétaire: jmoses
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm83CAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language