Datenverkehr kann Sicherheit Policy nicht mit HIP ausgewähltem Profil abgleichen
28665
Created On 03/14/19 00:38 AM - Last Modified 03/26/21 18:21 PM
Symptom
- VPN Verbindung zwischen Client-Workstation, die ausgeführt GlobalProtect und firewall mit Gateway konfiguriert ist GlobalProtect
- GlobalProtect Client sendet HIP Bericht an Gateway, HIP Abgleich auf firewall etablierten
- Datenverkehr aus der GlobalProtect IP Client-Übereinstimmung s-Sicherheit policy mit HIP konfiguriertem Profil; Sitzung eingerichtet, um den Datenverkehr entsprechend zu verarbeiten
- Kurz danach löst ein Prozess auf dem Client die Domänenauthentifizierung mit einem anderen Benutzernamen aus, aktualisiert das Sicherheitsereignis auf dem Domänencontroller, das die IP- auf dem ID Benutzer-Agent ( UIA ) oder dem basierten PAN-OS (agentenlosen) Benutzer aufgezeichnete Benutzerzuordnung weiter ID aktualisiert.
- Firewall lernt die aktualisierte Zuordnung von der Benutzeridentifikation , ersetzt die ursprüngliche Zuordnung, die aus der GlobalProtect Clientanmeldung gelernt wurde
- HIP Zustand wird bald in Konflikt, verursacht neuen Datenverkehr vom GlobalProtect Client falsch behandelt von anderen nicht konfiguriert ; Profil ist immer noch gültig zu dem HIP- policy HIP Zeitpunkt
- Traffic Log gibt an, dass der nicht korrekte Datenverkehr HIP policy keine Quellbenutzerinformationen enthält.
- Um die Konnektivität über den Benutzer wiederherzustellen, muss er firewall sich von der Benutzerab- GlobalProtect und -wieder anmelden, um die IP- Benutzerzuordnung und den Übereinstimmungszustand wiederherzustellen. HIP
Environment
- PANOS 8.0.10
- GP Agentenversionen 4.1.1-14 & 4.1.6
- GlobalProtect Portal und Gateway sind auf firewall
- HIP Objekte und Profil konfiguriert
- HIP Profil ausgewählt in Sicherheit policy
- Der Benutzer ID ist so konfiguriert, dass benutzerzuordnung abgerufen wird. IP-
Cause
- Informationen aus HIP dem Bericht werden vom ID Benutzerprozess verwaltet, dem gleichen Prozess, der die Benutzerzuordnung und die IP- Gruppenbenutzerzuordnung verwaltet.
- Informationen HIP in Bericht ist an IP- die Benutzerzuordnung vom GlobalProtect Client gebunden; wenn die firewall Zuordnungsaktualisierung für denselben GlobalProtect Client IP empfängt, aber mit einem anderen Benutzernamen, ersetzt er den vorherigen Datensatz
- Obwohl der Client mit einer etablierten Verbindung einen Bericht an einmal pro GlobalProtect VPN Stunde senden würde, es sei HIP firewall denn, es wird etwas auf entsprechenden PC (z. B. Systemeinstellung, installierte Software) geändert, wenn die entsprechende IP- Benutzerzuordnung durch eine andere Datenquelle (z. B. ID Benutzer-Agent) ersetzt wird, würden die HIP Daten für diesen Client ignoriert; der Datenverkehr desselben Clients würde nicht mehr mit den Sicherheitsrichtlinien mit dem ausgewählten Profil übereinstimmen. HIP
Resolution
- Durch die Verwendung der Include/Exclude-Liste auf dem ID Benutzer-Agenten (Wie die ID Benutzer-Agent-Liste einschließen/ausschließen funktioniert) oder der ID Agentless-Benutzereinstellung (Wie man include/Exclude List for Agentless User- konfiguriert),IDkann der Administrator die IP Pools auf Gateway vom Benutzer GlobalProtect ID ausschließen.
- Bei dieser Aktion bleiben sowohl die Benutzerzuordnung als auch IP- die Übereinstimmung nur als HIP GlobalProtect Quelle.
- Daher bleiben Informationen über den HIP GlobalProtect Client gültig, solange die Verbindung des Clients VPN durch eingerichtet GlobalProtect ist.