Le trafic ne correspond pas à la Policy sécurité avec le profil HIP sélectionné
28688
Created On 03/14/19 00:38 AM - Last Modified 03/26/21 18:21 PM
Symptom
- VPN connexion établie entre le poste de travail client en cours GlobalProtect d’exécution firewall et configuré avec GlobalProtect Gateway
- GlobalProtect client envoie HIP un rapport à Gateway, Match on HIP firewall established
- Le trafic GlobalProtect à partir de la sécurité des correspondances du client avec le profil IP policy HIP configuré; session établie pour traiter le trafic en conséquence
- Moment après, un processus sur le client déclenche l’authentification du domaine avec un nom d’utilisateur différent, met à jour l’événement de sécurité sur le contrôleur de domaine qui met à IP- jour la cartographie utilisateur enregistrée sur ID l’agent utilisateur UIA ( ) ou basé PAN-OS (sans agent) utilisateur ID .
- Firewall apprend la cartographie mise à jour à partir de l’identification del’utilisateur, remplace la cartographie originale apprise de GlobalProtect la connexion client
- HIP l’état devient rapidement inadéquation, provoquant un nouveau trafic du GlobalProtect client mal géré par d’autres non HIP- configurés policy ; le profil est toujours valide à HIP l’époque
- Traffic Log indique que le trafic ne correspondant pas correctement HIP policy n’aurait aucune information utilisateur source
- Pour restaurer la connectivité grâce à firewall l’utilisateur doit se déconnecter GlobalProtect et se connecter à nouveau pour rétablir la cartographie des utilisateurs et IP- l’état HIP de correspondance
Environment
- PANOS 8.0.10
- GP Versions agent 4.1.1-14 & 4.1.6
- GlobalProtect Portail et passerelle sont configurés sur firewall
- HIP objets et profil configurés
- HIP profil sélectionné en sécurité policy
- IDL’utilisateur est configuré pour récupérer IP- la cartographie utilisateur
Cause
- Les informations HIP contenues dans le rapport sont maintenues par ID processus utilisateur, même processus qui gère la IP- cartographie des utilisateurs et la cartographie groupe-utilisateur
- Informations HIP dans le rapport est lié à IP- la cartographie utilisateur du GlobalProtect client; lorsqu’il reçoit la mise à jour de cartographie firewall pour le même GlobalProtect IP client, mais avec un nom d’utilisateur différent, il remplace l’enregistrement précédent
- Bien que le client ayant une connexion établie envoie un rapport une fois par heure à moins que quelque chose ne soit modifié sur le paramètre correspondant (par exemple le paramètre système, le logiciel installé), si la cartographie utilisateur correspondante est remplacé par une autre source de données (par exemple agent utilisateur), les données pour GlobalProtect VPN ce client seraient HIP firewall PC IP- ID HIP ignorées; le trafic d’un même client ne correspondrait plus aux politiques de HIP sécurité avec le profil sélectionné
Resolution
- En utilisant inclure / exclure la liste sur ID l’agent utilisateur (Comment ID l’utilisateur- Agent inclure / exclure les travaux de liste) ou paramètre utilisateur sans agent ( Comment ID configurer inclure / exclure la liste pour l’utilisateur sansIDagent - ), administrateur peut exclure les pools sur gateway de IP GlobalProtect l’utilisateur ID .
- Cette action ne laisse à la IP- fois la cartographie utilisateur et la correspondance HIP GlobalProtect qu’en tant que source.
- Par conséquent, HIP les informations sur le client GlobalProtect resteraient valides tant que la connexion du client VPN établie par est en GlobalProtect place.