ユーザーが特定のリソースに断続的にアクセスできなくなる GlobalProtect
9264
Created On 04/20/21 08:29 AM - Last Modified 05/15/23 09:36 AM
Symptom
- リソースへのアクセスに関する断続的な問題GP。このリソースへのアクセスは、ユーザー経由で許可されます。IDベースのセキュリティ ルール。
- GlobalProtect ユーザーのために使用されます-IPマッピング学習。 他のユーザー-IDソースもユーザー用に設定されています。IPマッピング;例: Windows ベースの userID エージェント、XMLAPI等
- ユーザー/ユーザー グループがセキュリティ ルールから削除されると、問題は発生しません。
- 再提出HIPプロファイルにより問題が解決されます。 HIP プロファイルはデフォルトで 1 時間ごとに送信され、しばらくすると問題も自動的に解決されます。
- 発行時に「show user ip-user-mapping ip <globalprotect_client_IP>」では「不明」ユーザーが表示されます。
- ユーザー内では、IDログを確認すると、次のことがわかります。
これらのログによると、GPユーザー:パンタック\パロアルトログインしましたGPで04/20 19:31 。 その直後に同じログインイベントが発生しましたIPを通して学ばれますXMLAPI。次の理由により、タイムアウト値が 10800 秒から 2700 秒に変更されたことに注目してください。XMLAPIログインイベント。
NOTE:XMLAPIデモンストレーション目的で使用されています。 セッション/セキュリティ ログを読み取る機能を持つ Windows ベースの UserID エージェント (または PanOS 統合エージェント) が構成されている場合、問題が発生する可能性が高くなります。 例: ユーザーがログインした場合GP次に、プリンタなどの内部リソースにアクセスし、セキュリティ イベントを生成します。AD 、UserID エージェントはそれを読み取り、に転送します。firewall 。 これにより、既存のGP学習したユーザー-IPマッピング。
- トラフィック ログでは、「送信元ユーザー」が失われ、トラフィックが拒否ルールと一致し始めていることがわかります。 デフォルトの拒否ではセッションログが無効になっているため、これはお客様の環境では明らかではない場合があります。policy 。 その場合、特定のソースに対してトラフィック ログにギャップが見られます。IP 。
Environment
- パロアルト Firewall
- GlobalProtect
- ユーザー-ID
Cause
- この問題は、ユーザー識別タイムアウトが原因で発生しました。このシナリオでは 2700 秒 (45 分)。 これは、ユーザーで設定されるデフォルトのタイムアウトでもあります。IDエージェントのセットアップ。
- GP HIP プロファイルの送信は 1 時間ごとに行われ、ユーザーの情報が更新されます。IPマッピングfirewallただし、ユーザーがIPマッピングは上書きされましたXMLAPI、タイムアウトは 45 分にリセットされました。 45 分後、マッピングはクリアされ、次の瞬間からHIPプロフィールがまだ送信されていない場合、GPユーザーは期待されるセキュリティに到達しないでしょうpolicy。
Resolution
- ユーザー識別タイムアウトを少なくとも 1 時間に増やして、GPエージェントが提出できるようになりますHIP前のプロフィールfirewallキャッシュを削除します。
- 注: ユーザー識別タイムアウトは微調整の対象となります。かなり静的なオフィス環境では、デフォルトの Kerberos ユーザー チケットの有効期間が 10 時間であるため、このタイムアウトを 600 分以上に設定しても安全です。 多くのユーザーがワークステーションを共有する非常に動的な環境では、タイムアウトをより短い期間に設定する方が有益な場合があります。
Additional Information
- Windows ベースの userID エージェントを増やす方法: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZzCAK