Las fallas de comprobación de HIP hacen que el túnel GlobalProtect se desconecte después de 3 horas
34332
Created On 09/01/20 19:57 PM - Last Modified 04/23/24 00:11 AM
Symptom
Los usuarios de GlobalProtect se desconectan después de 3 horas, aunque están trabajando activamente desde sus estaciones de trabajo.
Environment
- Palo Alto Networks Firewall configurado con lo siguiente: Política de seguridad, Perfil de filtrado de URL
- Aplicación GlobalProtect
Cause
- El tiempo de espera de cierre de sesión de inactividad se establece en 3 horas de forma predeterminada, como se muestra a continuación:
- Cuando los usuarios inician sesión correctamente en GlobalProtect, su asignación de usuario se muestra con el valor de tiempo de espera de duración del inicio de sesión. Después de unos segundos, cambia a 3 horas (que está codificada de forma rígida) en el monitor > registros del User-ID tal y como se muestra abajo:
- Las comprobaciones de CADERA se realizan cada hora que se inician por la aplicación GP. En muchos casos, se configura una directiva de seguridad explícita para la conexión de puerta de enlace GlobalProtect y se agrega un perfil de filtrado de URL a esta directiva que se muestra a continuación:
- Cuando los usuarios se conectaron a GlobalProtect, después de tres horas, comenzaron a experimentar desconexiones.Según los registros de filtrado de URL en el firewall, la URL de puerta de enlace "/ssl-vpn/hipreportcheck.esp" se bloqueaba como se muestra a continuación:</GP-GATEWAY-IP>
- Esto se debió a que la categoría de dirección URL "desconocido" se estableció para bloquear y la dirección URL de puerta de enlace coincide con esta categoría. Esto se puede también verificar en el PanGPS.log como se muestra abajo:
P 866-T12663 28 de enero 12:38:19:653061 Depurar(5028): uso de https para enviar la comprobación de informe de cadera a la puerta de enlace x.x.x .x
P 866-T12663 Ene 28 12:38:19:653067 Debug(5070): La red descubre que SN 92 sigue siendo lo mismo.
P 866-T12663 Ene 28 12:38:19:653153 Depurar( 779): Conexión SSL a x.x.x.x
P 866-T12663 Ene 28 12:38:19:746013 Depurar(4407): SSL verificar
-T12663 28 de enero 12:38:19:834616 Error(4698): HTTP 200 OK no recibido: HTTP/1.1 503 Servicio No disponible
Tipo de contenido: texto/html; charset-UTF-8
Longitud del contenido: 978
Conexión: cerrar
P3P: CP -"PSA CAO NUESTRO"
expira: Jue, Thu, 01 Ene 1970 00:00:00 GMT
Cache-Control: no-store, sin caché, revalidato must, post-check-0, pre-check-0
Pragma: no-cache
<html>
<head>
<title>Página web bloqueada</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<meta name="viewport" content="initial-scale=1.0">
<style>
#content {
border:3px solid#aaa;
background-color:#fff;
margin:1.5em;
padding:1.5em;
font-family:Tahoma,Helvetica,Arial,sans-serif;
font-size:1em;
}
h1 {
font-size:1.3em;
font-weight:bold;
color:#196390;
}
b {
font-weight:normal;
color:#196390;
}
</style>
</head>
<body bgcolor="#e7e8e9">
<div id="content">
<h1>Página web bloqueada</h1> <<<<<<<<
<p>El acceso a la página web que intentaba visitar ha sido bloqueado de acuerdo con la política de la empresa.</div></body></html> Póngase en contacto con el administrador del sistema si cree que esto es un error.</p>
<p><b>Usuario:</b> x.x.x.x </p>
<p><b>URL:</b> x.x.x.x/ssl-vpn/hipreportcheck.esp </p> <<<<<<<<<<
<p><b>Categoría:</b> desconocido </p> <<<<<<<
P 866-T12663 Ene 28 12:38:19:834710 Debug(1322): OpenSSL alert write:warning:close notify
P 866-T12663 Jan 28 12:38:19:834948 Info (5073): SendNReceive() failed.
P 866-T12663 Ene 28 12:38:19:834964 Depurar(4875): Error en la comprobación del informe de cadera de envío<<<<<<<<
P 866-T12663 Ene 28 12:38:19:653067 Debug(5070): La red descubre que SN 92 sigue siendo lo mismo.
P 866-T12663 Ene 28 12:38:19:653153 Depurar( 779): Conexión SSL a x.x.x.x
P 866-T12663 Ene 28 12:38:19:746013 Depurar(4407): SSL verificar
-T12663 28 de enero 12:38:19:834616 Error(4698): HTTP 200 OK no recibido: HTTP/1.1 503 Servicio No disponible
Tipo de contenido: texto/html; charset-UTF-8
Longitud del contenido: 978
Conexión: cerrar
P3P: CP -"PSA CAO NUESTRO"
expira: Jue, Thu, 01 Ene 1970 00:00:00 GMT
Cache-Control: no-store, sin caché, revalidato must, post-check-0, pre-check-0
Pragma: no-cache
<html>
<head>
<title>Página web bloqueada</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<meta name="viewport" content="initial-scale=1.0">
<style>
#content {
border:3px solid#aaa;
background-color:#fff;
margin:1.5em;
padding:1.5em;
font-family:Tahoma,Helvetica,Arial,sans-serif;
font-size:1em;
}
h1 {
font-size:1.3em;
font-weight:bold;
color:#196390;
}
b {
font-weight:normal;
color:#196390;
}
</style>
</head>
<body bgcolor="#e7e8e9">
<div id="content">
<h1>Página web bloqueada</h1> <<<<<<<<
<p>El acceso a la página web que intentaba visitar ha sido bloqueado de acuerdo con la política de la empresa.</div></body></html> Póngase en contacto con el administrador del sistema si cree que esto es un error.</p>
<p><b>Usuario:</b> x.x.x.x </p>
<p><b>URL:</b> x.x.x.x/ssl-vpn/hipreportcheck.esp </p> <<<<<<<<<<
<p><b>Categoría:</b> desconocido </p> <<<<<<<
P 866-T12663 Ene 28 12:38:19:834710 Debug(1322): OpenSSL alert write:warning:close notify
P 866-T12663 Jan 28 12:38:19:834948 Info (5073): SendNReceive() failed.
P 866-T12663 Ene 28 12:38:19:834964 Depurar(4875): Error en la comprobación del informe de cadera de envío<<<<<<<<
- Así que cuando tres comprobaciones CONSECUTIVAs de HIP fallan (después de 3 horas), el gateway desconecta el túnel.
Resolution
- Puede incluir en la lista blanca la dirección URL de la puerta de enlace en el perfil de filtrado de direcciones URL creando una categoría de dirección URL personalizada y agregándole la dirección URL. Esta categoría se debe establecer para permitir o alertar a la acción en el perfil de filtrado de URL como se muestra a continuación:
- Esto garantizará que las comprobaciones de HIP se produzcan cada hora; restablecerá la asignación de GlobalProtect a 3 horas una vez que la puerta de enlace la reciba y el firewall también obtenga el informe HIP actualizado (si hay algún cambio en el informe HIP antiguo).