Les défaillances de contrôle HIP provoquent la déconnexion du tunnel GlobalProtect après 3 heures
34344
Created On 09/01/20 19:57 PM - Last Modified 04/23/24 00:11 AM
Symptom
Les utilisateurs de GlobalProtect sont déconnectés au bout de 3 heures, bien qu’ils travaillent activement à partir de leurs postes de travail.
Environment
- Pare-feu Palo Alto Networks configuré avec ce qui suit : Politique de sécurité, Profil de filtrage d’URL
- Application GlobalProtect
Cause
- Inactivity Logout délai d’attente est défini à 3 heures par défaut comme indiqué ci-dessous:
- Lorsque les utilisateurs se connectent avec succès à GlobalProtect, leur mappage utilisateur s’affiche avec la valeur de délai d’attente de la durée de vie de connexion. Après quelques secondes, il passe à 3 heures (qui est codée en dur) dans les journaux Monitor > User-ID comme indiqué ci-dessous:
- Les contrôles HIP sont effectués toutes les heures qui sont initiés par l’application GP. Dans de nombreux cas, une stratégie de sécurité explicite est configurée pour la connexion de passerelle GlobalProtect et un profil de filtrage d’URL est ajouté à cette stratégie, comme indiqué ci-dessous :
- Lorsque les utilisateurs se sont connectés à GlobalProtect, après trois heures, ils ont commencé à éprouver des déconnexions.Selon les journaux de filtrage d’URL sur le pare-feu, l’URL de la passerelle "/ssl-vpn/hipreportcheck.esp » était bloquée comme indiqué ci-dessous :</GP-GATEWAY-IP>
- C’est parce que la catégorie URL « inconnu » a été définie pour bloquer et l’URL de passerelle correspond à cette catégorie. Ceci peut également être vérifié sur PanGPS.log indiqué ci-dessous :
P 866-T12663 Jan 28 12:38:19:653061 Debug(5028): en utilisant https pour envoyer le chèque de rapport de hanche à la passerelle x.x.x.x
P 866-T12663 Jan 28 12:38:19:653067 Debug(5070): Network discover SN 92 reste le même.
P 866-T12663 Jan 28 12:38:19:653153 Debug( 779): SSL se connectant à x.x.x.x.x
P 866-T12663 Jan 28 12:38:19:746013 Debug (4407): SSL vérifier
réussir P866-T12663 Jan 28 12:38:19:834616 Erreur(4698): HTTP 200 OK non reçu: HTTP/1.1 503 Service Indisponible
Type de contenu: texte/html; charset=UTF-8
Content-Length: 978
Connection: close
P3P: CP="CAO PSA OUR »
Expire: Thu, 01 Jan 1970 00:00:00 GMT
Cache-Control: no-store, sans cache, must-revalidate, post-check=0, pré-check=0
Pragma: no-cache
<html>
<head>
<title>Page Web bloquée</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<meta name="viewport" content="initial-scale=1.0">
<style>
#content {
border:3px solid#aaa;
background-color:#fff;
margin:1.5em;
padding:1.5em;
font-family:Tahoma,Helvetica,Arial,sans-serif;
font-size:1em;
}
h1 {
font-size:1.3em;
font-weight:bold;
color:#196390;
}
b {
font-weight:normal;
color:#196390;
}
</style>
</head>
<body bgcolor="#e7e8e9">
<div id="content">
<h1>Page Web bloquée</h1> <<<<<<<<
<p>L’accès à la page Web que vous essayiez de visiter a été bloqué conformément à la politique de l’entreprise.</div></body></html> Veuillez contacter votre administrateur système si vous pensez que c’est une erreur.</p>
<p><b>Utilisateur:</b> x.x.x.x </p>
<p><b>URL:</b> x.x.x.x/ssl-vpn/hipreportcheck.esp </p> <<<<<<<<<<
<p><b>Catégorie:</b> inconnu </p> <<<<<<<
P 866-T12663 Jan 28 12:38:19:834710 Debug(1322): OpenSSL alert write:warning:close notify
P 866-T12663 Jan 28 12:38:19:834948 Info (5073): SendNReceive () failed.
P 866-T12663 Jan 28 12:38:19:834964 Debug (4875): Envoyer la vérification de rapport de hanche échoué<<<<<<<<
P 866-T12663 Jan 28 12:38:19:653067 Debug(5070): Network discover SN 92 reste le même.
P 866-T12663 Jan 28 12:38:19:653153 Debug( 779): SSL se connectant à x.x.x.x.x
P 866-T12663 Jan 28 12:38:19:746013 Debug (4407): SSL vérifier
réussir P866-T12663 Jan 28 12:38:19:834616 Erreur(4698): HTTP 200 OK non reçu: HTTP/1.1 503 Service Indisponible
Type de contenu: texte/html; charset=UTF-8
Content-Length: 978
Connection: close
P3P: CP="CAO PSA OUR »
Expire: Thu, 01 Jan 1970 00:00:00 GMT
Cache-Control: no-store, sans cache, must-revalidate, post-check=0, pré-check=0
Pragma: no-cache
<html>
<head>
<title>Page Web bloquée</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<meta name="viewport" content="initial-scale=1.0">
<style>
#content {
border:3px solid#aaa;
background-color:#fff;
margin:1.5em;
padding:1.5em;
font-family:Tahoma,Helvetica,Arial,sans-serif;
font-size:1em;
}
h1 {
font-size:1.3em;
font-weight:bold;
color:#196390;
}
b {
font-weight:normal;
color:#196390;
}
</style>
</head>
<body bgcolor="#e7e8e9">
<div id="content">
<h1>Page Web bloquée</h1> <<<<<<<<
<p>L’accès à la page Web que vous essayiez de visiter a été bloqué conformément à la politique de l’entreprise.</div></body></html> Veuillez contacter votre administrateur système si vous pensez que c’est une erreur.</p>
<p><b>Utilisateur:</b> x.x.x.x </p>
<p><b>URL:</b> x.x.x.x/ssl-vpn/hipreportcheck.esp </p> <<<<<<<<<<
<p><b>Catégorie:</b> inconnu </p> <<<<<<<
P 866-T12663 Jan 28 12:38:19:834710 Debug(1322): OpenSSL alert write:warning:close notify
P 866-T12663 Jan 28 12:38:19:834948 Info (5073): SendNReceive () failed.
P 866-T12663 Jan 28 12:38:19:834964 Debug (4875): Envoyer la vérification de rapport de hanche échoué<<<<<<<<
- Ainsi, lorsque trois contrôles HIP consécutifs échouent (après 3 heures), la passerelle déconnecte le tunnel.
Resolution
- Vous pouvez liste blancher l’URL de la passerelle sur le profil de filtrage d’URL en créant une catégorie d’URL personnalisée et en y ajoutant l’URL. Cette catégorie doit être définie pour autoriser ou alerter l’action sur le profil de filtrage de l’URL comme indiqué ci-dessous :
- Cela permettra de s’assurer que les contrôles HIP qui se produisent toutes les heures; réinitialisera la cartographie GlobalProtect à 3 heures une fois que la passerelle la recevra et que le pare-feu recevra également le rapport HIP mis à jour (si des modifications sont présentes par rapport à l’ancien rapport HIP).