HIP チェックの失敗により、3 時間後に GlobalProtect トンネルが切断される
34338
Created On 09/01/20 19:57 PM - Last Modified 04/23/24 00:11 AM
Symptom
GlobalProtectユーザーは、ワークステーションからアクティブに作業を行っているにもかかわらず、3時間後に切断されます。
Environment
- 次の構成で構成されたパロアルトネットワークスファイアウォール: セキュリティポリシー、URLフィルタリングプロファイル
- グローバルプロテクトアプリ
Cause
- 次に示すように、非アクティブログアウトタイムアウトはデフォルトで3時間に設定されています。
- ユーザーが GlobalProtect に正常にログインすると、ユーザー マッピングがログインライフタイムタイムアウト値で表示されます。 数秒後、次に示すように、モニター > User-ID ログで 3 時間 (ハードコーディング) に変更されます。
- HIPチェックはGPアプリによって開始される毎時間行われます。 多くの場合、明示的なセキュリティ ポリシーが GlobalProtect ゲートウェイ接続用に構成され、URL フィルタリング プロファイルがこのポリシーに追加されます。
- ユーザーが GlobalProtect に接続すると、3 時間後に切断が開始されました。ファイアウォール上の URL フィルタリング ログに従って、ゲートウェイ URL "/ssl-vpn/hipreportcheck.esp" は次のようにブロックされていました。</GP-GATEWAY-IP>
- これは、URL カテゴリ "unknown" がブロックするように設定されており、ゲートウェイ URL がこのカテゴリに一致しているためです。 これは、次のように PanGPS.log でも確認できます。
P 866-T12663 Jan 28 12:38:19:653061 Debug(5028): https を使用してヒップ レポート チェックをゲートウェイ x.x.x.x
P 866-T12663 Jan 28 12:38:19:653067 デバッグ(5070): SN 92 を検出します。
P 866-T12663 Jan 28 12:38:19:653153 デバッグ(779): x.x.x.x
P 866-T12663 Jan 28 1月 22:38:19:746013 デバッグ(4407): SSL が成功確認
P 866-T 12663 Jan 28 12:38:19:834616 Error(4698): HTTP 200 OKは受信できません: HTTP/1.1 503 サービス利用不可
コンテンツタイプ: text/html; charset=UTF-8
コンテンツ長: 978
接続:
P3P を閉じる: CP="CAO PSA OUR"
1970年1月01日 00:00:00 GMT
キャッシュコントロール: ノーストア, キャッシュなし、 必ず再検証、ポストチェック=0、プリチェック=0
プラグマ:キャッシュなし
<html>
<head>
<title>Web ページがブロックされました</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<meta name="viewport" content="initial-scale=1.0">
<style>
#content {
border:3px solid#aaa;
background-color:#fff;
margin:1.5em;
padding:1.5em;
font-family:Tahoma,Helvetica,Arial,sans-serif;
font-size:1em;
}
h1 {
font-size:1.3em;
font-weight:bold;
color:#196390;
}
b {
font-weight:normal;
color:#196390;
}
</style>
</head>
<body bgcolor="#e7e8e9">
<div id="content">
<h1>Web ページがブロックされました</h1> <<<<<<<<
<p>アクセスしようとした Web ページへのアクセスは、会社のポリシーに従ってブロックされています。</div></body></html> エラーが発生していると思われる場合は、システム管理者に問い合わせてください。</p>
<p><b>ユーザー:</b> x.x.x.x </p>
<p><b>URL:</b> x.x.x/ssl-vpn/ヒップレポートチェック.esp </p> <<<<<<<<<<
<p><b>カテゴリ:</b> 不明 </p> <<<<<<<
P 866-T12663 Jan 28 12:38:19:834710 デバッグ(1322): OpenSSL アラート書き込み:警告:終了通知
P 866-T12663 Jan 28 1 月 22:38:19:834948 info (5073): SendN() が失敗しました。
P 866-T12663 1月28日 12:38:19:834964 デバッグ(4875): 送信ヒップ レポート チェックに失敗しました<<<<<<<<
P 866-T12663 Jan 28 12:38:19:653067 デバッグ(5070): SN 92 を検出します。
P 866-T12663 Jan 28 12:38:19:653153 デバッグ(779): x.x.x.x
P 866-T12663 Jan 28 1月 22:38:19:746013 デバッグ(4407): SSL が成功確認
P 866-T 12663 Jan 28 12:38:19:834616 Error(4698): HTTP 200 OKは受信できません: HTTP/1.1 503 サービス利用不可
コンテンツタイプ: text/html; charset=UTF-8
コンテンツ長: 978
接続:
P3P を閉じる: CP="CAO PSA OUR"
1970年1月01日 00:00:00 GMT
キャッシュコントロール: ノーストア, キャッシュなし、 必ず再検証、ポストチェック=0、プリチェック=0
プラグマ:キャッシュなし
<html>
<head>
<title>Web ページがブロックされました</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<meta name="viewport" content="initial-scale=1.0">
<style>
#content {
border:3px solid#aaa;
background-color:#fff;
margin:1.5em;
padding:1.5em;
font-family:Tahoma,Helvetica,Arial,sans-serif;
font-size:1em;
}
h1 {
font-size:1.3em;
font-weight:bold;
color:#196390;
}
b {
font-weight:normal;
color:#196390;
}
</style>
</head>
<body bgcolor="#e7e8e9">
<div id="content">
<h1>Web ページがブロックされました</h1> <<<<<<<<
<p>アクセスしようとした Web ページへのアクセスは、会社のポリシーに従ってブロックされています。</div></body></html> エラーが発生していると思われる場合は、システム管理者に問い合わせてください。</p>
<p><b>ユーザー:</b> x.x.x.x </p>
<p><b>URL:</b> x.x.x/ssl-vpn/ヒップレポートチェック.esp </p> <<<<<<<<<<
<p><b>カテゴリ:</b> 不明 </p> <<<<<<<
P 866-T12663 Jan 28 12:38:19:834710 デバッグ(1322): OpenSSL アラート書き込み:警告:終了通知
P 866-T12663 Jan 28 1 月 22:38:19:834948 info (5073): SendN() が失敗しました。
P 866-T12663 1月28日 12:38:19:834964 デバッグ(4875): 送信ヒップ レポート チェックに失敗しました<<<<<<<<
- したがって、3 回連続する HIP チェックが失敗すると(3 時間後)、ゲートウェイはトンネルを切断します。
Resolution
- カスタム URL カテゴリを作成し、その URL を追加することで、URL フィルタリング プロファイルのゲートウェイ URL をホワイトリストに登録できます。 このカテゴリは、URL フィルタリング プロファイルで許可または警告のアクションを許可または警告に設定する必要があります。
- これにより、1 時間ごとに発生する HIP チェックが確実に行われます。ゲートウェイが受信した後、GlobalProtect マッピングを 3 時間にリセットし、ファイアウォールが更新された HIP レポートを取得します (変更が古い HIP レポートに対して存在する場合)。