GP Der Bericht kann nicht an das GlobalProtect Gateway gesendet HIP werden, wodurch die basierte Durchsetzung beeinträchtigt HIP policy wird.
9397
Created On 10/20/22 10:49 AM - Last Modified 06/15/23 07:49 AM
Symptom
Nachdem GlobalProtect der Client den Tunnel (entweder IPsec oder SSL) mit GlobalProtect Gateway eingerichtet hat, sendet er GPC keine HIPreportcheck-Nachricht und führt auch nicht zum Senden von HIPreport.
- Schließlich wird der Hoststatus nicht an das GlobalProtect Gateway gesendet
- Wenn kein HIP Bericht über das Gateway vorhanden ist, wird der Zugriff des Benutzers auf Ressourcen über Gateway beeinträchtigt, da Sicherheitsrichtlinien mit dem Hoststatus konfiguriert werden, mit dem der abgeglichene Hoststatus abgeglichen werden soll
In pan_gp_event.log gibt es nach der Tunnelerstellung keine Ereignisse im Zusammenhang mit HIP
[Info ]: Portal login completed with address portal.abc.com and conect method of user-logon. [Info ]: Network discovery started. [Info ]: Manual Gateway login finished with address gateway.abc.com and user username. [Info ]: IPSec tunnel creation finished with Gateway gateway.abc.com
In PanGPS.log kann eine Sequenz von Ereignissen bemerkt werden,
- Der globalprotect Tunnel wird errichtet
- HIP Der Bericht wird generiert und in eine Datei geschrieben.
- HIPReportThread, stellt fest, dass der Netzwerktyp unbekannt ist
- HIPreportcheck wird nicht gesendet und schließlich wird auch HIPreport nicht gesendet
# the globalprotect tunnel is established and the status is connected (P5928-T17004)Debug( 278): HipCheckThread: check hip in other process. (P5928-T17004)Debug( 306): CheckHipInOtherProcess() (P5928-T17004)Debug( 310): Need to collect hip data (P5928-T14596)Dump (1030): status is Connected # the HIP report is read from PanGpHip & written to file -- so, the host state collection on the machine goes well (P5928-T17004)Debug( 140): Got hip report in other process ready event. (P5928-T17004)Debug( 159): Read output from PanGpHip.exe (P5928-T17004)Debug( 170): >>>CheckHip: hip report head size 11204 (P5928-T17004)Debug( 188): >>>CheckHip: total bytes read: 11204 (P5928-T17004)Debug( 198): write hip file now # HipReportThread performs discovers that the "network type" is unknown (P5928-T17004)Debug( 216): CheckHipInOtherProcess() sets hip report ready event. (P5928-T17004)Debug( 136): Wait for the ready event of hip report generated in other process. (P5928-T8540)Debug(6338): HipReportThread: got HIP report ready event. (P5928-T8540)Debug(6354): HipReportThread: wait for network discover ready event. (P5928-T8540)Debug(6359): HipReportThread: got network discover ready event. (P5928-T8540)Debug(6431): Sending hip report delay max registry setting is -1 seconds (P5928-T8540)Debug(6433): Set max sending hip report delay to default 1800 seconds (P5928-T8540)Debug(6449): v4 hip report is encoded (P5928-T8540)Debug(6472): HIP report v4 md5 digest is 9cabcc7b4d2d86a1666ddfe51fd25e4 * (P5928-T8540)Debug(6500): HipReportThread: network type is unknown network. (P5928-T8540)Dump (1030): status is Connected # the HIP report is not sent to the Gateway eventhough the Client is still connected; any access to resources via Gateway fails since it does not match the expected policy
- Das erneute Übermitteln des Hostprofils von GlobalProtect hilft auch nicht; die erneute Übermittlung durchläuft die obige Sequenz und endet direkt nach HipReportThread, der den Netzwerktyp als unbekannt identifiziert
Environment
GlobalProtect Gateways on- Prisma Access oder On-Premise
- HIP Gestützte Sicherheitsdurchsetzung policy
- Hinweis: HIP Für die Evaluierung von On-Premise-Gateways GP ist eine Lizenz erforderlich
Cause
Das Problem hängt hier in erster Linie mit der "Erkennung interner Hosts (IHD)" aus der Phase der Netzwerkerkennung zusammen.
- Standardmäßig muss das GlobalProtect Gateway wissen, ob der Bericht für ein internes oder externes Netzwerk gilt, um mit der HIP richtigen policy.
- Da es kein Konzept gibt, dass ein HIP Bericht für einen unbekannten Netzwerktyp gesendet wird, fährt HipReportThread nicht mit hipreportcheck &; hipreport fort.
(P5928-T20596)Debug(1943): Internal host detection is not defined (P5928-T20596)Debug(5881): NetworkDiscoverThread: network type is unknown. (P5928-T20596)Debug(5889): NetworkDiscoverThread: Discover internal network. (P5928-T20596)Info ( 376): Gateway count is 0 for internal network. * (P5928-T20596)Error(5922): NetworkDiscoverThread: UNKNOWN_NETWORK (internal host detection is not set) and internal gateway list is empty. (P5928-T20596)Debug(5967): NetworkDiscoverThread: Discover external network.
Resolution
1. Der Kunde muss wissen, wie er den Netzwerktyp (intern/extern) bestimmen kann. GlobalProtect Aktivieren Sie daher die interne Hosterkennung in der Portal Agent-Konfiguration.
- Die interne Hosterkennung ist zwar keine obligatorische Konfiguration, gilt jedoch als Best Practice und vermeidet diese Grenzfälle
Additional Information
In einem idealen Szenario (wenn der Netzwerktyp "bekannt" ist) fährt der HipReportThread fort, um die hipreportcheck-Nachricht auszulösen, und löst dann basierend auf der Antwort von Gateway das Senden von hipreport aus.
- Hinweis: Bei Benutzern, die eine Verbindung mit demselben GlobalProtect Gateway herstellen und eine Verbindung mit derselben Portal Agent-Konfiguration herstellen, für die die interne Hosterkennung nicht aktiviert ist, kann die Netzwerkerkennung im Gegensatz zu den oben genannten manchmal korrekt zurückgegeben werden. (Dies kann eine technische Diskussion erfordern, aber mit IHD aktiviert wird diese Seltenheit nicht gesehen)
- Gleichzeitig kann dieses Problem insbesondere bei ausgewählten Kombinationen aus Connect-Methode und Gateway-Typ auftreten