Die Firewall verliert den HIP-Bericht für GlobalProtect-Benutzer innerhalb weniger Minuten nach dem Upgrade auf PAN-OS-Version 11.0.4
3701
Created On 05/23/24 00:52 AM - Last Modified 08/14/24 01:47 AM
Symptom
- Die Firewall zeigt den HIP-Bericht für die Benutzer zeitweise nicht an.
- Benutzer können die Sicherheitsrichtlinie nicht abgleichen.
Environment
- Palo Alto NGFW-Firewalls
- PAN-OS 11.0.4+
- GlobalProtect (GP) App
- HIP-basierte Richtliniendurchsetzung
- IP-Benutzer-Zuordnung
Cause
- Der Benutzername änderte sich für eine bestimmte IP hin und her, da IP-Benutzerzuordnungen aus verschiedenen Quellen gelernt wurden. Dies führte dazu, dass die Hüftdaten bei einer Änderung des Benutzernamens zurückgesetzt wurden.
- Dies kann in GUI: Monitor > Logs > User-ID für eine bestimmte IP beobachtet werden, wo der Benutzername hin und her geändert wird.
- Dieses Problem tritt aufgrund der Verhaltensänderung in der aktuellen PAN-OS-Version 11.0.4 auf.
Vor PAN-OS-Version 11.0.4:
Derselbe Hüftbericht wird wiederverwendet, wenn der Benutzername von anderen Datenquellen geändert wurde und die IP gleich bleibt, warum alles funktioniert hat, auch wenn der Benutzername aus einer anderen Quelle geändert wurde.
PAN-OS-Version 11.0.4+:
Dadurch wird das Sicherheitsproblem behoben und der falsche HIP-Bericht wird nicht für verschiedene Benutzer mit derselben IP-Adresse aus der anderen Quelle verwendet.Dies führte dazu, dass die Hüftdaten bei einer Änderung des Benutzernamens zurückgesetzt wurden.
Resolution
- Konfigurieren Sie die Ausschlussliste für das GlobalProtect IP Pool-Subnetz unter Agentless User-ID oder Window-based User-ID-Agent , um die IP-Benutzerzuordnung in der Firewall zu blockieren.
- Dies wird dazu beitragen, dass das IP-User-Mapping immer von GlobalProtect stammt.