El firewall pierde el informe HIP para los usuarios de GlobalProtect a los pocos minutos de actualizar a la versión 11.0.4 de PAN-OS
3701
Created On 05/23/24 00:52 AM - Last Modified 08/14/24 01:42 AM
Symptom
- El firewall no muestra el informe de cadera para los usuarios de forma intermitente.
- Los usuarios no pueden coincidir con la política de seguridad.
Environment
- Cortafuegos NGFW de Palo Alto
- PAN-OS 11.0.4+
- Aplicación GlobalProtect (GP)
- Aplicación de políticas basadas en HIP
- Mapeo de usuarios IP
Cause
- El nombre de usuario cambiaba de un lado a otro para una IP determinada debido al aprendizaje de las asignaciones de usuario de IP de diferentes fuentes. Hizo que los datos de la cadera se restablecieran al cambiar el nombre de usuario.
- Esto se puede observar en GUI: Monitor > Logs > User-ID, para una IP determinada, donde el nombre de usuario se cambia de un lado a otro.
- Este problema se produce debido al cambio de comportamiento en la versión actual de PAN-OS 11.0.4.
Antes de la versión 11.0.4 de PAN-OS:
El mismo informe de cadera se reutiliza cuando el nombre de usuario cambia por otras fuentes de datos y la IP permanece igual que por qué todo funcionaba, incluso el nombre de usuario se cambió de una fuente diferente.
PAN-OS versión 11.0.4+:
Esto soluciona el problema de seguridad y el informe de cadera incorrecto no se usará para diferentes usuarios con la misma IP de la fuente diferente.Hizo que los datos de la cadera se restablecieran al cambiar el nombre de usuario.
Resolution
- Configure la lista de exclusión para la subred del grupo de IP de GlobalProtect en ID de usuario sin agente o Agente de ID de usuario basado en ventana para bloquear la asignación de usuario IP en el firewall.
- Esto ayudará a mantener el mapeo de usuarios IP siempre procedente de GlobalProtect.