Le pare-feu perd le rapport HIP pour les utilisateurs de GlobalProtect quelques minutes après la mise à niveau vers la version 11.0.4 de PAN-OS
3701
Created On 05/23/24 00:52 AM - Last Modified 08/14/24 01:48 AM
Symptom
- Le pare-feu n'affiche pas le rapport hip pour les utilisateurs par intermittence.
- Les utilisateurs ne sont pas en mesure de s’aligner sur la politique de sécurité.
Environment
- Pare-feu NGFW de Palo Alto
- PAN-OS 11.0.4+
- Appli GlobalProtect (GP)
- Application de la politique fondée sur le PHI
- Mappage IP-Utilisateur
Cause
- Le nom d’utilisateur changeait d’une adresse IP donnée en raison de l’apprentissage des mappages IP-utilisateur de différentes sources. Cela provoquait la réinitialisation des données de la hanche lors du changement de nom d’utilisateur.
- Cela peut être observé dans GUI : Monitor > Logs > User-ID, pour une adresse IP donnée, où le nom d’utilisateur est changé dans les deux sens.
- Ce problème se produit en raison du changement de comportement sur la version actuelle de PAN-OS 11.0.4.
Avant la version 11.0.4 de PAN-OS :
Le même rapport hip est réutilisé lorsque le nom d’utilisateur est modifié par d’autres sources de données et que l’adresse IP reste la même, c’est-à-dire pourquoi tout fonctionnait, même le nom d’utilisateur a été modifié par une source différente.
PAN-OS version 11.0.4+ :
Cela résout le problème de sécurité et le mauvais rapport hip ne sera pas utilisé pour un utilisateur différent avec la même adresse IP à partir de la source différente.Cela provoquait la réinitialisation des données de la hanche lors du changement de nom d’utilisateur.
Resolution
- Configurez la liste d’exclusion pour le sous-réseau du pool d’adresses IP GlobalProtect sous l’agent d’identification d’utilisateur sans agent ou l’agent d’identification d’utilisateur basé sur Windows afin de bloquer le mappage d’utilisateur IP sur le pare-feu.
- Cela permettra de conserver le mappage IP-utilisateur provenant toujours de GlobalProtect.