ファイアウォールは、PAN-OS バージョン 11.0.4 にアップグレードしてから数分以内に GlobalProtect ユーザーの HIP レポートを失います
3699
Created On 05/23/24 00:52 AM - Last Modified 08/14/24 01:48 AM
Symptom
- ファイアウォールは、ユーザーのヒップレポートを断続的に表示しません。
- ユーザーがセキュリティ ポリシーに一致することができません。
Environment
- パロアルトNGFWファイアウォール
- PAN-OS 11.0.4+
- GlobalProtect(GP)アプリ
- HIPベースのポリシー適用
- IP-User マッピング
Cause
- ユーザー名は、異なるソースからのIPとユーザーのマッピングを学習したため、特定のIPに対して前後に変更されました。 これにより、ユーザー名の変更時にヒップデータがリセットされました。
- これは、特定のIPのGUI:Monitor > Logs > User-IDで確認できます。ユーザー名は前後に変更されます。
- この問題は、現在の PAN-OS バージョン 11.0.4 での動作変更が原因で発生します。
PAN-OS バージョン 11.0.4 より前:
ユーザー名が他のデータソースによって変更され、IPが同じままで、ユーザー名が異なるソースから変更された場合でも、すべてが機能していた理由が同じままである場合、同じHIPレポートが再利用されます。
PAN-OS バージョン 11.0.4+:
これにより、セキュリティ上の懸念が修正され、異なるソースから同じIPを持つ別のユーザーに間違ったヒップレポートが使用されなくなります。これにより、ユーザー名の変更時にヒップデータがリセットされました。
Resolution
- GlobalProtect IP プール サブネットの除外リストを [エージェントレス User-ID] または [Window ベースの User-ID エージェント ] で構成して、ファイアウォール上の IP-User マッピングをブロックします。
- これにより、IP-User マッピングを常に GlobalProtect から取得できます。