Analisis Forense - Colision ZPA e Ivanti (2026-05-11)

Fuente: ZPA Support Bundle Zscaler-2026-05-11-13-13-21.zip Host: c11-iy90xvafdgf.dir.svc.accenture.com Ventana temporal: 11:04 - 11:13 UTC+2

Resumen Ejecutivo

El analisis del bundle de soporte ZPA revela una colision sistemica entre Zscaler ZPA y los adaptadores VPN Juniper/Ivanti (Pulse Secure) compitiendo por los mismos recursos de red. Se documentan 3 ciclos completos de fallo DTLS, degradacion forzada a TLS, fallo de registro FQDN, y una cascada de desconexiones masivas de micro-tuneles. La causa raiz es la coexistencia no diseñada de dos capas de seguridad (ZPA + Ivanti VPN) sin configuracion de Split VPN.

Informacion del Host

Sistema Operativo: Windows 11 24H2 (Build 10.0.26100.8037) Hostname: c11-iy90xvafdgf.dir.svc.accenture.com Dominio AD: ad.bbva.com IP Wi-Fi: 192.168.1.15 IPv6: 2a0c:5a81:3408:4500:e563:f374:6822:e56b Boot Type: CLEAN_BOOT Hotfixes: Ninguno instalado (Windows Update posiblemente deshabilitado)

ZPA Version: 4.8.0.115 (x64) ZPA Enrollment ID: 022897C02BC1C7532F87FCD440899256FA415126 Timezone: Romance Daylight Time (UTC+2)

Adaptadores de Red Detectados

IfIndex	Adaptador	MAC	MTU	Estado
2	Wi-Fi	C86E081D3F5D	1500	Activo
9	Juniper Networks Virtual Adapter #2	000000000000	1500	OperStatus 6 (desconectado)
10	Juniper Networks Virtual Adapter	000000000000	1500	OperStatus 6 (desconectado)
5	Local Area Connection* 2	CA6E081D3F5D	1500	-
6	Local Area Connection* 1	C86E081D3F5E	1500	-

Configuracion VPN relevante:

vpnAdapterDescStr: Cisco,Juniper,Fortinet,PanGP,Check Point,VPN
enableSplitVpnTN: 0 — Split VPN DESHABILITADO
ZPA reporta Found 0 vpn adapters (no clasifica Juniper como VPN activos)

Procesos de Seguridad Relevantes

Proceso	PID	Puertos	Funcion
ZSATunnel.exe	15444	8999, 9009 TCP/UDP	Tunel ZPA
ZSATrayManager.exe	23436	165.225.92.40:443	Gestion tray ZPA
dgwip.exe	13460	127.0.0.1:3128	Proxy local ZPA
TaniumClient.exe	11116	17472/17473	EDR/Tanium
SenseNdr.exe	12844	-	Windows Defender Network Detection
CcmExec.exe	-	-	SCCM Client
fppsvc.exe	7460	-	FirePass (F5 VPN)
wepsvc.exe	8172	55552/55040	Windows Employee Protection

Hallazgos Criticos

1. ZPA inicio en modo “Partner” (apagado)

11:07:22 — ZpnTimeoutHandler: Shutting down because ZPA was turned off or in Partner mode
El servicio fue reiniciado como “New Enrollment”
Perfil Partner cargado con allowTLSFallback=1

2. FQDN_NO_MATCH en registro del cliente

11:07:58 — zpn_client_app_registration failure: FQDN_NO_MATCH
Client FQDN: c11-iy90xvafdgf.dir.svc.accenture.com
Ocurre dos veces (brokers 165.225.101.236 y 87.58.87.247)
El FQDN del host no coincide con las politicas configuradas en ZPA Admin
Dominio Accenture posiblemente asociado a VPN Ivanti, no a ZPA

3. Tres ciclos completos de fallo DTLS con degradacion a TLS

Ciclo	Inicio	Fin	SME Target	MTU	Resultado
1	11:08:01	11:08:17	165.225.93.176:443	1300→1200	6 timeouts, fallback a TLS
2	11:09:01	11:09:17	165.225.93.176:443	1200	6 timeouts, fallback a TLS
3	11:10:51	11:11:07	165.225.93.176:443	1200	6 timeouts, fallback a TLS

Cada ciclo: 6 intentos (FailureCount 0-5), error 10060 (Timeout)
TCP connect funciona, pero DTLS handshake falla consistentemente
MTU reducido en 100 tras fallos intermedios sin efecto
El patron consistente indica bloqueo UDP por capa WFP/VPN de Ivanti

4. Fallos DNS en deteccion de red trusted

11:07:45 - 11:07:57: 21 fallos DNS para pac.zscloud.net y pac.zscalertwo.net
evaluateTrustedNetwork: Error resolving on-net dns domain... Setting state to detection failed
ZPA no puede determinar si esta en red trusted

5. Fallo de micro-tuneles por politica ausente

11:08:36 — BRK_MT_SETUP_FAIL_NO_POLICY_FOUND error 5011
AppName: crl.igrupobbva — aplicacion BBVA sin politica ZPA asignada
Dos intentos (tag_id 65537, 65538) rechazados por el broker

6. Cascada de desconexiones masivas

11:11:21 - 11:11:28: 7 micro-tuneles (tag 65539-65545) cerrados con BRK_MT_CLOSED_FROM_ASSISTANT + Connection reset by peer
15+ eventos WAR de Connection reset by peer con SO_LINGER=0
47+ excepciones TcpConnection “Both client and server sockets are closed”
20+ excepciones TcpConnection en 1 segundo (11:12:43)

7. Agotamiento de puertos origen (ZPHM)

10 alertas Source port not available entre 11:07:57 y 11:12:48
Patron cada ~30 segundos
Indica competicion por puertos con otro tunel/VPN

8. Errores ZSAService al inicio

ZSAUpm Service stop fail. State: 0 (error 0x00000424 - servicio no encontrado)
RPC complete failed, error: 0x800706BA (RPC server unavailable)
islocalCaptiveMode failed / getTunnelStatusMT failed
ZSATunnel ya estaba parado al iniciar el servicio

9. Error en driver WFP (zsawdrv)

FwpsFlowAssociateContext0 failed - 0x%x, FlowId=%I64u
Unico error relevante en el driver (logs binarios de 31MB)
Indica fallo al asociar contexto de flujo en WFP

Conexioniones Externas ZPA

IP Remota	Puerto	Proceso Relacionado
3.254.29.157	443/49743	nxtcoordinator / ZSATunnel
4.207.247.139	443	ZSATunnel / OneDrive
18.158.23.184	443	dgadmin / ZSATunnel
138.2.172.92	443	TaniumClient / ZSATunnel
165.225.92.40	443	ZSATrayManager / ZSATunnel
165.225.93.176	443	SME target (DTLS fallido)
165.225.93.180	443	ZSATunnel (multiples conexiones)
22.6.108.150	22443	horizon_client_service / ZSATunnel
87.58.87.247	443	ZSATunnel (Broker secundario)

ZPA Domain Cache:

v8128svc008.ad.bbva.com → 100.64.1.1 (TTL 180s)
crl.igrupobbva → 100.64.1.2 (TTL 180s)

Eventos de Sistema (SysEvents.xml)

1000 eventos totales. Distribucion por fuente:

Fuente	Cantidad	Relevancia
Microsoft-Windows-FilterManager	108	WFP filter activity
Microsoft-Windows-HttpService	97	HTTP stack
Microsoft-Windows-DistributedCOM	67	DCOM errors (Level 2)
Microsoft-Windows-DNS-Client	29	DNS resolution failures
Tcpip	18	Stack TCP/IP (Level 2 errors)
Netwtw14	49	Intel WiFi driver
Microsoft-Windows-WLAN-AutoConfig	23	WiFi auto-config

Eventos Level 2 (Error) relevantes:

11:08:33Z — NETLOGON 8018 (domain peer discovery error)
11:07:20Z — Tcpip 158 + 16 (TCP/IP stack errors, coinciden con arranque ZPA)
10:45:19Z — NETLOGON 111 (Netlogon error previo)

Eventos de Aplicacion (AppEvents.xml)

1000 eventos totales. Fuentes destacadas:

Fuente	Cantidad	Relevancia
Microsoft-Windows-Security-SPP	443	Licensing
Avecto IC3 Adapter	91	Privilege management (Defendpoint)
Avecto Defendpoint Service	75	Error Level 2 recurrente
Nexthink Collector	7	Telemetria (error 11:07:20)
Windows Error Reporting	26	WER reports

Patron notable: Avecto Defendpoint Service genera errores Level 2 de forma periodica (cada ~1h), sugiriendo problemas de privilegios que podrian interferir con la instalacion/operacion de ZPA.

Estadisticas de Errores ZSATunnel

Categoria	Lineas
TcpConnection Exceptions (both sockets closed)	123
addTrafficForwardingFilters Fail	79
ConvertInterfaceLuidToAlias	77
DTLS/T2A Timeout	41
Connection Reset by Peer	35
DNS Resolution Failures	21
ZpnBroker Invalid Socket	18
Server/Client Read Failed	28
BRK_MT_SETUP_FAIL/CLOSED	30
ZpnSocketAcceptor Deleting handler	15
ZPHM Source port unavailable	10
MT_CLOSED_TERMINATED	2
FQDN_NO_MATCH	4
SNI parsing failures	2

Linea Temporal Critica

11:07:22  ZPA service stopped (Partner mode)
11:07:24  ZPA restarted as "New Enrollment"
11:07:25  Partner Login profiles loaded (allowTLSFallback=1)
11:07:44  Juniper VPN adapters detected (OperStatus=6), Split VPN disabled
11:07:45  DNS failures begin (pac.zscloud.net timeout)
11:07:57  T1 tunnel established, T2 fallback events fire
11:07:58  Broker connected (87.58.87.247), FQDN_NO_MATCH x2
11:08:01  DTLS Cycle 1 begins --> 6 timeouts --> TLS fallback at 11:08:17
11:08:17  DTLS->TLS fallback event raised
11:08:25  ZpnBrokerConn:1 Invalid socket (persistent from here)
11:08:33  NETLOGON domain peer discovery error (SysEvents)
11:08:36  BRK_MT_SETUP_FAIL_NO_POLICY_FOUND (crl.igrupobbva)
11:09:01  DTLS Cycle 2 begins --> 6 timeouts --> TLS fallback at 11:09:17
11:09:21  MT_CLOSED_TERMINATED, cascading Server Read Failed
11:09:26  6 x BRK_MT_CLOSED_FROM_ASSISTANT in rapid succession
11:10:51  DTLS Cycle 3 begins --> 6 timeouts --> TLS fallback at 11:11:07
11:11:21  Massive connection reset cascade (7 micro-tuneles killed)
11:11:26  Connection reset by peer x7 in 2 seconds
11:12:43  Flood of 20+ TcpConnection exceptions in 1 second
11:13:14  FINAL STATE: T2=TLS UP, ZPN=TLS AUTHENTICATED, broker=87.58.87.247

Causa Raiz

La causa raiz es el conflicto entre Ivanti VPN (adaptadores Juniper) y ZPA por recursos de red, con 3 vectores de fallo combinados:

1. DTLS bloqueado por WFP/VPN layer — Los 3 ciclos de fallo DTLS (error 10060 Timeout en SME 165.225.93.176:443) indican que el trafico UDP/DTLS es interceptado o bloqueado por los filtros WFP del Ivanti VPN o sus adaptadores virtuales. TCP connect funciona, pero DTLS handshake timeout falla siempre. ZPA se degrada a TLS. El driver zsawdrv tambien reporta FwpsFlowAssociateContext0 failed y ZPA muestra Desired sublayer weight is not assigned. Assigned weight = 65532.

2. FQDN_NO_MATCH por dominio corporativo Accenture — El hostname del equipo (c11-iy90xvafdgf.dir.svc.accenture.com) no tiene politica ZPA asignada. El dominio esta asociado a la VPN Ivanti corporativa, no a ZPA, creando un conflicto de identidad.

3. Agotamiento de puertos y recursos — Los adaptadores Juniper Virtual (aunque OperStatus=6), los mensajes de “Source port not available”, las interfaces fantasma (13+ interfaces sin rutas), y el ZpnBrokerConn:1 con “Invalid socket” persistente indican que Ivanti y ZPA compiten por los mismos recursos de socket/puerto.

Recomendaciones

Habilitar Split VPN Trusted Network para coexistencia Ivanti+ZPA. La configuracion actual enableSplitVpnTN: 0 impide que ZPA detecte y respete los tuneles VPN existentes.
Verificar WFP sublayer weights — ZPA reporto “Desired sublayer weight is not assigned. Assigned weight = 65532”. Ajustar el peso de la sublayer de ZPA para que no sea sobrepasado por los filtros de Ivanti.
Corregir FQDN_NO_MATCH — Registrar el dominio dir.svc.accenture.com en la configuracion ZPA Admin, o verificar que el hostname del equipo coincida con las politicas de enrollment.
Investigar Firewall/UDP blocking — El fallo consistente de DTLS (3 ciclos, 18 intentos, 0 exitosos) sugiere bloqueo UDP sistematico por Ivanti o firewall corporativo. Verificar reglas de allow para UDP/443 hacia los SME de ZPA.
Crear politica ZPA para crl.igrupobbva — La aplicacion no tiene politica asignada (error 5011 BRK_MT_SETUP_FAIL_NO_POLICY_FOUND).
Instalar hotfixes de Windows — El host no tiene ningun patch instalado. Esto puede afectar la estabilidad del stack TCP/IP y los drivers WFP.
Revisar Avecto Defendpoint — Genera errores Level 2 periodicos que podrian interferir con la instalacion/escalado de privilegios de ZPA.

Filtro WFP

3,505 filtros cargados en el driver WFP
Primeros 8 filtros: DROP en puertos 8999/9009 (TCP/UDP, IPv4/IPv6) — proteccion de puertos ZPA
Filtros de bypass/passthrough para trafico ZPA especifico (IPs destino 87.58.87.247, 165.225.93.176, etc.)

Notas del Analisis

zapprd.log y zsawdrv.log son archivos binarios (31MB cada uno) con formato propietario. Solo se extrajeron strings legibles. El unico error identificado fue FwpsFlowAssociateContext0 failed en zsawdrv.
SystemInfo.xml contenia 64,075 lineas con informacion exhaustiva del sistema.
Los XML de eventos (SysEvents/AppEvents) contienen 1000 eventos cada uno (limitados por el bundle export). No muestran eventos directos de Zscaler/Ivanti — los errores de red se ven indirectamente via Tcpip, DNS-Client y NETLOGON.
El archivo se extrajo de Zscaler-2026-05-11-13-13-21.zip enviado por Telegram el 2026-05-12.

Ver tambien: Zscaler ZPA - Arquitectura Zero Trust vs VPN Tradicional

Nota generada por Hermes Agent a partir del ZPA Support Bundle

Sammi De Blas | Knowledge Base

Explorador

Analisis Forense - Colision ZPA e Ivanti 2026-05-11