Cómo configurar una comunicación segura entre el cortafuegos de Palo Alto Networks y el agente de ID de usuario

Cómo configurar una comunicación segura entre el cortafuegos de Palo Alto Networks y el agente de ID de usuario

62923
Created On 09/25/18 17:30 PM - Last Modified 06/13/23 13:52 PM


Resolution


A partir de PAN-OS 8,0, tenemos la opción de tener una comunicación segura, con la ayuda de certificados, entre el firewall y el agente de usuario-ID.


Nota: Esto requiere que el Firewall esté en pan-OS 8,0 (o posterior), así como el agente ID de usuario para estar en 8,0 (o posterior).

 

En este proceso, la UIA (User-ID Agent) presentará un certificado al firewall para validarlo. El cortafuegos verificará este certificado según el perfil de certificación configurado. Si pasa todas las comprobaciones en el perfil de certificado, el Firewall aceptará la conexión de la UIA. Esto puede garantizar la seguridad contra UIAs "Rogue".

 

 

Aquí hay un tutorial paso por instalación para configurar esto:

 

1. Inicie la UIA, debería ver una nueva opción denominada ' certificado de servidor ':

UIA blankbetter. Jpg

 

2. Necesitamos crear un nuevo CSR para la UIA y conseguir que sea firmado por una CA externa, CA interna o un certificado auto-firmado presente en el firewall. (Nota: necesitaremos el certificado de CA para estar presente en el firewall para poder usarlo en el perfil del certificado y validar el certificado de la UIA).

 

3. Una vez tengamos un certificado, podemos importarlo en la UIA junto con su clave privada. Asegúrese de confirmar la configuración.

Importación de la UIA cert. Jpg

  

4. Cree un nuevo perfil de certificado y utilice la CA utilizada para firmar la RSE de la UIA.

 

5. Debe ver una nueva pestaña en el dispositivo > identificación del usuario, denominada ' seguridad de conexión ':

ficha Seguridad de conexión 1better. Jpg

 

6. Seleccione el perfil de certificado creado en el paso 4.

 

7. Si la confirmación va bien, debe ver la UIA conectada correctamente con el firewall.

conectar-agente-éxito. Jpg

conectar-Agent-success2. Jpg

 

 

Escenario de error

 

Si un certificado incorrecto o no está presente en la UIA mientras la seguridad de la conexión está activada en el cortafuegos, verá la siguiente entrada de registro en los registros del sistema (y del identificador de usuario):

conexión-agente-falla. Jpg

Para el mismo error, en el agente, se verían los siguientes registros (en Monitoring-> logs):
UIA failurebetter. Jpg

 

Espero que esto ayudó. ¡ Mantente a salvo!
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGFCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language