Verbindungssicherheitsverbesserungen ab PAN-OS 8.0

Verbindungssicherheitsverbesserungen ab PAN-OS 8.0

41391
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:43 PM


Symptom


In PAN-OS 8.0 führen Verbesserungen der Verbindungssicherheit zusätzliche Sicherheitsmaßnahmen im Zusammenhang mit Verwaltungsverbindungen zwischen einigen Palo Alto Networks-Entitäten ein. Die durch diese Funktion geschützten Verbindungen werden in der Abbildung dargestellt, und die Sicherheitsmaßnahmen beinhalten die Unterstützung für:

  • Kundenspezifische SSL / TLS Serviceprofile
  • Kundenzertifikate
  • SCEP Unterstützung
  • CRL/ OCSP Unterstützung
Panorama und Log Collector fungieren als Server für Verwaltungsverbindungen, die von Clients wie Firewalls, Log-Collector Client und Client initiiert Panorama HA werden.

connectenhance1. png

A Ein neuer Konfigurationsbereich namens Secure Server Communication wird eingeschaltet und Log Panorama Collector, damit Benutzer verschiedene Sicherheitsfeatures für die Verbindungen konfigurieren können, MGMT bei denen Geräte als Server fungieren.

Ein Panorama : Einrichten > Management > Einstellungen > Panorama Secure Server Communication

panorama Settings.png


Außerdem kann ein Log-Collector als Server für die Verbindungen fungieren, MGMT die von den Firewalls stammen.

On Log-Collector: Setup>Managed Collectors>Kommunikation > Secure Server-Kommunikation

sichere Kommunikation. png

Environment


  • PAN-OS 8.0
  • Panorama (oder Log-Collector)

Resolution


Sichere Serverkommunikation Panorama (und Log-Collector)

Custom SSL / TLS Profile

  • Administratoren haben die vollständige Kontrolle über die SSL Verschlüsselungen und Zertifikate, die vom Panorama /Log-Collector-Server für die SSL Verbindungen bei der Kommunikation mit den Clients verwendet werden.

sichere Kommunikation 2. png

  • Panorama/Log-Collector kann das Zertifikat pro Zertifikatprofilkonfiguration überprüfen, wenn Verbindungen von Clients ( firewall , Log-Collector oder seinem Hochverfügbarkeitspeer akzeptiert werden)
  • Panorama/Log-Collector kann den Status von Zertifikaten über OCSP / CRL wenn im Zertifikatprofil konfiguriert, überprüfen und Verbindungen beenden, wenn das Zertifikat abgelaufen oder widerrufen ist

sichere Kommunikation 3. png


Client Authentifizierung

  • Wenn Sie die Option "Nur benutzerdefiniertes Zertifikat" aktivieren, Panorama lehnt /Log-Collector die Verbindungen von Clients ab, die Pan-OS 7.1 und früher ausführen. Diese Geräte stellen beim Herstellen einer Verbindung mit dem Log-Collector ein vorinstalliertes Standardzertifikat Panorama dar.

Custom certs. png

  • Die Client-Authentifizierung kann mit der Berechtigungs Liste weiter verfeinert werden.
  • Die Berechtigungs Liste hätte Betreff, Betreff alt Name. Der Typ Betreffwert kann eine IP Adresse oder ein Domänenname sein. Der Betreff-Alt-Name kann Typen wie E-Mail, Domänenname, IP Adresse haben.
  • Kunden können auch über SerienNummern authentifiziert werden.
Custom certs2. png

 

Sichere Clientkommunikation ( Firewall , LC Clients, Panorama HA Client)

  • Benutzer können das Clientzertifikat auswählen, das vom Client bei der Kommunikation mit den Panorama /Log-Collector-Servern angezeigt werden soll. Dieses Clientzertifikat kann sich entweder lokal befinden oder über das Profil importiert SCEP werden.
  • Das Zertifikatprofil wird verwendet, um das vom /Log-Collector-Server vorgelegte Zertifikat zu Panorama überprüfen. Wenn OCSP / CRL konfiguriert ist, überprüfen Clients den Status der Zertifikate über diese Methoden und beenden die Verbindung, wenn das Zertifikat gesperrt/abgelaufen ist.

 

Der clientseitige Konfigurationsteil erfolgt über Secure Client Communication space. Da Firewalls, Panorama High-Availability Client, Log-Collector-Client in verschiedenen Fällen als Client fungieren kann, ist dieser Konfigurationsraum auf allen diesen Geräten verfügbar.

Graph. png

 

Ein Firewall: Einrichten > Management> Einstellungen > Panorama sichere Clientkommunikation
sichere Kundenkommunikation. png

Auf Panorama HA dem Client : > Panorama Hochverfügbarkeit >Einrichten

Clientkommunikation panorama .png

Auf Log Collector Client: Panorama > verwaltete Collectors > Kommunikation > sichere Clientkommunikation

Client Communication Collector. png

 

Problembehandlung

  • Systemprotokolle auf der Firewall und Panorama können verwendet werden, um Verbindungsprobleme zu MGMT SSL beheben.

Panorama Systemprotokolle
panoramalog. png

Firewall Systemprotokolle
firewalllog. png

  • A Die neue Spalte mit dem Namen Zertifikat wird unter Verwaltete Geräte eingeführt, auf Panorama der der Status des von den Clients vorgelegten Clientzertifikats angegeben ist.

verwaltetes Gerät. png

Hier finden Sie eine mögliche Liste der Nachrichten für die Zertifikats Statusspalte:

  • Der eingesetzte –-Kunde verwendet ein individuelles Zertifikat, das die Prüfung des Zertifikats Profils bestanden hat.
  • Vordefinierter-Client verwendet ein vordefiniertes Zertifikat
  • Zertifikats Validierungs Fehler – Client hat die Prüfung des Zertifikats Profils auf dem Server fehlgeschlagen.
  • Client Identity Check Fehler – Client-Zertifikat fehlgeschlagen die Authentifizierungs Listen-Checks auf dem Server
  • Keine Nachricht – Client hat alle Prüfungen auf der Server-Seite bestanden. Der Server CERT könnte die Kontrollen auf der Client-Seite fehlgeschlagen haben

Additional Information


Um mehr über dieses Thema oder allgemein zu PAN-OS erfahren, schauen Sie sich bitte die TechDocs PAN-OS Landing-Seite an
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTGCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language