Mejoras de seguridad de conexión a partir de PAN-OS la 8.0

Mejoras de seguridad de conexión a partir de PAN-OS la 8.0

41393
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:43 PM


Symptom


En PAN-OS 8.0, las mejoras en la seguridad de las conexiones introducen medidas de seguridad adicionales relacionadas con las conexiones de gestión entre algunas entidades de Palo Alto Networks. Las conexiones protegidas por esta función se muestran en la ilustración, y las medidas de seguridad incluyen soporte para:

  • Perfiles personalizados SSL / TLS de servicio
  • Certificados de cliente personalizados
  • SCEP apoyo
  • CRL/ OCSP apoyo
Panorama y Log Collector actúa como un servidor para las conexiones de administración iniciadas por clientes como firewalls, log-collector client y Panorama HA cliente.

connectenhance1. png

A nuevo espacio de configuración denominado Comunicación segura del servidor se introduce en y Panorama recopilador de registros para permitir a los usuarios configurar varias características de seguridad para las MGMT conexiones donde los dispositivos actúan como servidores.

Activado: Panorama Configuración > configuración de > de administración > comunicación Panorama segura del servidor

panorama Settings.png


Además, un recopilador de registros puede actuar como servidor para las MGMT conexiones que se originan desde los firewalls.

En Log-Collector: Configuración> Recopiladores administrados>Comunicación > Comunicación segura del servidor

comunicación segura. png

Environment


  • PAN-OS 8.0
  • Panorama (o recopilador de registros)

Resolution


Comunicación segura del servidor Panorama (y log-collector)

Personalizado SSL / TLS perfiles

  • Los administradores tendrán control total sobre los SSL cifrados y los certificados utilizados por el Panorama servidor /Log-Collector para las SSL conexiones al comunicarse con los clientes

comunicación segura 2. png

  • Panorama/Log-Collector puede validar el certificado por configuración de perfil de certificado al aceptar conexiones de clientes firewall (, Log-Collector o su par de alta disponibilidad)
  • Panorama/Log-Collector puede comprobar el estado de los certificados a través / OCSP cuando se configura en el perfil del CRL certificado, y terminar las conexiones si el certificado ha caducado o revocado

comunicación segura 3. png


Autenticación de cliente

  • Habilitar la opción "Solo certificado personalizado" hará que Panorama /Log-Collector rechace las conexiones de los clientes que ejecutan Pan-OS 7.1 y versiones anteriores. Estos dispositivos presentarán un certificado precargado predeterminado al conectarse al Panorama recopilador de registros.

certs. png personalizados

  • La autenticación del cliente puede ser afinada con la lista de autorización.
  • La lista de autorización tendría sujeto, tema Alt nombre. El tipo de valor de sujeto puede ser una IP dirección o un nombre de dominio. El nombre alternativo del asunto puede tener tipos como correo electrónico, nombre de dominio, IP dirección.
  • Los clientes también pueden ser autenticados a través de números de serie.
Custom certs2. png

 

Comunicación segura con el cliente Firewall (, LC clientes, Panorama HA cliente)

  • Los usuarios pueden seleccionar el certificado de cliente que presentará el cliente al comunicarse con los Panorama servidores /Log-Collector. Este certificado de cliente puede residir localmente o se puede importar a través de SCEP perfil.
  • Perfil de certificado se utiliza para validar el certificado presentado por el Panorama servidor /Log-Collector. Si OCSP CRL / está configurado, los clientes comprobarán el estado de los certificados a través de estos métodos y terminarán la conexión si el certificado se revoca/caduca.

 

La parte de configuración del lado cliente se realiza a través del espacio de comunicación segura del cliente. Dado que firewalls, Panorama cliente de alta disponibilidad, cliente log-collector puede actuar como clientes en varios casos, este espacio de configuración está disponible en todos estos dispositivos

Graph. png

 

Activado: Firewall Configuración > Administración> Configuración Panorama > Comunicación
comunicación de cliente segura. png segura del cliente

En Panorama HA cliente : > altadisponibilidad Panorama >Setup

.png de comunicación del cliente panorama

En log collector client: Panorama > recopiladores administrados > comunicación > comunicación segura del cliente

cliente de comunicación Collector. png

 

Solución de problemas

  • El sistema inicia sesión en el Firewall y se puede utilizar para solucionar problemas de Panorama MGMT SSL conexión.

Panorama Registros del sistema
panoramalog. png

Firewall Registros del sistema
firewalllog. png

  • A nueva columna denominada certificado se introduce en Dispositivos administrados en Panorama la que se indica el estado del certificado de cliente presentado por los clientes.

dispositivo administrado. png

A continuación se enumera una posible lista de mensajes para la columna Estado del certificado:

  • Implementado: el cliente utiliza un certificado personalizado que pasa la comprobación del perfil de certificado
  • Pre-definido-cliente está utilizando un certificado pre-definido
  • Error de validación de certificado: el cliente falló la comprobación del perfil de certificado en el servidor.
  • Error de comprobación de identidad de cliente: fallo del certificado de cliente la lista de autenticación comprueba en el servidor
  • Ningún mensaje – el cliente pasó todas las comprobaciones del lado del servidor. El CERT del servidor pudo haber fallado los cheques hechos en el lado del cliente

Additional Information


Para obtener más información sobre este tema o PAN-OS en general, consulte la página de aterrizaje de TechDocs PAN-OS
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTGCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language