Améliorations de la sécurité de connexion à partir PAN-OS de 8.0

Améliorations de la sécurité de connexion à partir PAN-OS de 8.0

41395
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:43 PM


Symptom


En PAN-OS 8.0, l’amélioration de la sécurité des connexions introduit des mesures de sécurité supplémentaires liées aux connexions de gestion entre certaines entités de Palo Alto Networks. Les connexions protégées par cette fonction sont affichées dans l'illustration, et les mesures de sécurité incluent la prise en charge de:

  • Profils SSL personnalisés TLS /de service
  • Certificats clients personnalisés
  • SCEP Soutien
  • CRL/ OCSP soutien
Panorama et Log Collector agissent comme un serveur pour les connexions de gestion initiées par des clients tels que Firewalls, Log-Collector Client et Panorama HA client.

connectenhance1. png

A un nouvel espace de configuration appelé Secure Server Communication est introduit et Log Collector permet aux utilisateurs de configurer diverses fonctionnalités de sécurité pour les Panorama MGMT connexions où les périphériques agissent comme serveurs.

Sur Panorama : Setup > Management > Settings > Panorama Secure Server Communication

panorama Settings.png


En outre, un log-collector peut agir comme un serveur pour les MGMT connexions provenant des pare-feu.

Sur Log-Collector: Setup>Managed Collectors>Communication > Secure Server Communication

Secure Communication. png

Environment


  • PAN-OS 8.0
  • Panorama (ou Log-Collector)

Resolution


Secure Server Communication Panorama (et Log-Collector)

Personnalisé SSL / TLS profils

  • Les administrateurs auront un contrôle total sur les SSL chiffrements et les certificats utilisés par le Panorama serveur /Log-Collector pour les SSL connexions lors de la communication avec les clients

Secure Communication 2. png

  • Panorama/Log-Collector peut valider la configuration du certificat par profil de certificat lors de l’acceptation des connexions des clients ( firewall , Log-Collector, ou son pair haute disponibilité)
  • Panorama/Log-Collector peut vérifier l’état des certs via OCSP / lorsqu’ils sont CRL configurés dans le profil du certificat, et mettre fin aux connexions si le cert est expiré ou révoqué

Secure Communication 3. png


Authentification du client

  • L’activation de l’option « Certificat personnalisé uniquement » Panorama fera en partie /Log-Collector le rejet des connexions des clients exécutant Pan-OS 7.1 et plus tôt. Ces appareils présenteront un certificat préchargé par défaut lors de la connexion Panorama au Collecteur de journaux.

Custom certs. png

  • L'authentification du client peut être affinée avec la liste d'autorisation.
  • La liste d'Autorisation aurait sujet, sujet Alt nom. Le type de valeur objet peut être une IP adresse ou un nom de domaine. Le nom Alt objet peut avoir des types comme e-mail, nom de domaine, IP adresse.
  • Les clients peuvent également être authentifiés par des numéros de série.
Custom certs2. png

 

Communication client sécurisée ( Firewall , LC clients, Panorama HA client)

  • Les utilisateurs peuvent sélectionner le certificat client qui sera présenté par le client lors de la communication avec Panorama les serveurs /Log-Collector. Ce certificat de client peut résider localement ou peut être importé par SCEP profil.
  • Le profil de certificat est utilisé pour valider le certificat présenté par Panorama le serveur /Log-Collector. Si OCSP / CRL est configuré, les clients vérifieront l’état des certs via ces méthodes et mettrait fin à la connexion si le certificat est révoqué/expiré.

 

La partie de configuration côté client se fait via secure client communication space. Étant donné que Firewalls, Panorama client haute disponibilité, client Log-Collector peut agir en tant que client dans divers cas, cet espace de configuration est disponible sur tous ces appareils

Graph. png

 

Sur Firewall: Setup > Management> Settings > Panorama Secure Client Communication
Secure client communication. png

Sur Panorama HA le client : > hautedisponibilité Panorama >Setup

communication client panorama .png

Sur Log Collector Client: > Managed Collectors > Communication > Secure Client Panorama Communication

client communication collector. png

 

Dépannage

  • Le système se connecte sur Firewall le et peut être utilisé pour résoudre les problèmes de Panorama MGMT SSL connexion.

Panorama Journaux système
panoramalog. png

Firewall Journaux système
firewalllog. png

  • A une nouvelle colonne appelée certificat est introduite sous les appareils gérés Panorama sur lesquels indique l’état du certificat client présenté par les clients.

Managed Device. png

Voici une liste possible de messages pour la colonne Statut du certificat:

  • Déployé – le client utilise un certificat personnalisé qui a passé la vérification du profil de certificat
  • Pré-défini-client utilise un certificat prédéfini
  • Erreur de validation du certificat – le client n'a pas vérifié le profil du certificat sur le serveur.
  • Erreur de vérification de l'Identité du client – le certificat client n'a pas vérifié la liste d'Authentification sur le serveur
  • Aucun message – le client a passé toutes les vérifications du côté serveur. Le CERT serveur peut avoir échoué les contrôles effectués sur le côté client

Additional Information


Pour en savoir plus sur ce sujet PAN-OS ou en général, veuillez consulter la page TechDocs PAN-OS Landing
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTGCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language