GlobalProtect: lokaler Subnetz-Zugang deaktivieren
Resolution
In der Zeit vor 7,0. PAN-OS-Versionen, wenn eine GlobalProtect-Verbindung eingerichtet wurde, hätten Nutzer Zugriff auf Ihr lokales Subnetz. Sie würden immer noch in der Lage sein, auf lokale Drucker, lokale Datei Aktien usw. zuzugreifen.
Dies stellt ein potenzielles Risiko dar, weil man sensible Informationen ausdrucken und/oder diese Informationen an lokale Dateiserver senden kann.
Seit PAN-OS 7,0 haben Administratoren eine Möglichkeit, den Zugang zu den lokalen Subnetzen zu deaktivieren. Alle Anfragen an die lokalen Subnetze werden dann durch den Tunnel geleitet.
Beachten Sie, dass diese Funktion nicht auf iOS oder Android-Clients unterstützt wird, also nur Windows oder OSX.
Diese Funktion arbeitet mit verschiedenen Netzwerktypen. Einige Beispiele sind Hotel/Öffentlicher Hotspot, private Netzwerke, Systeme mit bestehenden VPN oder virtuellen Adaptern und Systeme, die Proxy-Server verwenden.
Beachten Sie, dass diese Funktion nur IPv4 unterstützt.
Wie das in Windows funktioniert:
- Wenn GlobalProtect angeschlossen ist, scannt es die Routing-Tabelle des lokalen PCs und erstellt neue, maskierte Routen für alle bestehenden lokalen Subnet-Routen, mit Ausnahme der localhost-Route (127.0.0.1) und selbst Zeig baren Routen von physischen Adaptern.
- Wenn GlobalProtect getrennt wird, werden alle diese maskierten Routen entfernt.
- Wenn GlobalProtect unerwartet endet, werden die maskierten Routen kurz darauf entfernt
- durch das Betriebssystem, weil der GlobalProtect Virtual Adapter nicht mehr vorhanden ist
- Wenn das Betriebssystem dies nicht tut, wird GP Sie entfernen, wenn es neu startet
So kann beispielsweise die Zielroute wie folgt maskiert werden:
Netzziel Netmaske Gateway Interface metric
0.0.0.0 0.0.0.0 192.168.177.1 192.168.177.100 257
kann maskiert werden, um
Netzziel Netmaske Gateway Interface metric
0.0.0.0 0.0.0.0 192.168.177.1 192.168.177.100 257
0.0.0.0 0.0.0.0 on-Link 172.20.30.40 1
Beachten Sie, dass die hinzugefügte Route eine niedrigere Metrik (1) hat und somit die bevorzugte Route sein wird.
Wie das auf OSX funktioniert:
- So ziemlich funktioniert genauso. Nur OSX bewältigt die maskierten Routen etwas anders. Der Mac fügt der maskierten Route eine Fahne "I" hinzu und sagt, dass Sie nur für diesen speziellen Interface-Bereich verwendet wird.
So kann beispielsweise die Zielroute wie folgt maskiert werden:
Ziel-Gateway-Flags-Refs verwenden Netif expire
10.35.14/24 Link # 5 UCS 3 0 en1
kann maskiert werden, um
Ziel-Gateway-Flags-Refs verwenden Netif expire
10.35.14/24 7.7.7.5 Ugdcsc 0 2 gpd0
10.35.14/24 Link # 5 UCSI 1 0 en1
Wie oben erläutert, bedeutet die Fahne "I", dass RTF_IFSCOPE verwendet wird.
Die Konfiguration ist sehr einfach und kann auf CLI und/oder GUI durchgeführt werden.
Über das CLI:
# Set Global-Protect Global-Protect-Gateway <NAME>Remote-Benutzer-Tunnel-configs <name>No-Direct-Zugang-zu-Local-Netzwerk
Nein Nein
Ja </name> </NAME>
Über die GUI:
- PAN-OS 7,0: Netzwerk-Tab > GlobalProtect > Gateways > <Your gateway="">> Client-Konfiguration > Netzwerk-Einstellungen > <Your config="">> Netzwerk-Einstellungen</Your> </Your>
Einstellung in PAN-OS 7,0
- PAN-OS 7,1: Netzwerk-Tab > GlobalProtect > Gateways > <Your gateway="">> Agent > Client-Einstellungen > <Your config="">> Netzwerk-Einstellungen</Your> </Your>
Einstellung in PAN-OS 7,1
Beachten Sie, dass das Split-Tunnel von dieser Funktion überschrieben wird! Zufahrtswege funktionieren nicht, wenn man diese Funktion aktiviert, weil Sie maskiert werden. Es gibt keine Fehler-oder Warnmeldung und die "Access Route"-Box ist nicht ausgegraut. Sie werden immer noch in der Lage sein, Zugangswege zu schaffen, aber denken Sie nur daran, dass Sie nicht funktionieren, wenn Sie diese Funktion aktiviert haben.
Zur Fehlerbehebung beachten Sie, dass in PAN-OS, PanGPA. log oder PanGPS. log keine Protokolle hinzugefügt werden. Sie können sehen, ob die Funktion aktiviert ist oder nicht in PanGPS. log und PanGPA. log. Dies bestätigt, dass Ihr Gateway diese Konfiguration herunter sendet.
In Windows überprüfen Sie die Anwendung und die System Protokolle auf Ausfälle, um eine Route zu erstellen. In OSX, überprüfen Sie/var/log/System.log für Ausfälle, um eine Route zu erstellen.