GlobalProtect: desHabilitar el acceso a la subred local
Resolution
En pre 7,0. Versiones de pan-os, cuando se estableció una conexión GlobalProtect, los usuarios tendrían acceso a su subred local. Seguirían siendo capaces de acceder a las impresoras locales, los archivos compartidos locales, etc.
Esto presenta un riesgo potencial porque se puede imprimir información confidencial y/o enviar esta información a los file servers locales.
Desde pan-os 7,0, los administradores tienen una manera de deshabilitar el acceso a las subredes locales. Todas las solicitudes a las subredes locales se rutearán a través del túnel.
Tenga en cuenta que esta función no es compatible con los clientes iOS o Android, por lo que sólo es Windows o OSX.
Esta función funciona con diferentes tipos de red. Algunos ejemplos son Hotel/Public HotSpot, redes privadas, sistemas con VPN existentes o adaptadores virtuales presentes, y sistemas usando servidores proxy.
Tenga en cuenta que esta función sólo admite IPv4.
Cómo funciona esto en Windows:
- Cuando GlobalProtect está conectado, escaneará la tabla de enrutamiento del PC local y creará nuevas rutas enmascaradas para todas las rutas de subred locales existentes, con la excepción de la ruta localhost (127.0.0.1) y las rutas autoseñaladas de los adaptadores físicos.
- Cuando GlobalProtect está desconectado, todas estas rutas enmascaradas se eliminan.
- Si GlobalProtect termina inesperadamente, las rutas enmascaradas se eliminan poco después
- por el SO ya que el adaptador virtual GlobalProtect ya no está presente
- Si el sistema operativo no lo hace, GP los eliminará cuando se reinicie
Por ejemplo, la ruta de destino se puede enmascarar de la siguiente manera:
Red destino máscara de enlace Gateway interface métrico
0.0.0.0 0.0.0.0 192.168.177.1 192.168.177.100 257
puede enmascararse para
Red destino máscara de enlace Gateway interface métrico
0.0.0.0 0.0.0.0 192.168.177.1 192.168.177.100 257
0.0.0.0 0.0.0.0 on-Link 172.20.30.40 1
Observe que la ruta añadida tiene una métrica inferior (1) y por lo tanto será la ruta preferida.
Cómo funciona esto en OSX:
- Prácticamente funciona de la misma manera. Solamente OSX maneja las rutas enmascaradas algo diferentemente. El Mac añade una bandera "I" a la ruta enmascarada, diciendo que sólo se utiliza para ese ámbito de interfaz específico.
Por ejemplo, la ruta de destino se puede enmascarar de la siguiente manera:
Banderas de Gateway de destino Ref. Use Netif expire
10.35.14/24 Link # 5 UCS 3 0 en1
puede enmascararse para
Banderas de Gateway de destino Ref uso Netif expire
10.35.14/24 7.7.7.5 UGdCSc 0 2 gpd0 10.35.14
/24 Link # 5 UCSI 1 0 en1
Como se ha explicado anteriormente, la bandera ' I ' significa que se utiliza RTF_IFSCOPE.
La configuración es muy fácil y se puede hacer en CLI y/o GUI.
A través de la CLI:
# Set global-proteja global-Protect-Gateway <NAME>remoto-usuario-túnel-configs <name>no-Direct-Access-a-local-Network
no no
sí sí </name> </NAME>
A través de la GUI:
- PAN-os 7,0: pestaña de red > GlobalProtect > gateways > > configuración del cliente > configuración de <Your gateway="">red > <Your config="">> configuración de red</Your> </Your>
Ajuste en PAN-OS 7,0
- PAN-os 7,1: pestaña de red > GlobalProtect > gateways > > <Your gateway="">agente > configuración de cliente > <Your config="">> configuración de red</Your> </Your>
Ajuste en PAN-OS 7,1
¡ Tenga en cuenta que esta función invalida el túnel dividido! Las rutas de acceso no funcionarán si habilita esta función, ya que se enmascararán. No hay ningún mensaje de error o de advertencia y el cuadro de ' ruta de acceso ' no está atenuado. Usted todavía será capaz de crear rutas de acceso, pero sólo tenga en cuenta que no funcionará si ha habilitado esta característica.
Para solucionar problemas, tenga en cuenta que no hay registros agregados en pan-os, PanGPA. log o PanGPS. log. Puede ver si la función está activada o no en PanGPS. log y PanGPA. log. Esto confirma que su Gateway está enviando esta configuración.
En Windows, Compruebe la aplicación y los registros del sistema para que no se cree una ruta. En OSX, revise/var/log/System.log para ver si hay fallas para crear una ruta.