GlobalProtect: désactive L'Accès au sous-réseau local

GlobalProtect: désactive L'Accès au sous-réseau local

103236
Created On 09/25/18 19:03 PM - Last Modified 06/13/23 05:04 AM


Resolution


En pré 7,0. Versions PAN-OS, lorsqu'une connexion GlobalProtect a été établie, les utilisateurs auraient accès à leur sous-réseau local.  Ils seraient toujours en mesure d'accéder aux imprimantes locales, aux partages de fichiers locaux, etc.

 

Cela présente un risque potentiel car on peut imprimer des informations sensibles et/ou envoyer ces informations aux serveurs de fichiers locaux.

 

Depuis PAN-OS 7,0, les administrateurs ont un moyen de désactiver l'accès aux sous-réseaux locaux.  Toutes les demandes aux sous-réseaux locaux seront ensuite acheminées par le tunnel.

 

 

Notez que cette fonctionnalité n'est pas prise en charge sur les clients iOS ou Android, donc c'est Windows ou OSX seulement.

 

Cette fonctionnalité fonctionne avec différents types de réseau.  Quelques exemples sont l'Hôtel/public hotspot, les réseaux privés, les systèmes avec VPN existants ou des adaptateurs virtuels présents, et les systèmes utilisant des serveurs proxy.

 

Notez que cette fonctionnalité prend en charge IPv4 uniquement.

 

Comment cela fonctionne dans Windows:

 

  • Lorsque GlobalProtect est connecté, il analysera la table de routage de l'ordinateur local et créera de nouveaux itinéraires masqués pour toutes les routes de sous-réseau locales existantes, à l'exception de l'itinéraire localhost (127.0.0.1) et des itinéraires d'auto-pointage des adaptateurs physiques.
  • Lorsque GlobalProtect est déconnecté, tous ces itinéraires masqués sont supprimés.
  • Si GlobalProtect se termine de façon inattendue, les itinéraires masqués sont supprimés peu après
    • par le système d'EXPLOITATION parce que l'adaptateur virtuel GlobalProtect n'est plus présent
    • Si le système d'exploitation ne parvient pas à le faire, GP les supprimer quand il redémarre

Par exemple, l'itinéraire de destination peut être masqué comme suit:

Réseau destination netmask Gateway Interface métrique
0.0.0.0 0.0.0.0 192.168.177.1 192.168.177.100 257

peut être masqué pour

 

Réseau destination netmask Gateway Interface métrique
0.0.0.0 0.0.0.0 192.168.177.1 192.168.177.100 257
0.0.0.0 0.0.0.0 on-Link 172.20.30.40 1

 

Notez que l'itinéraire ajouté a une métrique inférieure (1) et sera donc l'itinéraire préféré.

 

Comment cela fonctionne sur OSX:

 

  • Ça marche à peu près de la même façon. Seul OSX gère les itinéraires masqués un peu différemment. Le Mac ajoute un drapeau "I" à l'itinéraire masqué, en disant qu'il est uniquement utilisé pour cette portée d'interface spécifique.

Par exemple, l'itinéraire de destination peut être masqué comme suit:

Destinations Gateway Flags Refs Use Netif expire
10.35.14/24 Link # 5 UCS 3 0 EN1

peut être masqué pour

 

Destinations Gateway Flags Refs Use Netif expire
10.35.14/24 7.7.7.5 UGdCSc 0 2 gpd0 10.35.14 
/24 Link # 5 UCSI 1 0 EN1

Comme expliqué ci-dessus, le drapeau «I» signifie que RTF_IFSCOPE est utilisé.  

 

 La configuration est très facile et peut être fait sur CLI et/ou GUI.

 

Via le CLI:

 

# set global-Protect global-Protect-Gateway- <NAME>utilisateur-tunnel-configs <name>no-direct-accès-à-local-réseau
non non
Oui Oui  </name> </NAME>

 

Via l'INTERFACE graphique:

  •  Pan-OS 7,0: onglet réseau > GlobalProtect > passerelles > <Your gateway="">> configuration du client > paramètres réseau > <Your config="">> paramètres réseau</Your> </Your>

2016-07 -26 _13-39 -16. pngConfiguration dans PAN-OS 7,0

  • Pan-OS 7,1: onglet réseau > GlobalProtect > passerelles > <Your gateway="">> agent > paramètres du client > <Your config="">> paramètres réseau</Your> </Your>

2016-07 -26 _13-44 -27. pngConfiguration dans PAN-OS 7,1

 

Notez que Split tunneling est substitué par cette fonctionnalité! Les itinéraires d'accès ne fonctionneront pas si vous activez cette fonctionnalité, car elles seront masquées. Il n'y a pas d'erreur ou de message d'avertissement et la case «route d'accès» n'est pas grisée. Vous serez toujours en mesure de créer des itinéraires d'accès, mais gardez à l'esprit qu'ils ne fonctionneront pas si vous avez activé cette fonctionnalité.

 

Pour le dépannage, notez qu'aucun journal n'a été ajouté dans PAN-OS, PanGPA. log ou PanGPS. log. Vous pouvez voir si la fonctionnalité est activée ou non dans PanGPS. log et PanGPA. log.  Cela confirme que votre passerelle envoie cette configuration.

Dans Windows, vérifiez les journaux de l'Application et du système pour les échecs de création d'un itinéraire.  Dans OSX, vérifiez/var/log/System.log pour les échecs de création d'un itinéraire.

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTmCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language