Sichern Ihrer SAML Bereitstellungen

Created On 06/23/20 18:12 PM - Last Modified 03/26/21 18:26 PM

Objective

Wenn Sie ein Palo Alto Network-Kunde sind und nicht auf Ihrem , Serie, Geräten oder auf verwenden, SAML NGFW sind Sie bis VM- Panorama Prisma Access NOT IMPACTED CVE-2020-2021 PAN-OS : Authentifizierungsumgehung in SAML authentifizierung.

Überprüfen Sie, ob Sie SAML
Wenn Sie SAML verwenden, wenden Sie Milderungen an, wenn Ihr SAML Identitätsanbieter dies zulässt.
Erwägen Sie sofort ein Upgrade NGFW Panorama von , und VM- Serienfirewalls auf die neuesten Wartungsversionen von PAN-OS

Environment

NGFW, VM- Serie
Panorama
GlobalProtect Portal/Gateway
Prisma Access
SAML

Procedure

Entscheidungsstruktur zum Sichern Ihrer SAML Bereitstellungen

Für Panorama NGFW , , VM- Serienkunden (einschließlich GlobalProtect )
Konfiguration	Nächste Schritte
Wenn SAML NOT konfiguriert ist [Überprüfen Sie Ihre Konfiguration]	Keine Aktion erforderlich. Stoppen.
Wenn SAML konfiguriert ist	Lösung - Mit Upgrade	Lösung - Ohne Upgrade
Wenn SAML konfiguriert ist	Bevor Sie ein Upgrade durchführen Stellen Sie sicher, dass Sie das Signaturzertifikat Ihres SAML Identitätsanbieters als Identitätsanbieterzertifikatkonfigurieren. Stellen Sie sicher, dass Ihr SAML IdP SAML signierte Antworten, Assertionen oder beides sendet. Aktualisieren Sie sofort auf PAN-OS 8.1.15, 9.0.9, 9.1.3 (falls zutreffend) oder neuere Versionen. Es wird empfohlen, Global Protect Gateways und Portals vorrangiver zu priorisieren und andere Firewalls/ zu Panorama aktualisieren. Nach dem Upgrade Ungültig ungültig zuvor GlobalProtect ausgegebene Auth Override-Cookies Nicht ungültige Benutzer, die zuvor über Captive Portal/Authentication Portal authentifiziert wurden	Ihr IdP muss CA- ausgestellten Zertifikaten erlauben, diese Minderungsmaßnahmen anzuwenden und das Risiko zu verringern. Überprüfen Sie dies zuerst mit Ihrem IdP-Administrator, bevor Sie fortfahren. Stellen Sie sicher, dass Ihr SAML IdP SAML signierte Antworten, Assertionen oder beides sendet. Stellen Sie sicher, dass Sie das Signaturzertifikat Ihres SAML Identitätsanbieters als Identitätsanbieterzertifikat konfigurieren. Stellen Sie sicher, dass Sie das Zertifikat des Identitätsanbieters validieren auf PAN-OS /Panorama Ungültig ungültig zuvor GlobalProtect ausgegebene Auth Override-Cookies Ungültige Sitzungen von Administratoren, die zuvor über die Adminauthentifizierung authentifiziert SAML wurden. Nicht ungültige Benutzer, die zuvor über Captive Portal/Authentication Portal authentifiziert wurden

Für Prisma Access Kunden
Konfiguration	Nächste Schritte
Wenn SAML NOT konfiguriert ist [Überprüfen Sie Ihre Konfiguration]	Keine Aktion erforderlich. Stoppen.
Wenn SAML konfiguriert ist	Prisma Access aktualisiert: 29.06.2020 - 05:01 UTC Nach dem Upgrade: Für Prisma Access Panorama Managed Ungültig ungültig zuvor GlobalProtect ausgegebene Auth Override-Cookies Für Prisma Access Cloud Managed Keine Aktion erforderlich. Stoppen.
Wenn SAML konfiguriert ist

Technische Details & How To

1. Prüfen, ob SAML konfiguriert ist

Bei der Verwendung Panorama

Schritt 1

Überprüfen Sie, ob die Authentifizierung für die SAML Panorama Administratorauthentifizierung aktiviert ist. Navigieren Sie zu Panorama > Serverprofilen > SAML Identitätsanbieter:

Wenn keine Profile angezeigt werden, haben Sie nicht SAML konfiguriert. Fahren Sie mit Schritt 2fort.
Wenn Profile angezeigt werden, verwenden Sie SAML . Sofortige Maßnahmen sind erforderlich, um ein Upgrade auf die neueste Wartungsversion durchzuführen oder die vorgeschlagene Konfiguration anzuwenden, um ein Upgrade zu verringern, wenn ein Upgrade nicht möglich ist.

Schritt 2

Überprüfen Sie, ob die SAML Authentifizierung für Firewalls aktiviert ist, die von verwaltet Panorama werden. Navigieren Sie zu Gerät > [Vorlage] > Serverprofilen > SAML Identity Provider. Überprüfen Sie jede Vorlage.

Wenn keine Profile angezeigt werden, haben Sie nicht SAML konfiguriert. Sofortiges Handeln ist nicht erforderlich. Bitte planen Sie ein Upgrade auf die neueste Wartungsversion von PAN-OS so bald wie möglich.
Wenn Profile angezeigt werden, verwenden Sie SAML . Sofortige Maßnahmen sind erforderlich, um ein Upgrade auf die neueste Wartungsversion durchzuführen oder die vorgeschlagene Konfiguration anzuwenden, um ein Upgrade zu verringern, wenn ein Upgrade nicht möglich ist.

Bei Verwendung nur von NGFWs (nein Panorama )

Überprüfen Sie auf jeder firewall Option, ob die SAML Authentifizierung für Firewalls aktiviert ist. Navigieren Sie zu Geräte> Serverprofilen > SAML Identitätsanbieter.

Wenn keine Profile angezeigt werden, haben Sie nicht SAML konfiguriert. Sofortiges Handeln ist nicht erforderlich. Bitte planen Sie frühestens ein Upgrade auf die neueste Wartungsversion PAN-OS von.
Wenn Profile angezeigt werden, verwenden Sie SAML . Sofortige Maßnahmen sind erforderlich, um ein Upgrade auf die neueste Wartungsversion durchzuführen oder die vorgeschlagene Konfiguration anzuwenden, um ein Upgrade zu verringern, wenn ein Upgrade nicht möglich ist.

2. Lösung ohne Upgrade

Für Panorama NGFW , , VM- Serienkunden (einschließlich GlobalProtect )

Bevor Sie fortfahren:

Um diese Risikominderung anzuwenden, benötigen Sie das Signaturzertifikat, das von Ihrem IdP verwendet wird, um ein ausgestelltes Zertifikat für die Zertifizierungsstelle ( CA zu sein.
Viele beliebte IdP-Anbieter stellen standardmäßig ein selbstsigniertes Zertifikat aus, bieten jedoch Optionen zur Verwendung eines von Ihrem ausgestellten CA Zertifikats. Während einige IdPs wie Azure UI Optionen zum Hochladen CA- ausgestellter Zertifikate bereitstellen, benötigen andere wie Okta möglicherweise API Anrufe. Es wird empfohlen, dass Sie zuerst die in Schritt 3 bereitgestellten Links mit Ihrem IdP-Administrator überprüfen, um die Durchführbarkeit dieser Risikominderung zu ermitteln.
CA-ausgestellte Zertifikate können nicht verwendet werden, wenn Ihr IdP Duo Access Proxy oder Google Cloud Identity ist. Sofortige Maßnahmen sind erforderlich, um ein Upgrade auf die neueste Wartungsversion von PAN-OS durchzuführen.

Schritt 1 - Überprüfen, ob Ihr IdP SAML Antworten und/oder Assertionen signiert

Schritt2 - Überprüfen Sie, ob SAML IdP-Serverprofile mit IDP Zertifikatszertifikat eingerichtet sind

Schritt3 - Überprüfen Sie, ob "Identitätsanbieterzertifikat überprüfen" aktiviert ist

Schritt4 - Ungültige zuvor GlobalProtect ausgestellte Auth Override-Cookies

Bei Verwendung von GlobalProtect Authentifizierungs-Override-Cookies ist die vor dem Upgrade ausgegebenen Authentifizierungsüberschreibungscookies PAN-OS möglicherweise weiterhin gültig. Um diese Sitzungen zu beenden und die Benutzer zur erneuten Anmeldung zu zwingen, ist es erforderlich, das Zertifikat zu ändern, das zum Ver- und Entschlüsseln des Authentifizierungsüberschreibens-Cookies auf dem GlobalProtect Portal und gateways mithilfe oder der Weboberfläche verwendet Panorama firewall wird, und die Änderungen an den Firewalls, auf denen portals & Gateways ausgeführt werden, zu GlobalProtect übertragen.
Starten Sie die GlobalProtect Portale und Gateways neu, um vorhandene Sitzungen zu trennen.

Schritt 5 - Ungültige Sitzungen von Administratoren-Benutzern, die zuvor durch Die Admin-Authentifizierung authentifiziert SAML

wurden. Bitte beachten Sie: Starten von Firewalls und Panorama eliminiert nicht autorisierte Sitzungen auf der Weboberfläche. Wenn Sie die / neu gestartet firewall Panorama haben, sind die folgenden Schritte nicht erforderlich.

Wenn Sie SAML die Admin-Authentifizierung verwenden und die / nicht neu gestartet firewall Panorama haben, führen Sie die folgenden Befehle aus:
So löschen Sie alle Admin-Sitzungen:
- Löschen von Admin-Sitzungen
So suchen Sie Admins, die über diese Admin-Sitzungen authentifiziert UI wurden, und löschen sie:
- Anzeigen von Administratoren
- Admin-Sessions-Benutzername löschen <admin-username>

Schritt 6 : Ungültige Benutzer, die zuvor über Captive Portal/Authentication Portal authentifiziert wurden

Führen Sie bei Verwendung des Captive Portal oder des Authentifizierungsportals die folgenden Befehle aus:
- Benutzer ip-user-mapping für alle Typen anzeigen SSO
- clear <above IP- user-cache-mp-Adressen>
- Benutzer-Cache-Adressen <above IP- löschen>

Beenden Sie hier, wenn Sie die Implementierung der Lösung abgeschlossen haben, die kein Upgrade , Panorama NGFW oder Serie VM- (einschließlich ) GlobalProtect umfasst.

3. Lösung mit Upgrade

Für Panorama , Series Customers NGFW VM- (einschließlich ) Vor dem GlobalProtect

Upgrade:

Schritt 1 - Überprüfen Sie, ob Ihr IdP SAML Antworten und/oder Assertionen signiert

Schritt2 - Überprüfen Sie, ob SAML IdP-Serverprofile mit IDP Zertifikatszertifikat-Upgrade eingerichtet sind:

Wir empfehlen, dieAktualisierung von Global Protect Gateways und Portalen vorrangigen Vorstufen gegenüber der Aktualisierung anderer Firewalls/ zu Panorama priorisieren.

PAN-OS

Schritt 3 - Die versions-notes finden Sie in den Versionshinweisen für die neueste Wartungsversion PAN-OS von:

Befolgen Sie die Anweisungen in den spezifischen Versionshinweisen, um Ihre NGFW , Serie oder Appliances auf die neueste VM- Panorama Wartungsversion zu aktualisieren.

Nach dem Upgrade PAN-OS :

Schritt 4 - Ungültig zuvor ausgestellte GlobalProtect Auth Override Cookies

Bei Verwendung von GlobalProtect Authentifizierungs-Override-Cookies, die vor dem Upgrade ausgegebenen Authentifizierungsüberschreibungscookies PAN-OS sind möglicherweise weiterhin gültig. Um diese Sitzungen zu beenden und die Benutzer zur erneuten Anmeldung zu zwingen, ist es erforderlich, das Zertifikat zu ändern, das zum Ver- und Entschlüsseln des Authentifizierungsüberschreibungscookies auf dem GlobalProtect Portal und den Gateways verwendet Panorama wird, und dann die Änderungen an den Firewalls, auf denen die Portale und Gateways ausgeführt werden, zu GlobalProtect übertragen.
Starten Sie die GlobalProtect Portale und Gateways neu, um vorhandene Sitzungen zu trennen.

Schritt 5 : Ungültige Benutzer, die zuvor über Captive Portal/Authentication Portal authentifiziert wurden

Führen Sie bei Verwendung des Captive Portal oder des Authentifizierungsportals die folgenden Befehle aus:
- Benutzer ip-user-mapping für alle Typen anzeigen SSO
- clear <above IP- user-cache-mp-Adressen>
- Benutzer-Cache-Adressen <above IP- löschen>

Beenden Sie hier, wenn Sie die Implementierung der Lösung für Upgrade Panorama , , oder Serie NGFW VM- (einschließlich GlobalProtect ) abgeschlossen haben.

Prisma Access Kunden, Panorama die Prisma Access Firewalls verwalten

Prisma Access aktualisiert: 29.06.2020 - 05:01 UTC

Nach der Prisma Access Upgrade:

Schritt 1 - Ungültig evalidierte zuvor ausgestellte GlobalProtect Auth Override Cookies

Wenn die GlobalProtect Authentifizierungsüberschreibungscookiesverwendet werden, ist die vor dem Upgrade ausgegebene Authentifizierungsüberschreibungscookies Prisma Access möglicherweise weiterhin gültig. Um diese Sitzungen zu beenden und die Benutzer zur erneuten Anmeldung zu zwingen, ist es erforderlich, das Zertifikat zu ändern, das zum Ver- und Entschlüsseln des Authentifizierungsüberschreibungscookies auf dem Portal und gateways verwendet GlobalProtect und die Änderungen übertragen und übertragen Panorama wird.

Nachdem Sie die vorherigen Änderungen vorgenommen haben, Prisma Access werden alte Benutzersitzungen automatisch abgemeldet, GlobalProtect und die App auf dem GlobalProtect Endpunkt authentifiziert den Benutzer erneut, um eine neue Verbindung herzustellen.

Beenden Sie hier, wenn Sie die Implementierung der Lösung für Upgrade Panorama , , oder Serie NGFW VM- (einschließlich GlobalProtect ) abgeschlossen haben.

Referenzierte Dokumentation

Stellen Sie sicher, dass Ihr IdP SAML Antworten und/oder Assertionen signiert

Wenn Sie Microsoft ADFS , Microsoft Azure, Google Cloud Identity, OneLogin, PingFederate oder PingOne als SAML IdP verwenden, fahren Sie mit dem nächsten Schritt fort.
Wenn Sie Okta oder einen anderen IdP verwenden, überprüfen Sie, ob Ihr IdP SAML Antworten und/oder Assertionen signiert. Als bewährte Methode für die Sicherheit müssen Sie Ihren IdP so konfigurieren, dass die SAML Antwort, die SAML Assertion oder beides signieren.

SAML IdP-Anbieter	Aktion
ADFS Azure AD Google OneLogin PingFederate Ping One	SAML Antworten und/oder Assertionen sind signiert.Fahren Sie mit dem nächsten Schritt fort
Okta	Fahren Sie mit dem nächsten Schritt fort, wenn Sie eine der folgenden Integrationen (Okta Integration Network) zum Einrichten des OIN Profils verwendet haben. SAML Palo Alto Netzwerke - GlobalProtect Palo Alto Netzwerke - Admin UI Palo Alto Netzwerke - CaptivePortal Aktion erforderlich, wenn Sie die Konfiguration SAML in Okta mit dem App-Integrations-Assistenten eingerichtet haben. Stellen Sie sicher, dass Sie signierte Antworten, signierte Assertionen oder beides senden.
Duo Access Gateway	Fahren Sie mit dem nächsten Schritt fort, wenn Sie die Palo Alto Networks-Integration auf Duo Access Gateway verwenden. Aktion erforderlich, wenn Sie die Konfiguration mithilfe der Integration des SAML generischen Dienstanbieters auf Duo Access Gateway eingerichtet haben. Stellen Sie sicher, dass Sie signierte Antworten, signierte Assertionen oder beides senden.
Andere IdPs	Stellen Sie sicher, dass Sie Ihren IdP so konfiguriert haben, dass SAML Erwiderungen, Assertionen oder beides signiert wird.

Zurück zur Lösung ohne Upgrade
Zurück zur Lösung mitUpgrade

Prüfung, wenn SAML IdP-Serverprofile mit IDP Zertifikat eingerichtet sind

Stellen Sie sicher, dass das IdP-Zertifikat für alle SAML IdP-Profile auf dem und dem, das zur firewall Panorama Authentifizierung bei , Captive & Authentication GlobalProtect Portals und der administrativen Weboberfläche verwendet wird, konfiguriert ist.

Stellen Sie sicher, dass Sie das Identitätsanbieterzertifikat ausgewählt haben, das Ihr IdP zum Signieren von SAML Nachrichten verwendet.
Wenn Ihr IdP-Zertifikat (Identity Provider) in der Dropdown-Liste nicht verfügbar ist, müssen Sie eines hinzufügen. Verwenden Sie die Anweisungen in Schritt 2 in diesem Link.

Zurück zur Lösung ohne Upgrade
Zurück zur Lösung mitUpgrade

Überprüfen, ob "Validate Identity Provider Certificate" aktiviert ist

Stellen Sie sicher, dass Validate Identity Provider Certificate für alle SAML IdP-Profile auf dem und der zur Authentifizierung bei firewall , Captive & Authentication Panorama GlobalProtect Portals und der administrativen Weboberfläche konfiguriert ist. Wenn dies aktiviert ist, sind keine weiteren Aktionen erforderlich.

Um das Zertifikat "Identitätsanbieter überprüfen"zu aktivieren, müssen Sie das von Ihrem IdP verwendete Signaturzertifikat von einer Zertifizierungsstelle ( ) ausstellen. CA Während beliebte IdPs standardmäßig ein selbstsigniertes Zertifikat ausstellen, können Sie in der Regel ein von Ihrem ausgestelltes Zertifikat CA verwenden. Einige IdPs wie Azure bieten UI Optionen zum Hochladen CA- ausgestellter Zertifikate, und andere wie Okta müssen Anrufe tätigen, API um Ihr eigenes Zertifikat zu verwenden. Wenden Sie sich an Ihren IdP-Administrator, um sicherzustellen, dass der IdP ordnungsgemäß konfiguriert ist, um dies zu aktivieren.

Hier sind einige hilfreiche Links, um die Unterhaltung mit Ihrem IdP-Administrator zu leiten:

SAML IdP-Anbieter	Links
ADFS	Zusätzliche Leitlinien
Azure AD	Zusätzliche Leitlinien
Duo Access Gateway	Kunden sollten ein Upgrade auf PAN-OS 8.1.15, 9.0.9, 9.1.3 oder höher durchführen.
Google Cloud-Identität	Kunden sollten ein Upgrade auf PAN-OS 8.1.15, 9.0.9, 9.1.3 oder höher durchführen.
Okta	Zusätzliche Leitlinien
Ping One	Zusätzliche Leitlinien
OneLogin	Zusätzliche Leitlinien
Andere IdPs	Nachdem ein CA- ausgestelltes Zertifikat für Ihren IdP konfiguriert wurde, müssen Sie den IdP innerhalb und PAN-OS neu Panorama registrieren. Dazu: Fragen Sie Ihren IdP-Administrator nach IdP-Metadaten. Importieren Sie die IdP-Metadaten in PAN-OS und/oder Panorama , stellen Sie sicher, dass das Kontrollkästchen Identitätsanbieterzertifikat überprüfen aktiviert ist, und klicken Sie dann auf OK , um das SAML IdP-Serverprofil zu speichern. Erstellen Sie ein Zertifikatprofil mit demselben CA Zertifikat, das das Zertifikat des IdP ausgestellt hat. Fügen Sie das neu erstellte IdP-Serverprofil und das Zertifikatprofil ihrem SAML Authentifizierungsprofil hinzu. Übertragen Sie die Konfiguration an Panorama und/oder die Firewalls.