Sichern Ihrer SAML Bereitstellungen
Objective
Wenn Sie ein Palo Alto Network-Kunde sind und nicht auf Ihrem , Serie, Geräten oder auf verwenden, SAML NGFW sind Sie bis VM- Panorama Prisma Access NOT IMPACTED CVE-2020-2021 PAN-OS : Authentifizierungsumgehung in SAML authentifizierung.
- Überprüfen Sie, ob Sie SAML
- Wenn Sie SAML verwenden, wenden Sie Milderungen an, wenn Ihr SAML Identitätsanbieter dies zulässt.
- Erwägen Sie sofort ein Upgrade NGFW Panorama von , und VM- Serienfirewalls auf die neuesten Wartungsversionen von PAN-OS
Environment
- NGFW, VM- Serie
- Panorama
- GlobalProtect Portal/Gateway
- Prisma Access
- SAML
Procedure
Für Panorama NGFW , , VM- Serienkunden (einschließlich GlobalProtect ) | ||
---|---|---|
Konfiguration | Nächste Schritte | |
Wenn SAML NOT konfiguriert ist | Keine Aktion erforderlich. Stoppen. | |
Wenn SAML konfiguriert ist | Lösung - Mit Upgrade | Lösung - Ohne Upgrade |
Bevor Sie ein Upgrade durchführen
| Ihr IdP muss CA- ausgestellten Zertifikaten erlauben, diese Minderungsmaßnahmen anzuwenden und das Risiko zu verringern. Überprüfen Sie dies zuerst mit Ihrem IdP-Administrator, bevor Sie fortfahren.
|
Für Prisma Access Kunden | ||
---|---|---|
Konfiguration | Nächste Schritte | |
Wenn SAML NOT konfiguriert ist | Keine Aktion erforderlich. Stoppen. | |
Wenn SAML konfiguriert ist | Prisma Access aktualisiert: 29.06.2020 - 05:01 UTC Nach dem Upgrade:
| |
Technische Details & How To
1. Prüfen, ob SAML konfiguriert ist
Schritt 1
- Wenn keine Profile angezeigt werden, haben Sie nicht SAML konfiguriert. Fahren Sie mit Schritt 2fort.
- Wenn Profile angezeigt werden, verwenden Sie SAML . Sofortige Maßnahmen sind erforderlich, um ein Upgrade auf die neueste Wartungsversion durchzuführen oder die vorgeschlagene Konfiguration anzuwenden, um ein Upgrade zu verringern, wenn ein Upgrade nicht möglich ist.
- Wenn keine Profile angezeigt werden, haben Sie nicht SAML konfiguriert. Sofortiges Handeln ist nicht erforderlich. Bitte planen Sie ein Upgrade auf die neueste Wartungsversion von PAN-OS so bald wie möglich.
- Wenn Profile angezeigt werden, verwenden Sie SAML . Sofortige Maßnahmen sind erforderlich, um ein Upgrade auf die neueste Wartungsversion durchzuführen oder die vorgeschlagene Konfiguration anzuwenden, um ein Upgrade zu verringern, wenn ein Upgrade nicht möglich ist.
Bei Verwendung nur von NGFWs (nein Panorama )
Überprüfen Sie auf jeder firewall Option, ob die SAML Authentifizierung für Firewalls aktiviert ist. Navigieren Sie zu Geräte> Serverprofilen > SAML Identitätsanbieter.
- Wenn keine Profile angezeigt werden, haben Sie nicht SAML konfiguriert. Sofortiges Handeln ist nicht erforderlich. Bitte planen Sie frühestens ein Upgrade auf die neueste Wartungsversion PAN-OS von.
- Wenn Profile angezeigt werden, verwenden Sie SAML . Sofortige Maßnahmen sind erforderlich, um ein Upgrade auf die neueste Wartungsversion durchzuführen oder die vorgeschlagene Konfiguration anzuwenden, um ein Upgrade zu verringern, wenn ein Upgrade nicht möglich ist.
2. Lösung ohne Upgrade
Bevor Sie fortfahren:
- Um diese Risikominderung anzuwenden, benötigen Sie das Signaturzertifikat, das von Ihrem IdP verwendet wird, um ein ausgestelltes Zertifikat für die Zertifizierungsstelle ( CA zu sein.
- Viele beliebte IdP-Anbieter stellen standardmäßig ein selbstsigniertes Zertifikat aus, bieten jedoch Optionen zur Verwendung eines von Ihrem ausgestellten CA Zertifikats. Während einige IdPs wie Azure UI Optionen zum Hochladen CA- ausgestellter Zertifikate bereitstellen, benötigen andere wie Okta möglicherweise API Anrufe. Es wird empfohlen, dass Sie zuerst die in Schritt 3 bereitgestellten Links mit Ihrem IdP-Administrator überprüfen, um die Durchführbarkeit dieser Risikominderung zu ermitteln.
- CA-ausgestellte Zertifikate können nicht verwendet werden, wenn Ihr IdP Duo Access Proxy oder Google Cloud Identity ist. Sofortige Maßnahmen sind erforderlich, um ein Upgrade auf die neueste Wartungsversion von PAN-OS durchzuführen.
Schritt 1 - Überprüfen, ob Ihr IdP SAML Antworten und/oder Assertionen signiert
Schritt2 - Überprüfen Sie, ob SAML IdP-Serverprofile mit IDP Zertifikatszertifikat eingerichtet sind
Schritt3 - Überprüfen Sie, ob "Identitätsanbieterzertifikat überprüfen" aktiviert ist
Schritt4 - Ungültige zuvor GlobalProtect ausgestellte Auth Override-Cookies
- Bei Verwendung von GlobalProtect Authentifizierungs-Override-Cookies ist die vor dem Upgrade ausgegebenen Authentifizierungsüberschreibungscookies PAN-OS möglicherweise weiterhin gültig. Um diese Sitzungen zu beenden und die Benutzer zur erneuten Anmeldung zu zwingen, ist es erforderlich, das Zertifikat zu ändern, das zum Ver- und Entschlüsseln des Authentifizierungsüberschreibens-Cookies auf dem GlobalProtect Portal und gateways mithilfe oder der Weboberfläche verwendet Panorama firewall wird, und die Änderungen an den Firewalls, auf denen portals & Gateways ausgeführt werden, zu GlobalProtect übertragen.
- Starten Sie die GlobalProtect Portale und Gateways neu, um vorhandene Sitzungen zu trennen.
wurden. Bitte beachten Sie: Starten von Firewalls und Panorama eliminiert nicht autorisierte Sitzungen auf der Weboberfläche. Wenn Sie die / neu gestartet firewall Panorama haben, sind die folgenden Schritte nicht erforderlich.
- Wenn Sie SAML die Admin-Authentifizierung verwenden und die / nicht neu gestartet firewall Panorama haben, führen Sie die folgenden Befehle aus:
- So löschen Sie alle Admin-Sitzungen:
- Löschen von Admin-Sitzungen
- So suchen Sie Admins, die über diese Admin-Sitzungen authentifiziert UI wurden, und löschen sie:
- Anzeigen von Administratoren
- Admin-Sessions-Benutzername löschen <admin-username>
Schritt 6 : Ungültige Benutzer, die zuvor über Captive Portal/Authentication Portal authentifiziert wurden
- Führen Sie bei Verwendung des Captive Portal oder des Authentifizierungsportals die folgenden Befehle aus:
- Benutzer ip-user-mapping für alle Typen anzeigen SSO
- clear <above IP- user-cache-mp-Adressen>
- Benutzer-Cache-Adressen <above IP- löschen>
Beenden Sie hier, wenn Sie die Implementierung der Lösung abgeschlossen haben, die kein Upgrade , Panorama NGFW oder Serie VM- (einschließlich ) GlobalProtect umfasst.
3. Lösung mit Upgrade
Für Panorama , Series Customers NGFW VM- (einschließlich ) Vor dem GlobalProtect
Upgrade:
Schritt 1 - Überprüfen Sie, ob Ihr IdP SAML Antworten und/oder Assertionen signiert
Schritt2 - Überprüfen Sie, ob SAML IdP-Serverprofile mit IDP Zertifikatszertifikat-Upgrade eingerichtet sind:
Wir empfehlen, dieAktualisierung von Global Protect Gateways und Portalen vorrangigen Vorstufen gegenüber der Aktualisierung anderer Firewalls/ zu Panorama priorisieren.
PAN-OS
Schritt 3 - Die versions-notes finden Sie in den Versionshinweisen für die neueste Wartungsversion PAN-OS von:
Befolgen Sie die Anweisungen in den spezifischen Versionshinweisen, um Ihre NGFW , Serie oder Appliances auf die neueste VM- Panorama Wartungsversion zu aktualisieren.
Nach dem Upgrade PAN-OS :
Schritt 4 - Ungültig zuvor ausgestellte GlobalProtect Auth Override Cookies
- Bei Verwendung von GlobalProtect Authentifizierungs-Override-Cookies, die vor dem Upgrade ausgegebenen Authentifizierungsüberschreibungscookies PAN-OS sind möglicherweise weiterhin gültig. Um diese Sitzungen zu beenden und die Benutzer zur erneuten Anmeldung zu zwingen, ist es erforderlich, das Zertifikat zu ändern, das zum Ver- und Entschlüsseln des Authentifizierungsüberschreibungscookies auf dem GlobalProtect Portal und den Gateways verwendet Panorama wird, und dann die Änderungen an den Firewalls, auf denen die Portale und Gateways ausgeführt werden, zu GlobalProtect übertragen.
- Starten Sie die GlobalProtect Portale und Gateways neu, um vorhandene Sitzungen zu trennen.
Schritt 5 : Ungültige Benutzer, die zuvor über Captive Portal/Authentication Portal authentifiziert wurden
- Führen Sie bei Verwendung des Captive Portal oder des Authentifizierungsportals die folgenden Befehle aus:
- Benutzer ip-user-mapping für alle Typen anzeigen SSO
- clear <above IP- user-cache-mp-Adressen>
- Benutzer-Cache-Adressen <above IP- löschen>
Prisma Access Kunden, Panorama die Prisma Access Firewalls verwalten
Prisma Access aktualisiert: 29.06.2020 - 05:01 UTC
Nach der Prisma Access Upgrade:
Schritt 1 - Ungültig evalidierte zuvor ausgestellte GlobalProtect Auth Override Cookies
Wenn die GlobalProtect Authentifizierungsüberschreibungscookiesverwendet werden, ist die vor dem Upgrade ausgegebene Authentifizierungsüberschreibungscookies Prisma Access möglicherweise weiterhin gültig. Um diese Sitzungen zu beenden und die Benutzer zur erneuten Anmeldung zu zwingen, ist es erforderlich, das Zertifikat zu ändern, das zum Ver- und Entschlüsseln des Authentifizierungsüberschreibungscookies auf dem Portal und gateways verwendet GlobalProtect und die Änderungen übertragen und übertragen Panorama wird.
Nachdem Sie die vorherigen Änderungen vorgenommen haben, Prisma Access werden alte Benutzersitzungen automatisch abgemeldet, GlobalProtect und die App auf dem GlobalProtect Endpunkt authentifiziert den Benutzer erneut, um eine neue Verbindung herzustellen.
Beenden Sie hier, wenn Sie die Implementierung der Lösung für Upgrade Panorama , , oder Serie NGFW VM- (einschließlich GlobalProtect ) abgeschlossen haben.
Referenzierte Dokumentation
Stellen Sie sicher, dass Ihr IdP SAML Antworten und/oder Assertionen signiert
- Wenn Sie Microsoft ADFS , Microsoft Azure, Google Cloud Identity, OneLogin, PingFederate oder PingOne als SAML IdP verwenden, fahren Sie mit dem nächsten Schritt fort.
- Wenn Sie Okta oder einen anderen IdP verwenden, überprüfen Sie, ob Ihr IdP SAML Antworten und/oder Assertionen signiert. Als bewährte Methode für die Sicherheit müssen Sie Ihren IdP so konfigurieren, dass die SAML Antwort, die SAML Assertion oder beides signieren.
SAML IdP-Anbieter | Aktion |
---|---|
| SAML Antworten und/oder Assertionen sind signiert.Fahren Sie mit dem nächsten Schritt fort |
Okta | Fahren Sie mit dem nächsten Schritt fort, wenn Sie eine der folgenden Integrationen (Okta Integration Network) zum Einrichten des OIN Profils verwendet haben. SAML
|
Duo Access Gateway | Fahren Sie mit dem nächsten Schritt fort, wenn Sie die Palo Alto Networks-Integration auf Duo Access Gateway verwenden. |
Andere IdPs | Stellen Sie sicher, dass Sie Ihren IdP so konfiguriert haben, dass SAML Erwiderungen, Assertionen oder beides signiert wird. |
Zurück zur Lösung ohne Upgrade
Zurück zur Lösung mitUpgrade
Prüfung, wenn SAML IdP-Serverprofile mit IDP Zertifikat eingerichtet sind
Stellen Sie sicher, dass das IdP-Zertifikat für alle SAML IdP-Profile auf dem und dem, das zur firewall Panorama Authentifizierung bei , Captive & Authentication GlobalProtect Portals und der administrativen Weboberfläche verwendet wird, konfiguriert ist.
- Stellen Sie sicher, dass Sie das Identitätsanbieterzertifikat ausgewählt haben, das Ihr IdP zum Signieren von SAML Nachrichten verwendet.
- Wenn Ihr IdP-Zertifikat (Identity Provider) in der Dropdown-Liste nicht verfügbar ist, müssen Sie eines hinzufügen. Verwenden Sie die Anweisungen in Schritt 2 in diesem Link.
Überprüfen, ob "Validate Identity Provider Certificate" aktiviert ist
Stellen Sie sicher, dass Validate Identity Provider Certificate für alle SAML IdP-Profile auf dem und der zur Authentifizierung bei firewall , Captive & Authentication Panorama GlobalProtect Portals und der administrativen Weboberfläche konfiguriert ist. Wenn dies aktiviert ist, sind keine weiteren Aktionen erforderlich.
Um das Zertifikat "Identitätsanbieter überprüfen"zu aktivieren, müssen Sie das von Ihrem IdP verwendete Signaturzertifikat von einer Zertifizierungsstelle ( ) ausstellen. CA Während beliebte IdPs standardmäßig ein selbstsigniertes Zertifikat ausstellen, können Sie in der Regel ein von Ihrem ausgestelltes Zertifikat CA verwenden. Einige IdPs wie Azure bieten UI Optionen zum Hochladen CA- ausgestellter Zertifikate, und andere wie Okta müssen Anrufe tätigen, API um Ihr eigenes Zertifikat zu verwenden. Wenden Sie sich an Ihren IdP-Administrator, um sicherzustellen, dass der IdP ordnungsgemäß konfiguriert ist, um dies zu aktivieren.
Hier sind einige hilfreiche Links, um die Unterhaltung mit Ihrem IdP-Administrator zu leiten:
SAML IdP-Anbieter | Links |
---|---|
ADFS | Zusätzliche Leitlinien |
Azure AD | Zusätzliche Leitlinien |
Duo Access Gateway | Kunden sollten ein Upgrade auf PAN-OS 8.1.15, 9.0.9, 9.1.3 oder höher durchführen. |
Google Cloud-Identität | Kunden sollten ein Upgrade auf PAN-OS 8.1.15, 9.0.9, 9.1.3 oder höher durchführen. |
Okta | Zusätzliche Leitlinien |
Ping One | Zusätzliche Leitlinien |
OneLogin | Zusätzliche Leitlinien |
Andere IdPs | Nachdem ein CA- ausgestelltes Zertifikat für Ihren IdP konfiguriert wurde, müssen Sie den IdP innerhalb und PAN-OS neu Panorama registrieren. Dazu:
|
Zurück zur Lösung ohne Upgrade
Zurück zur Lösung mitUpgrade