Protección de las SAML implementaciones

Created On 06/23/20 18:12 PM - Last Modified 03/26/21 18:26 PM

Objective

Si usted es cliente de Palo Alto Network y no utiliza SAML en su NGFW , VM- Panorama Serie, dispositivos, o en Prisma Access , usted es por NOT IMPACTED CVE-2020-2021 PAN-OS : Omisión de autenticación en la SAML autenticación.

Compruebe si está utilizando SAML
Si está utilizando SAML , aplique mitigaciones si su SAML proveedor de identidades lo permite
Considere la posibilidad de actualizar inmediatamente NGFW Panorama y los VM- firewalls de la serie a las últimas versiones de mantenimiento de PAN-OS

Environment

NGFW, VM- Serie
Panorama
GlobalProtect Portal/Puerta de enlace
Prisma Access
SAML

Procedure

Árbol de decisiones para proteger las SAML implementaciones

Para Panorama , , Clientes de serie NGFW VM- GlobalProtect (incluyendo)
Configuración	Próximos pasos
Si SAML está NOT configurado [compruebe su configuración]	No se requiere acción. Parada.
Si SAML está configurado	Solución - Con actualización	Solución - Sin actualización
Si SAML está configurado	Antes de actualizar Asegúrese de configurar el certificado de firma de su proveedor de SAML identidades como certificado de proveedor de identidades. Asegúrese de que su SAML IdP envíe SAML respuestas firmadas, aserciones o ambas. Actualice inmediatamente a PAN-OS 8.1.15, 9.0.9, 9.1.3 (según corresponda) o versiones posteriores. Se recomienda priorizar global protect gateways y portales sobre la actualización de otros firewalls/ Panorama . Después de actualizar Invalidar las cookies de anulación de autenticación emitidas previamente GlobalProtect Invalidar a los usuarios que se autenticaron previamente a través del Portal cautivo/Portal de autenticación	Su IdP debe permitir que los certificados CA- emitidos apliquen estas mitigaciones y reduzcan el riesgo. Verifique esto primero con el administrador de IdP antes de continuar. Asegúrese de que su SAML IdP envíe SAML respuestas firmadas, aserciones o ambas. Asegúrese de configurar el certificado de firma de su proveedor de SAML identidades como certificado de proveedor de identidades. Asegúrese de que ha habilitado validar el certificado de proveedor de identidad en PAN-OS /Panorama Invalidar las cookies de anulación de autenticación emitidas previamente GlobalProtect Invalide las sesiones de los administradores que se autenticaron previamente a través SAML de la autenticación de administración. Invalidar a los usuarios que se autenticaron previamente a través del Portal cautivo/Portal de autenticación

Para Prisma Access clientes
Configuración	Próximos pasos
Si SAML está NOT configurado [compruebe su configuración]	No se requiere acción. Parada.
Si SAML está configurado	Prisma Access actualización completada el 29 de junio de 2020 - 05:01 UTC Después de actualizar: Para Prisma Access Panorama gestión Invalidar las cookies de anulación de autenticación emitidas previamente GlobalProtect Para Prisma Access cloud managed No se requiere acción. Parada.
Si SAML está configurado

Detalles técnicos & Cómo

1. Compruebe si SAML está configurado

Al usar Panorama

Paso 1

Compruebe si la SAML autenticación está habilitada para la autenticación de Panorama administrador. Navegue a Panorama > los perfiles del servidor > proveedor SAML de identidad:

Si no ve ningún perfil, no ha configurado SAML . Vaya al paso 2.
Si ve perfiles, está utilizando SAML . Se requiere una acción inmediata para actualizar a la versión de mantenimiento más reciente, o aplicar la configuración sugerida para mitigar si una actualización no es posible.

Paso 2

Compruebe si la SAML autenticación está habilitada para firewalls administrados por Panorama . Vaya a Device > [template] > Server Profiles > Identity SAML Provider. Compruebe cada plantilla.

Si no ve ningún perfil, no ha configurado SAML . No se requiere una acción inmediata. Por favor, planee actualizar a la última versión de mantenimiento de PAN-OS la conveniencia más temprana.
Si ve perfiles, está utilizando SAML . Se requiere una acción inmediata para actualizar a la versión de mantenimiento más reciente, o aplicar la configuración sugerida para mitigar si una actualización no es posible.

Cuando se utilizan NGFWs solamente (no Panorama )

En cada firewall uno de ellos, compruebe si la SAML autenticación está habilitada para firewalls. Vaya a Perfiles de servidor de > dispositivo > SAML proveedor de identidades.

Si no ve ningún perfil, no ha configurado SAML . No se requiere una acción inmediata. Por favor, planee actualizar a la última versión de mantenimiento de PAN-OS lo antes posible.
Si ve perfiles, está utilizando SAML . Se requiere una acción inmediata para actualizar a la versión de mantenimiento más reciente, o aplicar la configuración sugerida para mitigar si una actualización no es posible.

2. Solución sin actualización

Para Panorama , , Clientes de serie NGFW VM- GlobalProtect (incluyendo)

Antes de proceder:

Para aplicar esta mitigación, necesita que el certificado de firma utilizado por su IdP sea un certificado emitido por la entidad de certificación ( CA ).
Muchos proveedores de IdP populares emiten un certificado autofirmado de forma predeterminada, pero proporcionan opciones para usar un certificado emitido por su CA archivo . Aunque algunos idps como Azure proporcionan UI opciones para cargar CA- certificados emitidos, otros como Okta podrían necesitar que realice API llamadas. Le recomendamos que revise primero los vínculos proporcionados en el paso 3 con el administrador del IdP para determinar la viabilidad de esta mitigación.
CA-los certificados emitidos no se pueden utilizar si su IdP es Proxy de acceso duo o Identidad en la nube de Google. Se requiere una acción inmediata para actualizar a la última versión de mantenimiento de PAN-OS .

Paso 1 - Compruebe que su IdP está firmando SAML respuestas y/o aserción

Paso 2 - Compruebe si los perfiles de servidor SAML IdP están configurados con IDP el certificado de certificado

Paso3 - Compruebe si "Validar certificado de proveedor de identidad" está habilitado

Paso4 - Invalidar las cookies de anulación de autenticación emitidas previamente GlobalProtect

Si se utiliza GlobalProtect Autenticación Invalidar cookies, la autenticación invalidar las cookies emitidas antes de la PAN-OS actualización puede seguir siendo válida. Para finalizar esas sesiones y forzar a los usuarios a volver a iniciar sesión, es necesario cambiar el certificado utilizado para cifrar y descifrar la cookie de anulación de autenticación en el portal y las puertas de enlace mediante o la interfaz GlobalProtect Panorama firewall web, y confirmar los cambios en los firewalls que ejecutan GlobalProtect portales y puertas de enlace.
Reinicie los GlobalProtect portales y puertas de enlace para desconectar las sesiones existentes.

Paso 5 - Invalidar sesiones de usuarios administradores que fueron autenticados previamente a través SAML de la autenticación de administración Tenga en

cuenta: Reiniciar firewalls y Panorama elimina cualquier sesión no autorizada en la interfaz web. Si ha reiniciado firewall / , no son necesarios los siguientes Panorama pasos.

Si está utilizando SAML para la autenticación de administrador y no ha reiniciado el / firewall , ejecute los siguientes Panorama comandos:
Para eliminar todas las sesiones de administración:
- eliminar sesiones de administración
Para encontrar administradores autenticados a través UI y eliminar esas sesiones de administración:
- mostrar administradores
- eliminar nombre de usuario admin-sessions <admin-username>

Paso 6 - Invalidar a los usuarios que fueron autenticados previamente a través del Portal cautivo/Portal de autenticación

Si utiliza captive portal o portal de autenticación, ejecute los siguientes comandos:
- mostrar ip-user-mapping de todo tipo SSO
- borrar las direcciones user-cache-mp> <above IP-
- borrar direcciones de caché de <above IP- usuario>

Deténgase aquí si ha completado la implementación de la solución que no incluye la actualización Panorama NGFW , o series VM- (incluyendo GlobalProtect ).

3. Solución con actualización

para Panorama , , Clientes de serie NGFW VM- (incluyendo ) GlobalProtect Antes de

actualizar:

Paso 1 - Verificar que su IdP está firmando SAML respuestas y / o aserciones

Paso 2 - Compruebe si los perfiles de servidor SAML IdP están configurados con IDP

actualización de certificado de certificado PAN-OS :

Recomendamos priorizar la actualización global de puertas de enlace y portales de protección global sobre la actualización de otros firewalls / Panorama .

Paso 3 - Consulte las Notas de la versión para la última versión de mantenimiento PAN-OS de:

Siga las instrucciones de las Notas de la versión específicas para actualizar su NGFW , VM- Serie, o Panorama electrodomésticos a la última versión de mantenimiento.

Después de actualizar PAN-OS :

Paso 4 - Invalidar las cookies de anulación de autenticación emitidas previamente GlobalProtect

Si se utiliza GlobalProtect Autentificación de cookies,la autenticación invalida las cookies emitidas antes de la PAN-OS actualización puede seguir siendo válida. Para finalizar esas sesiones y forzar a los usuarios a volver a iniciar sesión, es necesario cambiar el certificado utilizado para cifrar y descifrar la cookie anulación de autenticación en el portal y las puertas de enlace mediante , a GlobalProtect Panorama continuación, confirmar los cambios en los firewalls que ejecutan los GlobalProtect portales & puertas de enlace.
Reinicie los GlobalProtect portales y puertas de enlace para desconectar las sesiones existentes.

Paso 5 - Invalidar a los usuarios que fueron autenticados previamente a través de Captive Portal/Authentication Portal

Si utiliza captive portal o portal de autenticación, ejecute los siguientes comandos:
- mostrar ip-user-mapping de todo tipo SSO
- borrar las direcciones user-cache-mp> <above IP-
- borrar direcciones de caché de <above IP- usuario>

Deténgase aquí si ha completado la implementación de la solución para actualizar Panorama NGFW , o serie VM- (incluyendo GlobalProtect ).

Prisma Access Clientes que utilizan Panorama para administrar Prisma Access firewalls

Prisma Access actualización completada el 29 de junio de 2020 - 05:01 UTC

Después de la Prisma Access Actualización:

Paso 1 - Invalidar las cookies de anulación de autenticación emitidas anteriormente GlobalProtect Si se utilizan cookies de anulación de

GlobalProtect autenticación,las cookies de anulación de autenticación emitidas antes de la Prisma Access actualización pueden seguir siendo válidas. Para finalizar esas sesiones y forzar a los usuarios a volver a iniciar sesión, es necesario cambiar el certificado utilizado para cifrar y descifrar la cookie de anulación de autenticación en el portal y las puertas de enlace mediante y confirmar e insertar los GlobalProtect Panorama cambios.

Después de realizar los cambios anteriores, Prisma Access cierra automáticamente la sesión de usuario anterior y la aplicación del punto de conexión volverá a GlobalProtect GlobalProtect autenticar al usuario para establecer una nueva conexión.

Deténgase aquí si ha completado la implementación de la solución para actualizar Panorama NGFW , o serie VM- (incluyendo GlobalProtect ).

Documentación a la que se hace referencia

Compruebe que su IdP está firmando SAML respuestas y/o afirmaciones

Si usa ADFS Microsoft, Microsoft Azure, Google Cloud Identity, OneLogin, PingFederate o PingOne como SAML idp, continúe con el paso siguiente.
Si está utilizando Okta o cualquier otro IdP, compruebe que su IdP está firmando SAML respuestas y/o aserciones. Como práctica recomendada de seguridad, debe configurar su IdP para firmar la SAML respuesta, la SAML aserción o ambos.

SAML Proveedor de IdP	Acción
ADFS Azul AD Google OneLogin PingFederate Ping Uno	SAML Se firman respuestas y/o aserciones.Proceda al siguiente paso
Okta	Continúe con el siguiente paso si ha utilizado cualquiera de las siguientes integraciones en OIN (Okta Integration Network) para configurar SAML el perfil Redes palo alto - GlobalProtect Palo Alto Networks - Admin UI Redes palo alto - CaptivePortal Acción necesaria, si ha configurado la configuración en Okta mediante el SAML Asistente para integración de aplicaciones. Asegúrese de que está enviando respuestas firmadas, aserciones firmadas o ambas.
Puerta de enlace de acceso duo	Continúe con el siguiente paso si está utilizando la integración de Palo Alto Networks en Duo Access Gateway. Acción necesaria si ha configurado la configuración mediante la integración del proveedor de servicios genérico en Duo Access SAML Gateway. Asegúrese de que está enviando respuestas firmadas, aserciones firmadas o ambas
Otros desplazados internos	Compruebe que ha configurado su IdP para firmar SAML respuestas, aserciones o ambos.

Vuelva a la solución sin el
retorno de la actualización a lasolución con la comprobación de la actualización

si los perfiles del servidor del SAML IdP están configurados con IDP

el certificado Asegúrese de que el certificado del IdP esté configurado en todos los SAML perfiles del IdP en el y firewall que se utilizan para Panorama autenticar GlobalProtect a, cautivos & portales de autenticación, y la interfaz web administrativa.

Compruebe que ha seleccionado el certificado de proveedor de identidades que usa su IdP para firmar SAML mensajes.
Si no tiene su certificado de proveedor de identidad (IdP) disponible en el menú desplegable, debe agregar uno. Utilice las instrucciones del paso 2 de este enlace.

Volver a la solución sin actualizar
volver a la solución conactualización

Compruebe si "Validar certificado de proveedor de identidad" está habilitado

Asegúrese de que validar el certificado del proveedor de identidades se configura en todos los perfiles SAML idp en el y que se firewall utilizan para Panorama autenticarse a , cautivo & GlobalProtect portales de autenticación, y la interfaz web administrativa. Si esto está habilitado, no se necesitan más acciones.

Para habilitar validar el certificado de proveedor de identidades,necesitará que el certificado de firma utilizado por su IdP sea emitido por una entidad de certificación ( CA ). Mientras que los idps populares emiten un certificado autofirmado de forma predeterminada, generalmente le permiten usar un certificado emitido por su CA . Algunos idps como Azure proporcionan UI opciones para cargar CA- certificados emitidos, y otros como Okta necesitan que realice API llamadas para usar su propio certificado. Hable con su administrador idp para asegurarse de que el IdP esté configurado correctamente para habilitar esto.

Estos son algunos enlaces útiles para guiar la conversación con su administrador idp:

SAML Proveedor de IdP	Enlaces
ADFS	Orientación adicional
Azul AD	Orientación adicional
Puerta de enlace de acceso duo	Los clientes deben actualizar a PAN-OS 8.1.15, 9.0.9, 9.1.3 o posterior.
Identidad en la nube de Google	Los clientes deben actualizar a PAN-OS 8.1.15, 9.0.9, 9.1.3 o posterior.
Okta	Orientación adicional
Ping Uno	Orientación adicional
OneLogin	Orientación adicional
Otros desplazados internos	Una vez que se ha configurado un CA- certificado emitido en su IdP, usted debe volver a registrar el IdP dentro y PAN-OS Panorama . Para hacer esto: Pregunte a su administrador idp por metadatos idp. Importe los metadatos idp en PAN-OS y/o Panorama , asegúrese de que la casilla validar certificado de proveedor de identidad está habilitada y, a continuación, haga clic para guardar el perfil del OK servidor SAML IdP. Cree un perfil de certificado utilizando el mismo CA certificado que ha emitido el certificado del IdP. Agregue el perfil y el perfil de certificado del servidor idp recién creados a su SAML perfil de autenticación. Confirme la configuración Panorama con y/o los firewalls.