Protección de las SAML implementaciones
Objective
Si usted es cliente de Palo Alto Network y no utiliza SAML en su NGFW , VM- Panorama Serie, dispositivos, o en Prisma Access , usted es por NOT IMPACTED CVE-2020-2021 PAN-OS : Omisión de autenticación en la SAML autenticación.
- Compruebe si está utilizando SAML
- Si está utilizando SAML , aplique mitigaciones si su SAML proveedor de identidades lo permite
- Considere la posibilidad de actualizar inmediatamente NGFW Panorama y los VM- firewalls de la serie a las últimas versiones de mantenimiento de PAN-OS
Environment
- NGFW, VM- Serie
- Panorama
- GlobalProtect Portal/Puerta de enlace
- Prisma Access
- SAML
Procedure
Para Panorama , , Clientes de serie NGFW VM- GlobalProtect (incluyendo) | ||
---|---|---|
Configuración | Próximos pasos | |
Si SAML está NOT configurado | No se requiere acción. Parada. | |
Si SAML está configurado | Solución - Con actualización | Solución - Sin actualización |
Antes de actualizar
| Su IdP debe permitir que los certificados CA- emitidos apliquen estas mitigaciones y reduzcan el riesgo. Verifique esto primero con el administrador de IdP antes de continuar.
|
Para Prisma Access clientes | ||
---|---|---|
Configuración | Próximos pasos | |
Si SAML está NOT configurado | No se requiere acción. Parada. | |
Si SAML está configurado | Prisma Access actualización completada el 29 de junio de 2020 - 05:01 UTC Después de actualizar:
| |
Detalles técnicos & Cómo
1. Compruebe si SAML está configurado
Paso 1
- Si no ve ningún perfil, no ha configurado SAML . Vaya al paso 2.
- Si ve perfiles, está utilizando SAML . Se requiere una acción inmediata para actualizar a la versión de mantenimiento más reciente, o aplicar la configuración sugerida para mitigar si una actualización no es posible.
- Si no ve ningún perfil, no ha configurado SAML . No se requiere una acción inmediata. Por favor, planee actualizar a la última versión de mantenimiento de PAN-OS la conveniencia más temprana.
- Si ve perfiles, está utilizando SAML . Se requiere una acción inmediata para actualizar a la versión de mantenimiento más reciente, o aplicar la configuración sugerida para mitigar si una actualización no es posible.
Cuando se utilizan NGFWs solamente (no Panorama )
En cada firewall uno de ellos, compruebe si la SAML autenticación está habilitada para firewalls. Vaya a Perfiles de servidor de > dispositivo > SAML proveedor de identidades.
- Si no ve ningún perfil, no ha configurado SAML . No se requiere una acción inmediata. Por favor, planee actualizar a la última versión de mantenimiento de PAN-OS lo antes posible.
- Si ve perfiles, está utilizando SAML . Se requiere una acción inmediata para actualizar a la versión de mantenimiento más reciente, o aplicar la configuración sugerida para mitigar si una actualización no es posible.
2. Solución sin actualización
Antes de proceder:
- Para aplicar esta mitigación, necesita que el certificado de firma utilizado por su IdP sea un certificado emitido por la entidad de certificación ( CA ).
- Muchos proveedores de IdP populares emiten un certificado autofirmado de forma predeterminada, pero proporcionan opciones para usar un certificado emitido por su CA archivo . Aunque algunos idps como Azure proporcionan UI opciones para cargar CA- certificados emitidos, otros como Okta podrían necesitar que realice API llamadas. Le recomendamos que revise primero los vínculos proporcionados en el paso 3 con el administrador del IdP para determinar la viabilidad de esta mitigación.
- CA-los certificados emitidos no se pueden utilizar si su IdP es Proxy de acceso duo o Identidad en la nube de Google. Se requiere una acción inmediata para actualizar a la última versión de mantenimiento de PAN-OS .
Paso 1 - Compruebe que su IdP está firmando SAML respuestas y/o aserción
Paso 2 - Compruebe si los perfiles de servidor SAML IdP están configurados con IDP el certificado de certificado
Paso3 - Compruebe si "Validar certificado de proveedor de identidad" está habilitado
Paso4 - Invalidar las cookies de anulación de autenticación emitidas previamente GlobalProtect
- Si se utiliza GlobalProtect Autenticación Invalidar cookies, la autenticación invalidar las cookies emitidas antes de la PAN-OS actualización puede seguir siendo válida. Para finalizar esas sesiones y forzar a los usuarios a volver a iniciar sesión, es necesario cambiar el certificado utilizado para cifrar y descifrar la cookie de anulación de autenticación en el portal y las puertas de enlace mediante o la interfaz GlobalProtect Panorama firewall web, y confirmar los cambios en los firewalls que ejecutan GlobalProtect portales y puertas de enlace.
- Reinicie los GlobalProtect portales y puertas de enlace para desconectar las sesiones existentes.
cuenta: Reiniciar firewalls y Panorama elimina cualquier sesión no autorizada en la interfaz web. Si ha reiniciado firewall / , no son necesarios los siguientes Panorama pasos.
- Si está utilizando SAML para la autenticación de administrador y no ha reiniciado el / firewall , ejecute los siguientes Panorama comandos:
- Para eliminar todas las sesiones de administración:
- eliminar sesiones de administración
- Para encontrar administradores autenticados a través UI y eliminar esas sesiones de administración:
- mostrar administradores
- eliminar nombre de usuario admin-sessions <admin-username>
Paso 6 - Invalidar a los usuarios que fueron autenticados previamente a través del Portal cautivo/Portal de autenticación
- Si utiliza captive portal o portal de autenticación, ejecute los siguientes comandos:
- mostrar ip-user-mapping de todo tipo SSO
- borrar las direcciones user-cache-mp> <above IP-
- borrar direcciones de caché de <above IP- usuario>
Deténgase aquí si ha completado la implementación de la solución que no incluye la actualización Panorama NGFW , o series VM- (incluyendo GlobalProtect ).
3. Solución con actualización
para Panorama , , Clientes de serie NGFW VM- (incluyendo ) GlobalProtect Antes de
actualizar:
Paso 1 - Verificar que su IdP está firmando SAML respuestas y / o aserciones
Paso 2 - Compruebe si los perfiles de servidor SAML IdP están configurados con IDP
actualización de certificado de certificado PAN-OS :
Recomendamos priorizar la actualización global de puertas de enlace y portales de protección global sobre la actualización de otros firewalls / Panorama .
Paso 3 - Consulte las Notas de la versión para la última versión de mantenimiento PAN-OS de:
Siga las instrucciones de las Notas de la versión específicas para actualizar su NGFW , VM- Serie, o Panorama electrodomésticos a la última versión de mantenimiento.
Después de actualizar PAN-OS :
Paso 4 - Invalidar las cookies de anulación de autenticación emitidas previamente GlobalProtect
- Si se utiliza GlobalProtect Autentificación de cookies,la autenticación invalida las cookies emitidas antes de la PAN-OS actualización puede seguir siendo válida. Para finalizar esas sesiones y forzar a los usuarios a volver a iniciar sesión, es necesario cambiar el certificado utilizado para cifrar y descifrar la cookie anulación de autenticación en el portal y las puertas de enlace mediante , a GlobalProtect Panorama continuación, confirmar los cambios en los firewalls que ejecutan los GlobalProtect portales & puertas de enlace.
- Reinicie los GlobalProtect portales y puertas de enlace para desconectar las sesiones existentes.
Paso 5 - Invalidar a los usuarios que fueron autenticados previamente a través de Captive Portal/Authentication Portal
- Si utiliza captive portal o portal de autenticación, ejecute los siguientes comandos:
- mostrar ip-user-mapping de todo tipo SSO
- borrar las direcciones user-cache-mp> <above IP-
- borrar direcciones de caché de <above IP- usuario>
Prisma Access Clientes que utilizan Panorama para administrar Prisma Access firewalls
Prisma Access actualización completada el 29 de junio de 2020 - 05:01 UTC
Después de la Prisma Access Actualización:
Paso 1 - Invalidar las cookies de anulación de autenticación emitidas anteriormente GlobalProtect Si se utilizan cookies de anulación de
GlobalProtect autenticación,las cookies de anulación de autenticación emitidas antes de la Prisma Access actualización pueden seguir siendo válidas. Para finalizar esas sesiones y forzar a los usuarios a volver a iniciar sesión, es necesario cambiar el certificado utilizado para cifrar y descifrar la cookie de anulación de autenticación en el portal y las puertas de enlace mediante y confirmar e insertar los GlobalProtect Panorama cambios.
Después de realizar los cambios anteriores, Prisma Access cierra automáticamente la sesión de usuario anterior y la aplicación del punto de conexión volverá a GlobalProtect GlobalProtect autenticar al usuario para establecer una nueva conexión.
Deténgase aquí si ha completado la implementación de la solución para actualizar Panorama NGFW , o serie VM- (incluyendo GlobalProtect ).
Documentación a la que se hace referencia
Compruebe que su IdP está firmando SAML respuestas y/o afirmaciones
- Si usa ADFS Microsoft, Microsoft Azure, Google Cloud Identity, OneLogin, PingFederate o PingOne como SAML idp, continúe con el paso siguiente.
- Si está utilizando Okta o cualquier otro IdP, compruebe que su IdP está firmando SAML respuestas y/o aserciones. Como práctica recomendada de seguridad, debe configurar su IdP para firmar la SAML respuesta, la SAML aserción o ambos.
SAML Proveedor de IdP | Acción |
---|---|
| SAML Se firman respuestas y/o aserciones.Proceda al siguiente paso |
Okta | Continúe con el siguiente paso si ha utilizado cualquiera de las siguientes integraciones en OIN (Okta Integration Network) para configurar SAML el perfil
|
Puerta de enlace de acceso duo | Continúe con el siguiente paso si está utilizando la integración de Palo Alto Networks en Duo Access Gateway. |
Otros desplazados internos | Compruebe que ha configurado su IdP para firmar SAML respuestas, aserciones o ambos. |
Vuelva a la solución sin el
retorno de la actualización a lasolución con la comprobación de la actualización
si los perfiles del servidor del SAML IdP están configurados con IDP
el certificado Asegúrese de que el certificado del IdP esté configurado en todos los SAML perfiles del IdP en el y firewall que se utilizan para Panorama autenticar GlobalProtect a, cautivos & portales de autenticación, y la interfaz web administrativa.
- Compruebe que ha seleccionado el certificado de proveedor de identidades que usa su IdP para firmar SAML mensajes.
- Si no tiene su certificado de proveedor de identidad (IdP) disponible en el menú desplegable, debe agregar uno. Utilice las instrucciones del paso 2 de este enlace.
Compruebe si "Validar certificado de proveedor de identidad" está habilitado
Asegúrese de que validar el certificado del proveedor de identidades se configura en todos los perfiles SAML idp en el y que se firewall utilizan para Panorama autenticarse a , cautivo & GlobalProtect portales de autenticación, y la interfaz web administrativa. Si esto está habilitado, no se necesitan más acciones.
Para habilitar validar el certificado de proveedor de identidades,necesitará que el certificado de firma utilizado por su IdP sea emitido por una entidad de certificación ( CA ). Mientras que los idps populares emiten un certificado autofirmado de forma predeterminada, generalmente le permiten usar un certificado emitido por su CA . Algunos idps como Azure proporcionan UI opciones para cargar CA- certificados emitidos, y otros como Okta necesitan que realice API llamadas para usar su propio certificado. Hable con su administrador idp para asegurarse de que el IdP esté configurado correctamente para habilitar esto.
Estos son algunos enlaces útiles para guiar la conversación con su administrador idp:
SAML Proveedor de IdP | Enlaces |
---|---|
ADFS | Orientación adicional |
Azul AD | Orientación adicional |
Puerta de enlace de acceso duo | Los clientes deben actualizar a PAN-OS 8.1.15, 9.0.9, 9.1.3 o posterior. |
Identidad en la nube de Google | Los clientes deben actualizar a PAN-OS 8.1.15, 9.0.9, 9.1.3 o posterior. |
Okta | Orientación adicional |
Ping Uno | Orientación adicional |
OneLogin | Orientación adicional |
Otros desplazados internos | Una vez que se ha configurado un CA- certificado emitido en su IdP, usted debe volver a registrar el IdP dentro y PAN-OS Panorama . Para hacer esto:
|
Volver a la solución sin actualizar
volver a la solución conactualización