Sécurisation de SAML vos déploiements
Objective
Si vous êtes un client de Palo Alto Network et que vous n’utilisez SAML pas sur votre , NGFW VM- Série, Panorama appareils, ou sur , vous êtes Prisma Access NOT IMPACTED CVE-2020d’ici -2021 PAN-OS : Bypass d’authentification dans SAML l’authentification.
- Vérifiez si vous utilisez SAML
- Si vous utilisez, SAML appliquez des mesures d’atténuation si votre SAML fournisseur d’identité le permet
- Envisagez de mettre NGFW à niveau immédiatement et de mettre à Panorama VM- l’eau les pare-feux de série vers les dernières versions de maintenance de PAN-OS
Environment
- NGFW, VM- Série
- Panorama
- GlobalProtect Portail/Passerelle
- Prisma Access
- SAML
Procedure
Pour Panorama , , clients de la série NGFW VM- (y compris GlobalProtect ) | ||
---|---|---|
Configuration | Prochaines étapes | |
Si SAML est NOT configuré | Aucune action n’est requise. Arrêter. | |
Si SAML est configuré | Solution - Avec mise à niveau | Solution - Sans mise à niveau |
Avant de mettre à niveau
| Votre PDI doit permettre aux CA- certificats délivrés d’appliquer ces mesures d’atténuation et de réduire les risques. Vérifiez-le d’abord auprès de votre administrateur IdP avant de procéder.
|
Pour les Prisma Access clients | ||
---|---|---|
Configuration | Prochaines étapes | |
Si SAML est NOT configuré | Aucune action n’est requise. Arrêter. | |
Si SAML est configuré | Prisma Access mise à niveau terminée le 29 juin 2020 - 05:01 UTC Après avoir mis à niveau :
| |
Détails techniques et comment
1. Vérifiez si SAML est configuré
Étape 1
- Si vous ne voyez pas de profils, alors vous n’avez pas configuré SAML . Passez à l’étape 2.
- Si vous voyez des profils, alors vous utilisez SAML . Des mesures immédiates sont nécessaires pour mettre à niveau vers la dernière version de maintenance, ou appliquer la configuration suggérée pour atténuer si une mise à niveau n’est pas possible.
- Si vous ne voyez pas de profils, alors vous n’avez pas configuré SAML . Une action immédiate n’est pas nécessaire. S’il vous plaît planifier de mettre à niveau vers la dernière version de PAN-OS maintenance de la plus tôt commodité.
- Si vous voyez des profils, alors vous utilisez SAML . Des mesures immédiates sont nécessaires pour mettre à niveau vers la dernière version de maintenance, ou appliquer la configuration suggérée pour atténuer si une mise à niveau n’est pas possible.
Lors de l’utilisation de NGFWs seulement (non Panorama )
Sur chacun firewall d’eux, vérifiez si SAML l’authentification est activée pour les pare-feu. Accédez aux profils de > de serveur > fournisseur SAML d’identité.
- Si vous ne voyez pas de profils, alors vous n’avez pas configuré SAML . Une action immédiate n’est pas nécessaire. S’il vous plaît planifier de mettre à niveau vers la dernière version de maintenance PAN-OS de au plus tôt.
- Si vous voyez des profils, alors vous utilisez SAML . Des mesures immédiates sont nécessaires pour mettre à niveau vers la dernière version de maintenance, ou appliquer la configuration suggérée pour atténuer si une mise à niveau n’est pas possible.
2. Solution sans mise à niveau
Avant de procéder:
- Pour appliquer cette atténuation, vous avez besoin du certificat de signature utilisé par votre IdP pour être une autorité de certificat CA () certificat délivré.
- De nombreux fournisseurs d’identification populaires émettez un certificat auto-signé par défaut, mais offrent des options pour utiliser un certificat délivré par votre CA . Alors que certaines personnes déplacées comme Azure offrent des UI options pour télécharger les CA- certificats délivrés, d’autres comme Okta pourraient avoir besoin de vous pour passer API des appels. Nous vous recommandons d’examiner d’abord les liens fournis à l’étape 3 avec votre administrateur idp pour déterminer la faisabilité de cette atténuation.
- CA-les certificats délivrés ne peuvent pas être utilisés si votre IdP est Duo Access Proxy ou Google Cloud Identity. Des mesures immédiates sont nécessaires pour passer à la dernière version de maintenance de PAN-OS .
Étape 1 - Vérifiez que votre IdP signe les réponses SAML et/ou l’assertion
Étape 2 - Vérifiez si les profils de serveur SAML IdP sont mis en IDP
place avec le certificatÉtape 3 - Vérifiez si « Validate Identity Provider Certificate » est activé
Étape4 - Invalider GlobalProtect les cookies Auth Override précédemment émis
- Si vous utilisez GlobalProtect L’authentification remplace les cookies, l’authentification remplace les cookies émis avant la PAN-OS mise à niveau peuvent toujours être valides. Pour mettre fin à ces sessions et forcer les utilisateurs à se réinsertion, il est nécessaire de modifier le certificat utilisé pour chiffrer et décrypter le cookie De remplacement d’authentification sur le portail et les passerelles à l’aide ou l’interface Web, et de valider les modifications apportées aux GlobalProtect Panorama firewall pare-feu exécutant les GlobalProtect portails et passerelles.
- Redémarrez les GlobalProtect portails et les passerelles pour déconnecter les sessions existantes.
Veuillez noter : Redémarrer les pare-feu et éliminer les sessions non Panorama autorisées sur l’interface Web. Si vous avez redémarré firewall le / , les étapes suivantes ne sont pas Panorama nécessaires.
- Si vous utilisez pour SAML l’authentification admin et n’avez pas redémarré firewall le / , exécuter les commandes Panorama suivantes:
- Pour supprimer toutes les sessions d’administration :
- supprimer les sessions d’administration
- Pour trouver des administrateurs authentifiés via UI et supprimer ces sessions admin :
- afficher les administrateurs
- supprimer le nom d’utilisateur des sessions admin <admin-username>
Étape 6 - Invalider les utilisateurs qui ont déjà été authentifiés via Captive Portal/Authentication Portal
- Si vous utilisez captive Portal ou Portail d’authentification, exécutez les commandes suivantes :
- afficher l’utilisateur ip-user-mapping tout type SSO
- clairement les adresses <above IP- user-cache-mp>
- effacer les adresses de cache <above IP- utilisateur>
Arrêtez-vous ici si vous avez terminé la mise en œuvre de la solution qui n’inclut pas la Panorama mise à NGFW niveau, ou série VM- (y compris GlobalProtect ).
3. Solution avec mise à niveau
pour , , Clients de série Panorama NGFW VM- (y compris ) Avant de GlobalProtect mettre à
niveau: Étape 1 - Vérifiez que votre IdP signe des réponses et / ou des SAML affirmations
Étape 2 - Vérifiez si les profils serveur SAML IdP sont mis en place IDP
avec la mise à niveau certificatde certificat : PAN-OS Nous
vous recommandons de prioriser la mise à niveau des passerelles et portails Global Protect sur la mise à niveau d’autres pare-feu / Panorama .
Étape 3 - Consultez les notes de sortie pour la dernière version de maintenance de PAN-OS :
Suivez les instructions dans les notes de version spécifiques pour mettre à niveau NGFW votre série ou vos appareils vers la dernière version de VM- Panorama maintenance.
Après votre mise à PAN-OS niveau :
Étape4 - Invalider les GlobalProtect cookies Auth Override précédemment émis
- Si vous utilisez GlobalProtect L’authentification remplace les cookies,l’authentification remplace les cookies émis avant la PAN-OS mise à niveau peuvent toujours être valides. Pour mettre fin à ces sessions et forcer les utilisateurs à se réinsertion, il est nécessaire de modifier le certificat utilisé pour chiffrer et décrypter le cookie De remplacement d’authentification sur le portail et les passerelles à GlobalProtect l’aide, puis de valider les modifications Panorama apportées aux pare-feu exécutant GlobalProtect les portails et passerelles.
- Redémarrez les GlobalProtect portails et les passerelles pour déconnecter les sessions existantes.
Étape 5 - Invalider les utilisateurs qui ont déjà été authentifiés via Captive Portal/Authentication Portal
- Si vous utilisez captive Portal ou Portail d’authentification, exécutez les commandes suivantes :
- afficher l’utilisateur ip-user-mapping tout type SSO
- clairement les adresses <above IP- user-cache-mp>
- effacer les adresses de cache <above IP- utilisateur>
Prisma Access Clients utilisant Panorama pour gérer les Prisma Access pare-feu
Prisma Access mise à niveau terminée le 29 juin 2020 - 05:01 UTC
Après la Prisma Access Mise à niveau :
Étape 1 - Invalider les GlobalProtect cookies Auth Override précédemment émis Si vous utilisez des
cookies de remplacement d’authentification, GlobalProtect l’authentification remplace les cookies émis avant Prisma Access la mise à niveau peut toujours être valide. Pour mettre fin à ces sessions et forcer les utilisateurs à se réinsertion, il est nécessaire de modifier le certificat utilisé pour chiffrer et décrypter le cookie De remplacement d’authentification sur le portail et les passerelles en utilisant et en commettant et en appuyant sur les GlobalProtect Panorama modifications.
Une fois que vous avez effectué les modifications Prisma Access précédentes, connecte automatiquement les GlobalProtect anciennes sessions utilisateur, et GlobalProtect l’application sur le point de terminaison réinthent l’utilisateur pour établir une nouvelle connexion.
Arrêtez-vous ici si vous avez terminé la mise en œuvre de la solution de Panorama mise à niveau , ou série NGFW VM- (y compris GlobalProtect ).
Documentation référencée
Vérifiez que votre IdP signe des SAML réponses et/ou des affirmations
- Si vous utilisez ADFS Microsoft, Microsoft Azure, Google Cloud Identity, OneLogin, PingFederate ou PingOne comme SAML IdP, passez à l’étape suivante.
- Si vous utilisez Okta ou tout autre IdP, vérifiez que votre IdP signe des réponses SAML et/ou des affirmations. En tant que meilleure pratique en matière de sécurité, vous devez configurer votre IdP pour signer SAML la réponse, SAML l’affirmation ou les deux.
SAML Fournisseur IdP | Action |
---|---|
| SAML Les réponses et/ou affirmations sont signées.Passez à l’étape suivante |
Okta | Passez à l’étape suivante si vous avez utilisé l’une des intégrations ci-dessous OIN sur (Okta Integration Network) pour configurer le SAML profil
|
Passerelle d’accès duo | Passez à l’étape suivante si vous utilisez l’intégration palo alto networks sur Duo Access Gateway. |
Autres personnes déplacées | Veuillez vérifier que vous avez configuré votre IdP pour signer des SAML réponses, des affirmations ou les deux. |
Retour à la solution sans mise à
niveau Retour à la solution avec vérificationde
mise à niveau si les profils deserveur SAML IdP sont configurés IDP avec certificat
Assurez-vous que le certificat IdP est configuré sur tous les profils IdP sur le et qui sont utilisés pour SAML firewall Panorama authentifier GlobalProtect à , Captive & Portails d’authentification, et l’interface web administrative.
- Vérifiez que vous avez sélectionné le certificat de fournisseur d’identité que votre IdP utilise pour signer des SAML messages.
- Si vous n’avez pas votre certificat de fournisseur d’identité (IdP) disponible dans le drop-down, vous devez en ajouter un. Utilisez les instructions de l’étape 2 dans ce lien.
Vérifiez si le « certificat de fournisseur d’identité validé » est activé
Assurez-vous que validate Identity Provider Certificate est configuré sur tous les profils SAML IdP sur le et qui firewall sont utilisés pour Panorama authentifier GlobalProtect à , Captive & Portails d’authentification, et l’interface web administrative. Si cela est activé, aucune autre action n’est nécessaire.
Pour activer le certificat de fournisseur d’identitévalidate, vous aurez besoin du certificat de signature utilisé par votre IdP pour être délivré par une autorité de certificat ( CA ). Bien que les personnes déplacées populaires d’émettre un certificat auto-signé par défaut, ils vous permettent généralement d’utiliser un certificat délivré par votre CA . Certaines personnes déplacées comme Azure offrent des UI options pour télécharger les CA- certificats délivrés, et d’autres comme Okta ont besoin de API vous pour passer des appels pour utiliser votre propre certificat. Parlez à votre administrateur IdP pour vous assurer que l’IdP est configuré correctement pour l’activer.
Voici quelques liens utiles pour guider la conversation avec votre administrateur IdP :
SAML Fournisseur IdP | Liens |
---|---|
ADFS | Orientations supplémentaires |
Azure AD | Orientations supplémentaires |
Passerelle d’accès duo | Les clients doivent passer PAN-OS à 8.1.15, 9.0.9, 9.1.3 ou plus tard. |
Identité Google Cloud | Les clients doivent passer PAN-OS à 8.1.15, 9.0.9, 9.1.3 ou plus tard. |
Okta | Orientations supplémentaires |
Ping Un | Orientations supplémentaires |
OneLogin | Orientations supplémentaires |
Autres personnes déplacées | Une fois CA- qu’un certificat délivré a été configuré sur votre IdP, vous devez ré-enregistrer l’IdP à l’intérieur PAN-OS et Panorama . Pour ce faire:
|
Retour à la solution sans retour de mise à
niveau à la solution avec mise àniveau