Sécurisation de SAML vos déploiements

Created On 06/23/20 18:12 PM - Last Modified 03/26/21 18:26 PM

Objective

Si vous êtes un client de Palo Alto Network et que vous n’utilisez SAML pas sur votre , NGFW VM- Série, Panorama appareils, ou sur , vous êtes Prisma Access NOT IMPACTED CVE-2020d’ici -2021 PAN-OS : Bypass d’authentification dans SAML l’authentification.

Vérifiez si vous utilisez SAML
Si vous utilisez, SAML appliquez des mesures d’atténuation si votre SAML fournisseur d’identité le permet
Envisagez de mettre NGFW à niveau immédiatement et de mettre à Panorama VM- l’eau les pare-feux de série vers les dernières versions de maintenance de PAN-OS

Environment

NGFW, VM- Série
Panorama
GlobalProtect Portail/Passerelle
Prisma Access
SAML

Procedure

Arbre de décision pour sécuriser vos SAML déploiements

Pour Panorama , , clients de la série NGFW VM- (y compris GlobalProtect )
Configuration	Prochaines étapes
Si SAML est NOT configuré [vérifiez votre configuration]	Aucune action n’est requise. Arrêter.
Si SAML est configuré	Solution - Avec mise à niveau	Solution - Sans mise à niveau
Si SAML est configuré	Avant de mettre à niveau Assurez-vous de configurer le certificat de signature de votre fournisseur SAML d’identité en tant que certificat de fournisseur d’identité. Assurez-vous que SAML votre IdP envoie des SAML réponses, des affirmations ou les deux signés. Passez immédiatement à PAN-OS 8.1.15, 9.0.9, 9.1.3 (le cas échéant), ou les versions ultérieures. Nous recommandons de donner la priorité aux passerelles et portails global protect par rapport à la mise à niveau d’autres pare-feu/ Panorama . Après la mise à niveau Invalider les GlobalProtect cookies Auth Override précédemment émis Invalider les utilisateurs qui ont déjà été authentifiés via Captive Portal/Authentication Portal	Votre PDI doit permettre aux CA- certificats délivrés d’appliquer ces mesures d’atténuation et de réduire les risques. Vérifiez-le d’abord auprès de votre administrateur IdP avant de procéder. Assurez-vous que SAML votre IdP envoie des SAML réponses, des affirmations ou les deux signés. Assurez-vous de configurer le certificat de signature de votre fournisseur SAML d’identité comme certificat de fournisseur d’identité. Assurez-vous d’avoir activé validate identity provider certificate on PAN-OS /Panorama Invalider les GlobalProtect cookies Auth Override précédemment émis Invalider les sessions des administrateurs qui ont déjà été authentifiés par SAML l’authentification admin. Invalider les utilisateurs qui ont déjà été authentifiés via Captive Portal/Authentication Portal

Pour les Prisma Access clients
Configuration	Prochaines étapes
Si SAML est NOT configuré [vérifiez votre configuration]	Aucune action n’est requise. Arrêter.
Si SAML est configuré	Prisma Access mise à niveau terminée le 29 juin 2020 - 05:01 UTC Après avoir mis à niveau : Pour Prisma Access Panorama managed Invalider les GlobalProtect cookies Auth Override précédemment émis Pour Prisma Access Cloud Managed Aucune action n’est requise. Arrêter.
Si SAML est configuré

Détails techniques et comment

1. Vérifiez si SAML est configuré

Lors de l'utilisation Panorama

Étape 1

Vérifiez si SAML l’authentification est activée pour Panorama l’authentification de l’administrateur. Accédez Panorama > profils de serveur > fournisseur SAML d’identité :

Si vous ne voyez pas de profils, alors vous n’avez pas configuré SAML . Passez à l’étape 2.
Si vous voyez des profils, alors vous utilisez SAML . Des mesures immédiates sont nécessaires pour mettre à niveau vers la dernière version de maintenance, ou appliquer la configuration suggérée pour atténuer si une mise à niveau n’est pas possible.

Étape 2

Vérifiez si SAML l’authentification est activée pour les pare-feu gérés par Panorama . Accédez à l'> [modèle] > profils de serveur > fournisseur SAML d’identité. Vérifiez chaque modèle.

Si vous ne voyez pas de profils, alors vous n’avez pas configuré SAML . Une action immédiate n’est pas nécessaire. S’il vous plaît planifier de mettre à niveau vers la dernière version de PAN-OS maintenance de la plus tôt commodité.
Si vous voyez des profils, alors vous utilisez SAML . Des mesures immédiates sont nécessaires pour mettre à niveau vers la dernière version de maintenance, ou appliquer la configuration suggérée pour atténuer si une mise à niveau n’est pas possible.

Lors de l’utilisation de NGFWs seulement (non Panorama )

Sur chacun firewall d’eux, vérifiez si SAML l’authentification est activée pour les pare-feu. Accédez aux profils de > de serveur > fournisseur SAML d’identité.

Si vous ne voyez pas de profils, alors vous n’avez pas configuré SAML . Une action immédiate n’est pas nécessaire. S’il vous plaît planifier de mettre à niveau vers la dernière version de maintenance PAN-OS de au plus tôt.
Si vous voyez des profils, alors vous utilisez SAML . Des mesures immédiates sont nécessaires pour mettre à niveau vers la dernière version de maintenance, ou appliquer la configuration suggérée pour atténuer si une mise à niveau n’est pas possible.

2. Solution sans mise à niveau

Pour Panorama , , clients de la série NGFW VM- (y compris GlobalProtect )

Avant de procéder:

Pour appliquer cette atténuation, vous avez besoin du certificat de signature utilisé par votre IdP pour être une autorité de certificat CA () certificat délivré.
De nombreux fournisseurs d’identification populaires émettez un certificat auto-signé par défaut, mais offrent des options pour utiliser un certificat délivré par votre CA . Alors que certaines personnes déplacées comme Azure offrent des UI options pour télécharger les CA- certificats délivrés, d’autres comme Okta pourraient avoir besoin de vous pour passer API des appels. Nous vous recommandons d’examiner d’abord les liens fournis à l’étape 3 avec votre administrateur idp pour déterminer la faisabilité de cette atténuation.
CA-les certificats délivrés ne peuvent pas être utilisés si votre IdP est Duo Access Proxy ou Google Cloud Identity. Des mesures immédiates sont nécessaires pour passer à la dernière version de maintenance de PAN-OS .

Étape 1 - Vérifiez que votre IdP signe les réponses SAML et/ou l’assertion

Étape 2 - Vérifiez si les profils de serveur SAML IdP sont mis en IDP

place avec le certificatÉtape 3 - Vérifiez si « Validate Identity Provider Certificate » est activé

Étape4 - Invalider GlobalProtect les cookies Auth Override précédemment émis

Si vous utilisez GlobalProtect L’authentification remplace les cookies, l’authentification remplace les cookies émis avant la PAN-OS mise à niveau peuvent toujours être valides. Pour mettre fin à ces sessions et forcer les utilisateurs à se réinsertion, il est nécessaire de modifier le certificat utilisé pour chiffrer et décrypter le cookie De remplacement d’authentification sur le portail et les passerelles à l’aide ou l’interface Web, et de valider les modifications apportées aux GlobalProtect Panorama firewall pare-feu exécutant les GlobalProtect portails et passerelles.
Redémarrez les GlobalProtect portails et les passerelles pour déconnecter les sessions existantes.

Étape 5 - Invalider les sessions des utilisateurs d’administrateurs qui ont déjà été authentifiés par SAML l’authentification admin

Veuillez noter : Redémarrer les pare-feu et éliminer les sessions non Panorama autorisées sur l’interface Web. Si vous avez redémarré firewall le / , les étapes suivantes ne sont pas Panorama nécessaires.

Si vous utilisez pour SAML l’authentification admin et n’avez pas redémarré firewall le / , exécuter les commandes Panorama suivantes:
Pour supprimer toutes les sessions d’administration :
- supprimer les sessions d’administration
Pour trouver des administrateurs authentifiés via UI et supprimer ces sessions admin :
- afficher les administrateurs
- supprimer le nom d’utilisateur des sessions admin <admin-username>

Étape 6 - Invalider les utilisateurs qui ont déjà été authentifiés via Captive Portal/Authentication Portal

Si vous utilisez captive Portal ou Portail d’authentification, exécutez les commandes suivantes :
- afficher l’utilisateur ip-user-mapping tout type SSO
- clairement les adresses <above IP- user-cache-mp>
- effacer les adresses de cache <above IP- utilisateur>

Arrêtez-vous ici si vous avez terminé la mise en œuvre de la solution qui n’inclut pas la Panorama mise à NGFW niveau, ou série VM- (y compris GlobalProtect ).

3. Solution avec mise à niveau

pour , , Clients de série Panorama NGFW VM- (y compris ) Avant de GlobalProtect mettre à

niveau: Étape 1 - Vérifiez que votre IdP signe des réponses et / ou des SAML affirmations

Étape 2 - Vérifiez si les profils serveur SAML IdP sont mis en place IDP

avec la mise à niveau certificatde certificat : PAN-OS Nous

vous recommandons de prioriser la mise à niveau des passerelles et portails Global Protect sur la mise à niveau d’autres pare-feu / Panorama .

Étape 3 - Consultez les notes de sortie pour la dernière version de maintenance de PAN-OS :

Suivez les instructions dans les notes de version spécifiques pour mettre à niveau NGFW votre série ou vos appareils vers la dernière version de VM- Panorama maintenance.

Après votre mise à PAN-OS niveau :

Étape4 - Invalider les GlobalProtect cookies Auth Override précédemment émis

Si vous utilisez GlobalProtect L’authentification remplace les cookies,l’authentification remplace les cookies émis avant la PAN-OS mise à niveau peuvent toujours être valides. Pour mettre fin à ces sessions et forcer les utilisateurs à se réinsertion, il est nécessaire de modifier le certificat utilisé pour chiffrer et décrypter le cookie De remplacement d’authentification sur le portail et les passerelles à GlobalProtect l’aide, puis de valider les modifications Panorama apportées aux pare-feu exécutant GlobalProtect les portails et passerelles.
Redémarrez les GlobalProtect portails et les passerelles pour déconnecter les sessions existantes.

Étape 5 - Invalider les utilisateurs qui ont déjà été authentifiés via Captive Portal/Authentication Portal

Si vous utilisez captive Portal ou Portail d’authentification, exécutez les commandes suivantes :
- afficher l’utilisateur ip-user-mapping tout type SSO
- clairement les adresses <above IP- user-cache-mp>
- effacer les adresses de cache <above IP- utilisateur>

Arrêtez-vous ici si vous avez terminé la mise en œuvre de la solution de Panorama mise à niveau , ou série NGFW VM- (y compris GlobalProtect ).

Prisma Access Clients utilisant Panorama pour gérer les Prisma Access pare-feu

Prisma Access mise à niveau terminée le 29 juin 2020 - 05:01 UTC

Après la Prisma Access Mise à niveau :

Étape 1 - Invalider les GlobalProtect cookies Auth Override précédemment émis Si vous utilisez des

cookies de remplacement d’authentification, GlobalProtect l’authentification remplace les cookies émis avant Prisma Access la mise à niveau peut toujours être valide. Pour mettre fin à ces sessions et forcer les utilisateurs à se réinsertion, il est nécessaire de modifier le certificat utilisé pour chiffrer et décrypter le cookie De remplacement d’authentification sur le portail et les passerelles en utilisant et en commettant et en appuyant sur les GlobalProtect Panorama modifications.

Une fois que vous avez effectué les modifications Prisma Access précédentes, connecte automatiquement les GlobalProtect anciennes sessions utilisateur, et GlobalProtect l’application sur le point de terminaison réinthent l’utilisateur pour établir une nouvelle connexion.

Arrêtez-vous ici si vous avez terminé la mise en œuvre de la solution de Panorama mise à niveau , ou série NGFW VM- (y compris GlobalProtect ).

Documentation référencée

Vérifiez que votre IdP signe des SAML réponses et/ou des affirmations

Si vous utilisez ADFS Microsoft, Microsoft Azure, Google Cloud Identity, OneLogin, PingFederate ou PingOne comme SAML IdP, passez à l’étape suivante.
Si vous utilisez Okta ou tout autre IdP, vérifiez que votre IdP signe des réponses SAML et/ou des affirmations. En tant que meilleure pratique en matière de sécurité, vous devez configurer votre IdP pour signer SAML la réponse, SAML l’affirmation ou les deux.

SAML Fournisseur IdP	Action
ADFS Azure AD Google OneLogin PingFederate Ping Un	SAML Les réponses et/ou affirmations sont signées.Passez à l’étape suivante
Okta	Passez à l’étape suivante si vous avez utilisé l’une des intégrations ci-dessous OIN sur (Okta Integration Network) pour configurer le SAML profil Réseaux Palo Alto - GlobalProtect Palo Alto Networks - Admin UI Palo Alto Networks - CaptivePortal Action requise, si vous avez configuré la configuration dans SAML Okta en utilisant App Integration Wizard. Assurez-vous d’envoyer des réponses signées, des affirmations signées ou les deux.
Passerelle d’accès duo	Passez à l’étape suivante si vous utilisez l’intégration palo alto networks sur Duo Access Gateway. Action requise si vous avez configurer la configuration à SAML l’aide de l’intégration du fournisseur de services génériques sur Duo Access Gateway. Assurez-vous d’envoyer des réponses signées, des affirmations signées ou les deux
Autres personnes déplacées	Veuillez vérifier que vous avez configuré votre IdP pour signer des SAML réponses, des affirmations ou les deux.

Retour à la solution sans mise à
niveau Retour à la solution avec vérificationde

mise à niveau si les profils deserveur SAML IdP sont configurés IDP avec certificat

Assurez-vous que le certificat IdP est configuré sur tous les profils IdP sur le et qui sont utilisés pour SAML firewall Panorama authentifier GlobalProtect à , Captive & Portails d’authentification, et l’interface web administrative.

Vérifiez que vous avez sélectionné le certificat de fournisseur d’identité que votre IdP utilise pour signer des SAML messages.
Si vous n’avez pas votre certificat de fournisseur d’identité (IdP) disponible dans le drop-down, vous devez en ajouter un. Utilisez les instructions de l’étape 2 dans ce lien.

Retour à la solution sans retour de mise à
niveau à la solution avec mise àniveau

Vérifiez si le « certificat de fournisseur d’identité validé » est activé

Assurez-vous que validate Identity Provider Certificate est configuré sur tous les profils SAML IdP sur le et qui firewall sont utilisés pour Panorama authentifier GlobalProtect à , Captive & Portails d’authentification, et l’interface web administrative. Si cela est activé, aucune autre action n’est nécessaire.

Pour activer le certificat de fournisseur d’identitévalidate, vous aurez besoin du certificat de signature utilisé par votre IdP pour être délivré par une autorité de certificat ( CA ). Bien que les personnes déplacées populaires d’émettre un certificat auto-signé par défaut, ils vous permettent généralement d’utiliser un certificat délivré par votre CA . Certaines personnes déplacées comme Azure offrent des UI options pour télécharger les CA- certificats délivrés, et d’autres comme Okta ont besoin de API vous pour passer des appels pour utiliser votre propre certificat. Parlez à votre administrateur IdP pour vous assurer que l’IdP est configuré correctement pour l’activer.

Voici quelques liens utiles pour guider la conversation avec votre administrateur IdP :

SAML Fournisseur IdP	Liens
ADFS	Orientations supplémentaires
Azure AD	Orientations supplémentaires
Passerelle d’accès duo	Les clients doivent passer PAN-OS à 8.1.15, 9.0.9, 9.1.3 ou plus tard.
Identité Google Cloud	Les clients doivent passer PAN-OS à 8.1.15, 9.0.9, 9.1.3 ou plus tard.
Okta	Orientations supplémentaires
Ping Un	Orientations supplémentaires
OneLogin	Orientations supplémentaires
Autres personnes déplacées	Une fois CA- qu’un certificat délivré a été configuré sur votre IdP, vous devez ré-enregistrer l’IdP à l’intérieur PAN-OS et Panorama . Pour ce faire: Demandez à votre administrateur IdP des métadonnées IdP. Importez les métadonnées IdP dans PAN-OS et/ou, Panorama assurez-vous que la case à cocher valider le certificat de fournisseur d’identité est activée, puis cliquez OK pour enregistrer le profil du serveur SAML IdP. Créez un profil de certificat à CA l’aide du même certificat qui a délivré le certificat de l’IdP. Ajoutez le profil serveur idp nouvellement créé et le profil de certificat à votre profil SAML d’authentification. Engagez la configuration Panorama vers et/ou les pare-feu.