展開のセキュリティ SAML 保護
88059
Created On 06/23/20 18:12 PM - Last Modified 03/26/21 18:26 PM
Objective
パロアルトネットワークの顧客で SAML NGFW 、 シリーズ VM- 、デバイス、または 上でを使用していない Panorama Prisma Access 場合は NOT IMPACTED CVE-2020、-2021 PAN-OS : SAML 認証のバイパスを実行します。
- 使用しているかどうかを確認する SAML
- を使用している場合は SAML 、ID プロバイダでの対応策を SAML 適用します。
- NGFWの最新のメンテナンス Panorama バージョンに、 および シリーズ ファイアウォールをすぐにアップグレードすることを検討してください VM- 。 PAN-OS
Environment
- NGFW、 VM- シリーズ
- Panorama
- GlobalProtect ポータル/ゲートウェイ
- Prisma Access
- SAML
Procedure
Panoramaの NGFW 場合、 、 VM- シリーズ顧客 (を含む GlobalProtect ) | ||
|---|---|---|
構成 | 次のステップ | |
構成 SAML NOT されている場合 | アクションは必要ありません。 停止。 | |
構成 SAML されている場合 | ソリューション - アップグレードを伴う | ソリューション - アップグレードなし |
アップグレードする前に
| IdP は CA- 、発行された証明書がこれらの 緩和策を適用し、リスクを軽減することを許可する必要があります。 先に進む前に、IdP 管理者に確認してください。
| |
Prisma Accessお客様向け | ||
|---|---|---|
構成 | 次のステップ | |
構成 SAML NOT されている場合 | アクションは必要ありません。 停止。 | |
構成 SAML されている場合 | Prisma Access アップグレードは 2020 年 6 月 29 日に完了しました - 05:01 UTC アップグレード後:
| |
技術的な詳細と方法
1. SAML構成されているかどうかを確認する
使用時 Panorama
ステップ 1
SAML管理者認証に対して認証が有効になっているかどうかを確認します Panorama 。 ID Panorama プロバイダー >>サーバー プロファイルSAMLに移動します。
- プロファイルが表示されない場合は、 を構成していません SAML 。 ステップ2に進みます。
- プロファイルが表示された場合は、 SAML を使用しています。 最新のメンテナンス リリースにアップグレードするか、アップグレードが不可能な場合に軽減するために推奨される構成を適用するには、すぐに対処する必要があります。
SAMLによって管理されるファイアウォールで認証が有効になっているかどうかを確認 Panorama します。 [デバイス> [テンプレート] >サーバー プロファイル> IDSAMLプロバイダに移動します。 各テンプレートを確認します。
- プロファイルが表示されない場合は、 を構成していません SAML 。 即時のアクションは 必要ありません。 早い都合の良い時期に最新のメンテナンスリリースにアップグレードする予定です PAN-OS 。
- プロファイルが表示された場合は、 SAML を使用しています。 最新のメンテナンス リリースにアップグレードするか、アップグレードが不可能な場合に軽減するために推奨される構成を適用するには、すぐに対処する必要があります。
NGFS のみを使用する場合 (いいえ Panorama )
各 firewall で、ファイアウォールに SAML 対して認証が有効になっているかどうかを確認します。 ID プロバイダー>デバイス > サーバー プロファイルに移動 SAML します。
- プロファイルが表示されない場合は、 を構成していません SAML 。 即時のアクションは必要ありません。 早くても最新のメンテナンスリリースにアップグレード PAN-OS する予定です。
- プロファイルが表示された場合は、 SAML を使用しています。 最新のメンテナンス リリースにアップグレードするか、アップグレードが不可能な場合に軽減するために推奨される構成を適用するには、すぐに対処する必要があります。
2. アップグレードを伴わないソリューション
Panoramaの NGFW 場合、 、 VM- シリーズ顧客 (を含む GlobalProtect )
先に進む前に:
- この軽減策を適用するには、IdP で使用される署名証明書が証明機関 ( CA ) 発行された証明書である必要があります。
- 多くの一般的な IdP プロバイダは、既定で自己署名証明書を発行しますが、. CA Azure のような IdP には UI 、発行された証明書をアップロードするオプションが用意されている CA- 場合もありますが、Okta のような他の IdP では API 、呼び出しを行う必要があります。 最初に 、手順 3 で提供されているリンクを IdP 管理者に確認して、この緩和策の実現可能性を判断することをお勧めします。
- CA-IdP がデュオ アクセス プロキシまたは Google クラウド ID の場合、発行された証明書は使用できません。 の最新のメンテナンス リリースにアップグレードするには、すぐにアクションが必要です PAN-OS 。
ステップ 1 - IdP が SAML 応答またはアサーションに署名していることを確認する
手順 2 - SAML IdP Server プロファイルが IDP 証明書証明書で設定されているかどうかを確認
する手順 3 - 「ID プロバイダー証明書の検証」が有効になっているかどうかを確認
する手順 4 - 以前に発行された GlobalProtect 認証上書き Cookie を無効にします
- 使用する GlobalProtect 場合認証オーバーライドクッキー、 アップグレード前に発行された認証上書きクッキー PAN-OS は引き続き有効である可能性があります。 これらのセッションを終了してユーザーに再ログインを強制するには、ポータルおよびゲートウェイで 認証オーバーライド Cookie の暗号化と復号化に使用する証明書を変更 GlobalProtect Panorama firewall し、ポータルとゲートウェイを実行しているファイアウォールに変更をコミットする必要 GlobalProtect があります。
- GlobalProtectポータルとゲートウェイを再起動して、既存のセッションを切断します。
ステップ 5 - 管理者認証を使用して以前に認証された管理者ユーザーのセッションを無効に SAML
注意してください: ファイアウォールを再起動し Panorama 、Web インターフェイス上の承認されていないセッションを排除します。 を再起動した場合は、 firewall Panorama 次の手順は必要ありません。
注意してください: ファイアウォールを再起動し Panorama 、Web インターフェイス上の承認されていないセッションを排除します。 を再起動した場合は、 firewall Panorama 次の手順は必要ありません。
- SAML管理者認証を使用していて、 / を再起動していない場合 firewall は Panorama 、次のコマンドを実行します。
- すべての管理セッションを削除するには:
- 管理セッションの削除
- 管理者を検索し UI 、これらの管理者セッションを削除するには:
- 管理者を表示する
- 管理者セッションのユーザー名を削除する <admin-username>
ステップ 6 - キャプティブ ポータル/認証ポータルを通じて以前に認証されたユーザを無効化する
- キャプティブ ポータルまたは認証ポータルを使用している場合は、 次のコマンドを実行します。
- ユーザー IP-ユーザー マッピングすべてのタイプを表示する SSO
- ユーザーキャッシュ-mp アドレスをクリア <above IP- します>
- ユーザー キャッシュ アドレスをクリア <above IP- します>
アップグレード Panorama 、 、 NGFW または Series VM- (を含む) を含まないソリューションの実装を完了した場合は、ここで停止 GlobalProtect します。
3. アップグレード
を含 Panorama むソリューション、 NGFW 、アップグレード VM- する前にシリーズのお客様 (を含む GlobalProtect ): 手順
1 - IdP が SAML 応答やアサーションに署名していることを確認
する手順 2 - SAML IdP Server プロファイルが IDP 証明書証明書のアップグレードで設定されているかどうかを確認
する PAN-OS :
他のファイアウォールのアップグレードよりもグローバル保護ゲートウェイとポータルのアップグレードを優先することをお勧めします Panorama 。
ステップ3 -の最新のメンテナンス リリースについては、リリース ノートを参照 PAN-OS してください。
特定のリリースノートの指示に従って、ご使用 NGFW の製品 VM- 、シリーズ、または Panorama アプライアンスを最新のメンテナンスリリースにアップグレードします。
アップグレード後 PAN-OS :
手順 4 - 以前に発行された GlobalProtect 認証オーバーライド Cookie を無効にする
- 使用する GlobalProtect 場合認証オーバーライド Cookieを使用すると、アップグレード前に発行された認証オーバーライド Cookie PAN-OS が有効である可能性があります。 これらのセッションを終了してユーザーに再ログインを強制するには、ポータルおよびゲートウェイで 認証オーバーライド Cookie の暗号化および復号化に使用される証明書を変更 GlobalProtect Panorama し、 を使用して ポータルとゲートウェイを実行しているファイアウォールに変更をコミットする必要 GlobalProtect があります。
- GlobalProtectポータルとゲートウェイを再起動して、既存のセッションを切断します。
ステップ 5 - キャプティブ ポータル/認証ポータルを通じて以前に認証されたユーザを無効化する
- キャプティブ ポータルまたは認証ポータルを使用している場合は、 次のコマンドを実行します。
- ユーザー IP-ユーザー マッピングすべてのタイプを表示する SSO
- ユーザーキャッシュ-mp アドレスをクリア <above IP- します>
- ユーザー キャッシュ アドレスをクリア <above IP- します>
Prisma Access Panoramaファイアウォールの管理に使用されるお客様 Prisma Access
Prisma Access アップグレードは 2020 年 6 月 29 日に完了しました - 05:01 UTC
後、 Prisma Access アップグレード:
ステップ 1 - 認証 GlobalProtect オーバーライドクッキー
を使用 GlobalProtect する場合、以前に発行された認証優先 Cookie を無効にする アップグレード前に発行された認証上書き Cookie Prisma Access は引き続き有効である可能性があります。 これらのセッションを終了してユーザーに再ログインを強制するには、ポータルおよびゲートウェイで 認証オーバーライド Cookie の暗号化と復号化に使用する証明書を変更 GlobalProtect Panorama し、変更をコミットしてプッシュする必要があります。
以前の変更を行った後、 Prisma Access 自動的に古いユーザー セッションをログアウト GlobalProtect し、 GlobalProtect エンドポイント上の App は新しい接続を確立するためにユーザーを再認証します。
アップグレードするソリューションの実装が完了している場合は、ここで停止 Panorama します NGFW VM- GlobalProtect 。
参照ドキュメント
IdP が SAML 応答やアサーションに署名していることを確認する
- マイクロソフト ADFS 、マイクロソフト Azure、Google クラウド ID、OneLogin、PingFederate、または PingOne を IdP として使用している場合 SAML は、次の手順に進みます。
- Okta またはその他の IdP を使用している場合は、IdP が応答やアサーションに署名していることを確認 SAML します。 セキュリティのベスト プラクティスとして、 SAML 応答、 SAML アサーション、またはその両方に署名するように IdP を構成する必要があります。
SAML IdP プロバイダー | アクション |
|---|---|
| SAML 応答またはアサーションが署名されます。次のステップに進む |
Okta | 以下のインテグレーションを使用した場合 OIN (Okta 統合ネットワーク) プロファイルを設定する場合は、次の手順に進 SAML みます。
|
デュオアクセスゲートウェイ | Duo Access Gateway でパロアルトネットワークスの統合を使用している場合は、次のステップに進みます。 |
| その他の IdP | SAML応答、アサーション、またはその両方に署名するように IdP を構成したことを確認してください。 |
アップグレードなしでソリューション
に戻る
SAML IdP サーバー プロファイルが IDP 証明書で設定されている場合は、
アップグレードを確認してソリューションに戻る IdP 証明書が、キャ SAML firewall Panorama GlobalProtect プティブおよび認証ポータル、および管理 Web インターフェイスへの認証に使用されるすべての IdP プロファイルで設定されていることを確認します。
- IdP がメッセージの署名に使用する ID プロバイダー証明書を選択したことを確認します SAML 。
- ID プロバイダー (IdP) 証明書がドロップダウンで使用可能でない場合は、証明書を追加する必要があります。 この リンクのステップ 2 の手順を使用します。
「ID プロバイダー証明書の検証」が有効になっているかどうかを確認します。
ID プロバイダー証明書の検証 が、、 SAML firewall Panorama GlobalProtect キャプティブポータルおよび管理 Web インターフェイスへの認証に使用される、および で使用されるすべての IdP プロファイルで設定されていることを確認します。 これが有効な場合、それ以上の操作は必要ありません。
ID プロバイダ証明書の検証を有効にするには、IdP が使用する署名証明書を証明機関 ( ) によって発行する必要があります CA 。 一般的な IdP は既定で自己署名証明書を発行しますが、通常は、 によって発行された証明書を使用できます CA 。 Azure のような IdP には UI 、発行された証明書をアップロードするオプションを提供 CA- する場合や、Okta のような IdP では API 、独自の証明書を使用する呼び出しを行う必要があります。 IdP 管理者に相談して、IdP がこれを有効にするように正しく構成されていることを確認してください。
IdP 管理者との会話をガイドする役立つリンクをいくつか紹介します。
SAML IdP プロバイダー | リンク |
|---|---|
| ADFS | 追加ガイダンス |
| Azure AD | 追加ガイダンス |
| デュオアクセスゲートウェイ | お客様は PAN-OS 、8.1.15、9.0.9、9.1.3以降にアップグレードする必要があります。 |
| グーグルクラウドアイデンティティ | お客様は PAN-OS 、8.1.15、9.0.9、9.1.3以降にアップグレードする必要があります。 |
| Okta | 追加ガイダンス |
| 1つをpingする | 追加ガイダンス |
| ワンログイン | 追加ガイダンス |
| その他の IdP | CA-発行された証明書が IdP で構成されたら 、IdP を と 内に再登録する必要があります PAN-OS Panorama 。 これを行うには:
|
アップグレードなしでソリューションに戻る
アップグレードを使用してソリューションに戻る