保护您的 SAML 部署
88071
Created On 06/23/20 18:12 PM - Last Modified 03/26/21 18:26 PM
Objective
如果您是帕洛阿尔托网络的客户,并且不使用 SAML 您的 NGFW , VM- 系列 Panorama ,设备,或上 Prisma Access ,你是 NOT IMPACTED CVE-2020由-2021: PAN-OS 身份验证旁路 SAML 认证。
- 检查您是否正在使用 SAML
- 如果您正在使用 SAML ,如果您 SAML 的身份提供商允许,请应用缓解措施
- 考虑立即升级 NGFW Panorama ,并将 VM- 系列防火墙升级到最新维护版本 PAN-OS
Environment
- NGFW, VM- 系列
- Panorama
- GlobalProtect 门户/网关
- Prisma Access
- SAML
Procedure
对于 Panorama NGFW , VM- 系列客户 ( 包括 GlobalProtect ) | ||
---|---|---|
配置 | 后续步骤 | |
如果 SAML NOT 已配置 [检查您的配置] | 无需执行任何操作。 停止。 | |
如果 SAML 已配置 | 解决方案 - 升级 | 解决方案 - 无需升级 |
升级前
| 您的 IdP 必须允许 CA- 已颁发的证书 应用这些缓解措施并降低风险。 在继续之前,请先与您的 IdP 管理员验证此问题。
|
适合 Prisma Access 客户 | ||
---|---|---|
配置 | 后续步骤 | |
如果 SAML NOT 已配置 [检查您的配置] | 无需执行任何操作。 停止。 | |
如果 SAML 已配置 | Prisma Access 升级完成于2020年6月29日 - 05:01 UTC 升级后:
| |
技术细节 » 如何
1. 检查是否 SAML 已配置
使用时 Panorama
步骤 1
检查是否 SAML 支持身份验证以进行 Panorama 管理员身份验证。 导航到 Panorama > 服务器配置文件 > SAML 身份提供商:
- 如果你没有看到任何配置文件,那么你还没有配置 SAML 。 继续到 第 2 步。
- 如果你看到配置文件,那么你正在使用 SAML 。 升级到最新维护版本需要立即采取行动,或者应用建议的配置来缓解无法升级的问题。
检查是否 SAML 启用了由 Panorama 。 导航到设备>[模板]>服务器配置文件>SAML身份提供商。 检查每个模板。
- 如果你没有看到任何配置文件,那么你还没有配置 SAML 。 不需要立即采取行动。 请尽早升级到最新的维护版本 PAN-OS 。
- 如果你看到配置文件,那么你正在使用 SAML 。 升级到最新维护版本需要立即采取行动,或者应用建议的配置来缓解无法升级的问题。
仅在使用NGF时(否 Panorama )
在每一个 firewall ,检查是否 SAML 支持防火墙的身份验证。 导航到设备>服务器配置文件> SAML 身份提供商。
- 如果你没有看到任何配置文件,那么你还没有配置 SAML 。 不需要立即采取行动。 请尽早升级到最新的维护版本 PAN-OS 。
- 如果你看到配置文件,那么你正在使用 SAML 。 升级到最新维护版本需要立即采取行动,或者应用建议的配置来缓解无法升级的问题。
2. 无需升级的解决方案
对于 Panorama NGFW , VM- 系列客户 ( 包括 GlobalProtect )
在继续之前:
- 要实施此缓解措施,您需要 IDP 使用的签名证书才能成为颁发的证书管理局 CA () 颁发的证书。
- 许多流行的IDP提供商默认情况下会签发自签名证书,但提供使用您签发的证书的选项 CA 。 虽然一些像 Azure 这样的 Idps 提供了 UI 上传 CA- 已颁发证书的选项,但其他像 Okta 这样的Idp可能需要您 API 拨打电话。 我们建议您首先与 IdP 管理员一起查看 第 3 步 中提供的链接,以确定此缓解措施的可行性。
- CA-如果您的IdP是双访问代理或谷歌云标识,则无法使用已颁发的证书。 需要立即采取行动,以升级到最新的维护版本 PAN-OS 。
第 1 步 - 验证您的 IdP 是否正在签署 SAML 响应和/或断言
步骤 2 - 检查 SAML IdP 服务器配置文件是否与 IDP 证书证书
步骤 3 一起设置 - 检查是否启用了"验证身份提供商证书"
步骤 4 - 使先前发布的 GlobalProtect Auth 覆盖 Cookie 失效
- 如果使用 GlobalProtect 认证覆盖曲奇饼, 升级前发布的认证覆盖曲奇 PAN-OS 可能仍然有效。 要终止这些会话并强制用户重新登录,需要 更改用于加密和解密 使用或 Web 界面的门户和网关上的"身份验证覆盖 Cookie"的证书 GlobalProtect Panorama firewall ,并将更改提交给运行 GlobalProtect 门户和网关的防火墙。
- 重新启动 GlobalProtect 门户和网关以断开任何现有会话。
第 5 步 - 通过管理员身份验证验证的管理员用户的会话无效 SAML
请注意: 重新启动防火墙并消除 Panorama Web 界面上任何未经授权的会话。 如果您已重新启动 firewall Panorama /,则不需要以下步骤。
请注意: 重新启动防火墙并消除 Panorama Web 界面上任何未经授权的会话。 如果您已重新启动 firewall Panorama /,则不需要以下步骤。
- 如果您正在 SAML 用于管理身份验证,但尚未重新启动 firewall Panorama /,则运行以下命令:
- 要删除所有管理会话:
- 删除管理员会话
- 要查找通过验证的管理员 UI 并删除这些管理员会话:
- 显示管理员
- 删除管理员会话用户名 <admin-username>
第 6 步- 使以前通过俘虏门户/身份验证门户进行身份验证的用户失效
- 如果使用俘虏门户或身份验证门户,则 运行以下命令:
- 显示用户 IP 用户映射所有类型 SSO
- 清除用户缓存-mp <above IP- 地址>
- 清除用户缓存 <above IP- 地址>
如果您已完成不包括升级 Panorama NGFW 或 VM- 系列(包括)的解决方案的实现,请在此处 GlobalProtect 停止。
3. 升级的解决方案
Panorama NGFW , VM- 系列客户(包括 GlobalProtect )
在升级之前:第
1 步 - 验证您的 IdP 是否正在签署 SAML 响应和/或断言
步骤 2 - 检查 SAML IdP 服务器配置文件是否设置与 IDP 证书
升级 PAN-OS :
我们建议优先升级全球保护网关和门户,而不是 Panorama 升级其他防火墙/
第 3 步 -咨询发布说明,以获得最新维护版本 PAN-OS :
按照特定发布说明中的说明将您的 NGFW 、 VM- 系列或 Panorama 电器升级到最新的维护版本。
升级后 PAN-OS :
步骤 4 - 无效以前发布的 GlobalProtect Auth 覆盖饼干
- 如果使用 GlobalProtect 认证覆盖曲奇饼,在升级前发布的认证覆盖饼干 PAN-OS 可能仍然有效。 要终止这些会话并强制用户重新登录,需要 更改用于加密和解密门户和网关上的身份验证覆盖 Cookie 的证书 GlobalProtect Panorama ,然后将更改提交到运行 GlobalProtect 门户和网关的防火墙。
- 重新启动 GlobalProtect 门户和网关以断开任何现有会话。
第 5 步- 使以前通过俘虏门户/身份验证门户进行身份验证的用户失效
- 如果使用俘虏门户或身份验证门户,则 运行以下命令:
- 显示用户 IP 用户映射所有类型 SSO
- 清除用户缓存-mp <above IP- 地址>
- 清除用户缓存 <above IP- 地址>
Prisma Access Panorama用于管理 Prisma Access 防火墙的客户
Prisma Access 升级完成于2020年6月29日 - 05:01 UTC
之后 Prisma Access 升级:
第 1 步 - 无效以前发布的 GlobalProtect Auth 覆盖曲奇
如果使用 GlobalProtect 身份验证覆盖曲奇,则升级前发布的身份验证覆盖 Cookie Prisma Access 可能仍然有效。 要终止这些会话并强制用户重新登录,需要 更改用于加密和解密门户和网关上使用和提交和推动更改的"身份验证覆盖 Cookie"的证书 GlobalProtect Panorama 。
在您进行之前的更改后, Prisma Access 自动注销旧 GlobalProtect 用户会话, GlobalProtect 端点上的应用将重新对用户进行身份验证以建立新的连接。
停止在这里,如果你已经完成了解决方案的实现升级 Panorama NGFW ,或 VM- 系列(包括 GlobalProtect )。
参考文档
验证您的 IdP 是否在签署 SAML 回复和/或断言
- 如果您使用微软 ADFS 、微软Azure、谷歌云标识、OneLogin、平飞或PingOne作为您的 SAML IdP,请继续下一步。
- 如果您正在使用 Okta 或任何其他 Idp,请验证您的 IdP 是否正在签署 SAML 回复和/或断言。 作为安全最佳实践,您必须配置 IDP 才能签署 SAML 响应、 SAML 断言或两者兼有。
SAML IDP 提供商 | 行动 |
---|---|
| SAML 已签署回复和/或断言。继续下一步 |
Okta | 如果您在 (Okta 集成网络)上使用以下任何集成 OIN 来设置配置文件,请继续下一步 SAML
|
双通道网关 | 如果您在双访问网关上使用帕洛阿尔托网络集成,请继续下一步。 |
其他IDP | 请验证您是否已配置 IDP 以签署 SAML 回复、断言或两者兼有。 |
返回解决方案,无需升级
返回到解决方案,升级
检查 SAML IdP服务器配置文件是否设置为 IDP 证书
确保IdP证书在上面的所有 SAML IdP配置文件中配置 firewall Panorama ,并用于验证到 GlobalProtect "捕获和身份验证门户"和"管理 Web 界面"。
- 验证您是否已选择 IdP 用于签名消息的身份提供商证书 SAML 。
- 如果您在下拉中没有可用的身份提供商 (IdP) 证书,则必须添加一个。 在此 链接中使用步骤 2 中的说明。
检查是否启用了"验证身份提供商证书"
确保 验证身份提供商证书 在用于 SAML firewall Panorama 验证 GlobalProtect "俘虏"和"身份验证门户"以及管理 Web 界面的所有 IdP 配置文件中配置。 如果启用此功能,则无需采取进一步行动。
要启 用验证身份证明提供者证书,您需要由证书管理局签发 IdP 使用的签名证书 CA 。 虽然流行的IdPs发出一个自我签名的证书默认情况下,他们通常允许您使用由您的 CA 。 一些像Azure这样的IdPs提供了 UI 上传 CA- 已颁发证书的选项,而其他像Okta这样的IDP则需要您 API 打电话来使用您自己的证书。 请与您的 IdP 管理员交谈,以确保 IDP 的配置正确,以便实现这一点。
以下是一些有用的链接,以指导与 IdP 管理员的对话:
SAML IDP 提供商 | 链接 |
---|---|
ADFS | 其他指导 |
蔚蓝 AD | 其他指导 |
双通道网关 | 客户应升级到 PAN-OS 8.1.15、9.0.9、9.1.3 或更晚。 |
谷歌云标识 | 客户应升级到 PAN-OS 8.1.15、9.0.9、9.1.3 或更晚。 |
Okta | 其他指导 |
平一 | 其他指导 |
一洛金 | 其他指导 |
其他IDP | 一旦 CA- 已颁发的证书已配置到您的 IdP 上, 您必须在 IDP 内部 PAN-OS 和 Panorama 。 为此, 请执行以下操作:
|
返回解决方案,无需升级
即可返回到升级解决方案