Aktivieren der Validierung des Identitätsanbieterzertifikats mit AzureAD unter Verwendung FW CA
Symptom
Um SAML Bereitstellungen zu sichern Form CVE-2020-2021 PAN-OS, Palo Alto Networks ausgestellt folgende Dokumente, die Lösungen ohne Upgrade freigegeben Firewall PAN-OS . Für weitere Details folgen Sie unten Link.
Sichern Sie Ihre SAML Bereitstellungen
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXK
Kurzübersicht:
Signiert SAML Antwort: Wenn der von Ihnen verwendete IdP ADFS , Azure , AD Google, OneLogin, PingFederate oder PingOne ist, müssen Sie keine Maßnahmen ergreifen, um SAML signierte Antworten oder Assertionen zu senden. Wenn Sie Okta oder einen anderen IdP verwenden, überprüfen Sie bitte, ob Sie Ihren IdP so konfiguriert haben, dass SAML er Antworten oder Assertionen signiert. Als bewährte Methode für die Sicherheit müssen Sie Ihren IdP so konfigurieren, dass die SAML Antwort, SAML die Assertion oder beides signieren.
Aktivieren des Validierungszertifikats des Identitätsanbieters: Um das Kontrollkästchen Identitätsanbieterzertifikat überprüfen aktivieren zu können, muss das Zertifikat Ihres IdP-Anbieters von einer Zertifizierungsstelle ausgestellt werden.Viele beliebte Identitätsanbieter generieren standardmäßig selbstsignierte IdP-Zertifikate, aber ADFS Azure AD , Okta, Ping One und OneLogin bieten eine Möglichkeit, CA- ausgestellte IdP-Zertifikate zu verwenden.
In diesem Artikel wird die Lösung zum Aktivieren des Identitätsanbieterzertifikats ohne Upgrade für die SAML Konfiguration mit Azure AD erläutert.
Environment
Wenn Sie ein Palo Alto Network-Kunde sind und SAML auf Ihrem NGFW , VM- Serie, Geräten oder auf Panorama Prisma Access verwenden, sind Sie bis IMPACTED CVE-2020-2021 PAN-OS : Authentifizierungsumgehung in SAML authentifizierung.
- NGFW, VM- Serie
- Panorama
- GlobalProtect Portal/Gateway
- Prisma Access
- SAML
Cause
Palo Alto Networks wurde vor kurzem auf ein Problem aufmerksam, das sich auf Funktionen auswirkt, PAN-OS bei denen eine basierte SAML Authentifizierung verwendet wird, die es einem böswilligen Angreifer ermöglichen kann, sich erfolgreich bei verschiedenen Diensten ohne gültige Anmeldeinformationen zu authentifizieren. Zu den betroffenen Geräten und Software gehören die GlobalProtect Schnittstellen Gateway, Portal, Clientless VPN , Captive Portal und Web Prisma Access PAN-OS Panorama Management. Die Sicherheitsanfälligkeit erfordert, dass bestimmte Konfigurationseinstellungen PAN-OS aktiviert werden, um sie erfolgreich ausnutzen zu können. Wir glauben, dass das Potenzial für Auswirkungen hoch ist und die erforderliche Konfiguration häufig sein kann, wenn Single-Sign-On-Anbieter wie Okta verwendet werden.
Resolution
Azure AD
Schritte zum Konfigurieren CA- ausgestellter Zertifikate und Aktivieren des Validate Identity Provider Certificate on PAN-OS
Schritt 1 - Hinzufügen eines CA- ausgestellten Zertifikats als IdP-Zertifikat in Azure AD
- Befolgen Sie den Anweisungen aus AD Azure, um ein neues CA- ausgestelltes Zertifikat https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/manage-certificates-for-federated-single-sign-on#create-a-new-certificate
- Löschen Sie das alte Zertifikat, bevor Sie die IdP-Metadaten exportieren, um den nächsten Schritt abzuschließen.
Schritt 2 - Importieren von Metadaten und Aktivieren von "Validate Identity Provider Certificate" auf PAN-OS
Nachdem ein CA- ausgestelltes Zertifikat auf Ihrem IdP eingerichtet wurde, müssen Sie den IdP innerhalb PAN-OS und neu Panorama registrieren. Dazu:
- Fragen Sie Ihren IdP-Administrator nach IdP-Metadaten
- Importieren Sie die IdP-Metadaten in PAN-OS und/oder und stellen Sie Panorama sicher, dass das Kontrollkästchen Identitätsanbieterzertifikat überprüfen aktiviert ist. klicken OK
- Erstellen eines Zertifikatprofils mit demselben CA Zertifikat, das das Zertifikat des IdP ausgestellt hat
- Hinzufügen des neu erstellten IdP-Serverprofils und des Zertifikatprofils zu Ihrem SAML Authentifizierungsprofil
- Verpflichten Sie die Konfiguration an Panorama und/oder firewall
- Exportzertifikat im PKCS12-Dateiformat
- Melden Sie sich bei azure an, und wählen Sie Azure Active Directory aus.
- Auswählen von Enterprise-Anwendungen
- Wählen Sie Global Protect
- Wählen Sie unter Global Protect die Option Einmaliges Anmelden
- Wählen Sie unter SAML- basiertes Anmelden die Option SAML Zertifikat signieren aus.
- Importzertifikat (SAML_AzureSign) mit PFX Passwort
- Stellen Sie nach dem Importieren des Zertifikats sicher, dass es aktiv ist, und löschen Sie das vorherige
- Jetzt können die Verbundmetadaten XML heruntergeladen oder exportiert werden, firewall
- Importierte heruntergeladene Metadaten in firewall
- SAML Profil wird mit Links angezeigt, rufen Sie SAML_AzureSign Zertifikat in der Option Identitätsanbieterzertifikat auf
- Erstellen eines Zertifikatprofils mit Stamm- und Zwischenzertifikaten
- Navigieren zu Auth-Profil, um IdP Server und Zertifikatprofil aufzurufen
- Übertragen Sie alle Änderungen und versuchen Sie, sich in jede Funktion einzuloggen, die SAML ein Auth-Profil verwendet