Habilitar validar certificado de proveedor de identidades con AzureAD mediante FW CA

Habilitar validar certificado de proveedor de identidades con AzureAD mediante FW CA

68239
Created On 07/02/20 19:35 PM - Last Modified 09/21/21 00:40 AM


Symptom


Para proteger SAML las implementaciones formulario CVE-2020-2021 PAN-OS, Palo Alto Networks emitió siguientes documentos que compartían soluciones sin actualizar Firewall PAN-OS . Para obtener más detalles, siga el siguiente enlace.

Asegurar su SAML Implementaciones
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXK


Resumen rápido:

Firmado SAML Respuesta: Si el IdP que está usando es ADFS , Azure , AD Google, OneLogin, PingFederate o PingOne, no es necesario realizar ninguna acción para enviar SAML respuestas o aserciones firmadas. Si está utilizando Okta o cualquier otro IdP, compruebe si ha configurado su IdP para firmar SAML respuestas o aserciones. Como práctica recomendada de seguridad, debe configurar su IdP para firmar la respuesta, la SAML SAML aserción o ambos.

Habilitar certificado de proveedor de identidad de validación: Para poder habilitar la casilla validar certificado de proveedor de identidades, el certificado de su proveedor idp debe ser emitido por una entidad de certificación.Muchos proveedores de identidades populares generan certificados idp autofirmados de forma predeterminada, pero ADFS , AD Azure, Okta, Ping One y OneLogin proporcionan una manera de usar CA- certificados de idp emitidos.

En este artículo se describe la solución para habilitar el certificado de proveedor de identidades de validación sin actualizar la SAML configuración con Azure AD .

Environment


Si usted es cliente de Palo Alto Network y lo utiliza SAML en su NGFW , VM- Panorama Serie, dispositivos, o en Prisma Access , usted es por IMPACTED CVE-2020-2021 PAN-OS : Omisión de autenticación en la SAML autenticación.
  • NGFW, VM- Serie
  • Panorama
  • GlobalProtect Portal/Puerta de enlace
  • Prisma Access
  • SAML
 


 

Cause


Palo Alto Networks recientemente se dio cuenta de un problema que afecta a PAN-OS las características donde se utiliza la SAML autenticación basada, lo que puede permitir que un atacante malintencionado se autentifique correctamente en varios servicios sin credenciales válidas. Los dispositivos y software afectados incluyen las GlobalProtect interfaces gateway, portal, clientless, VPN captive portal y administración Prisma Access PAN-OS Panorama web. La vulnerabilidad requiere que se habilite una configuración específica PAN-OS para una explotación correcta. Creemos que el potencial de impacto es alto y la configuración requerida puede ser común cuando se utilizan proveedores de inicio de sesión único como Okta.

Resolution



Azul AD 

Pasos para configurar CA- el certificado emitido y habilitar validar el certificado de proveedor de identidades en PAN-OS 

Paso 1 - Agregar un CA- certificado emitido como certificado de idp en Azure AD

  1. Siga las instrucciones de Azure AD para agregar un nuevo certificado emitido CA- https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/manage-certificates-for-federated-single-sign-on#create-a-new-certificate
  2. Elimine el certificado antiguo antes de exportar los metadatos de IdP para completar el siguiente paso.

Paso 2 - Importar metadatos y habilitar "Validar certificado de proveedor de identidad" en PAN-OS

Una vez que se ha configurado un CA- certificado emitido en su IdP, debe volver a registrar el IdP dentro y PAN-OS Panorama . Para hacer esto:

  1. Pregunte a su administrador idp por metadatos idp
  2. Importe los metadatos de IdP en PAN-OS y/o Panorama asegúrese de que la casilla validar certificado de proveedor de identidad está habilitada. Haga clic OK
  3. Cree un perfil de certificado utilizando el mismo CA certificado que ha emitido el certificado del IdP
  4. Agregue el perfil y el perfil de certificado del servidor idp recién creados a su SAML perfil de autenticación
  5. Confirme la configuración a Panorama y/o a la firewall
Nota: Genere un certificado mediante la entidad de certificación empresarial.A continuación Firewall se utiliza para generar la cadena de certificados autofirmada para este propósito.

 
Imagen de usuario añadido
 
  1. Certificado de exportación en formato de archivo PKCS12
Imagen de usuario añadido
 
Imagen de usuario añadido
 
  1. Inicie sesión en Azure Portal y seleccione Azure Active Directory
Imagen de usuario añadido
 
  1. Seleccionar aplicaciones empresariales
Imagen de usuario añadido
 
  1. Seleccione Global Protect
Imagen de usuario añadido
 
  1. En Global Protect, seleccione Inicio de sesión único
Imagen de usuario añadido
 
  1. En SAML- Inicio de sesión basado, seleccione la opción Certificado de SAMLfirma
Imagen de usuario añadido
 
  1. Certificado de importación (SAML_AzureSign) con PFX contraseña
Imagen de usuario añadido
 
  1. Después de importar el certificado, asegúrese de activarlo y eliminar el anterior
  2. Ahora los metadatos de la federación XML se pueden descargar o exportar a firewall
Imagen de usuario añadido
 
  1. Metadatos descargados importados a firewall
Imagen de usuario añadido
 
Imagen de usuario añadido
 
Imagen de usuario añadido
 
  1. SAML perfil aparecerá con enlaces, llamar SAML_AzureSign certificado en la opción Certificado de proveedor de identidad
Imagen de usuario añadido
 
  1. Crear perfil de certificado con certificados raíz e intermedio
Imagen de usuario añadido
 
  1. Navegue al perfil de autenticación para llamar al servidor idp y al perfil del certificado
Imagen de usuario añadido
 
  1. Confirme todos los cambios e intente iniciar sesión en cualquier característica que utilice SAML el perfil de autenticación
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UfECAU&lang=es%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language