Activer le certificat de fournisseur d’identité validé avec AzureAD à l’aide FW CA
Symptom
Pour sécuriser les SAML déploiements formulaire CVE-2020-2021 PAN-OS, Palo Alto Networks a publié des documents suivants qui ont partagé des solutions sans mise à niveau Firewall PAN-OS . Pour plus de détails suivez le lien ci-dessous.
Sécurisation de votre SAML Déploiements
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UXK
Résumé rapide:
Signé (signé) SAML Réponse: Si l’IdP que vous utilisez est ADFS , Azure AD , Google, OneLogin, PingFederate ou PingOne, vous n’avez pas besoin de prendre des mesures pour envoyer des SAML réponses ou des affirmations signées. Si vous utilisez Okta ou tout autre IdP, veuillez vérifier si vous avez configuré votre IdP pour signer des réponses SAML ou des affirmations. En tant que meilleure pratique en matière de sécurité, vous devez configurer votre IdP pour signer la SAML réponse, SAML l’affirmation ou les deux.
Activer le certificat de fournisseur d’identité validé : Afin d’être en mesure d’activer la case à cocher validate identity provider certificate, le certificat de votre fournisseur IdP doit être délivré par une autorité de certificat.De nombreux fournisseurs d’identité populaires génèrent des certificats IdP autosignés par ADFS défaut, mais , Azure, AD Okta, Ping One et OneLogin fournissent un moyen d’utiliser CA- les certificats IdP délivrés.
Cet article traite de la solution pour activer le certificat de fournisseur d’identité validé sans mise à SAML niveau pour la configuration avec Azure AD .
Environment
Si vous êtes un client du Réseau Palo Alto et utilisez SAML sur votre NGFW , VM- Série, Panorama appareils, ou sur , vous êtes Prisma Access par IMPACTED CVE-2020-2021 : Bypass PAN-OS d’authentification dans SAML l’authentification.
- NGFW, VM- Série
- Panorama
- GlobalProtect Portail/Passerelle
- Prisma Access
- SAML
Cause
Palo Alto Networks a récemment pris conscience d’un problème d’impact sur les PAN-OS fonctionnalités où SAML l’authentification basée est utilisée, ce qui peut permettre à un attaquant malveillant de s’authentifier avec succès à divers services sans informations d’identification valides. Les appareils et logiciels touchés incluent les GlobalProtect interfaces Gateway, VPN Portal, Clientless, Captive Portal Prisma Access et PAN-OS Web Panorama Management. La vulnérabilité nécessite que des paramètres de configuration spécifiques PAN-OS soient activés pour une exploitation réussie. Nous croyons que le potentiel d’impact est élevé et que la configuration requise peut être courante lorsque des fournisseurs de connecteurs comme Okta sont utilisés.
Resolution
Azure AD
Étapes pour configurer CA- le certificat délivré et activer le certificat de fournisseur d’identité validé sur PAN-OS
Étape 1 - Ajouter un CA- certificat délivré en tant que certificat IdP sur Azure AD
- Suivez les instructions d’Azure AD pour ajouter un nouveau certificat délivré CA- https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/manage-certificates-for-federated-single-sign-on#create-a-new-certificate
- Veuillez supprimer l’ancien certificat avant d’exporter les métadonnées IdP pour compléter l’étape suivante.
Étape 2 - Importer des métadonnées et activer le « certificat de fournisseur d’identité validé » PAN-OS
Une fois CA- qu’un certificat délivré a été mis en place sur votre IdP, vous devez ré-enregistrer l’IdP à l’intérieur PAN-OS et Panorama . Pour ce faire:
- Demandez à votre administrateur IdP des métadonnées IdP
- Importez les métadonnées IdP dans PAN-OS et/ou et Panorama assurez-vous que la case à cocher valider le certificat de fournisseur d’identité est activée. Cliquez sur OK
- Créer un profil de certificat à CA l’aide du même certificat qui a délivré le certificat de l’IdP
- Ajoutez le profil du serveur IdP nouvellement créé et le profil de certificat à votre profil SAML d’authentification
- Engagez la configuration Panorama vers et/ou le firewall
- Certificat d’exportation au format de fichier PKCS12
- Connectez-vous au portail Azure et sélectionnez Azure Active Directory
- Sélectionner les applications Enterprise
- Sélectionnez Global Protect
- Sous Global Protect, sélectionnez Une seule inscription
- Sous SAML- inscription basée, sélectionnez l’option SAML certificat de signature
- Certificat d’importation (SAML_AzureSign) avec mot de PFX passe
- Après l’importation de certificat assurez-vous de l’activer et supprimer le précédent
- Maintenant, les métadonnées de XML la Fédération peuvent être téléchargées ou exportées vers firewall
- Métadonnées téléchargées importées pour firewall
- SAML profil s’affichera avec des liens, appeler un certificat SAML_AzureSign l’option Certificat de fournisseur d’identité
- Créer un profil de certificat avec des certificats Root et Intermediate
- Accédez au profil Auth pour appeler IdP Server et Certificate Profile
- Engagez toutes les modifications et essayez de vous connecter à n’importe quelle fonctionnalité qui SAML utilise le profil auth