Preguntas sobre la gestión de claves API: advertencias, configuración, seguridad y uso

Preguntas sobre la gestión de claves API: advertencias, configuración, seguridad y uso

15956
Created On 12/10/24 10:34 AM - Last Modified 01/25/25 03:55 AM


Question


  1. Is the warning "The latest API KeyGen was executed on Mon Jan 01 00:00:00 2024 with the deprecated algorithm" a bug and can we safely ignore it?
  2. Si necesitamos configurar certificados de clave API, ¿deberíamos hacerlo en Panorama para los firewalls Strata locales o en cada firewall Strata?
  3. ¿Existe algún problema de seguridad relacionado con las claves API con el algoritmo obsoleto?
  4. ¿Panorama utiliza claves API para comunicarse con firewalls?
  5. ¿Cómo comprobar si actualmente estamos utilizando una API?

Environment


  • Firewall de última generación de la serie PA
  • PAN-OS 11.1

Answer


  1. Esta es una nueva función introducida en PAN-OS 11.1.0. La clave API heredada será compatible en 11.1, si el certificado de clave API no está configurado. Quedará obsoleta en 12.0/12.1 y estará completamente deshabilitada en 13.0.
    Puede ignorar esta advertencia por ahora, pero se recomienda configurar la infraestructura de clave API más segura lo antes posible para evitar posibles problemas en versiones futuras.

  2. Debe configurar el certificado de clave API para todos los dispositivos. Para los dispositivos administrados por Panorama, puede hacerlo mediante la plantilla de dispositivo.

    La advertencia persistirá en los firewalls incluso después de generar el certificado de clave API solo para Panorama:

    ¿Panorama?s compilar:

    Los firewalls compilar:

  3. La clave API existente contiene el nombre de usuario y la contraseña cifrados con la clave maestra del dispositivo .
    Este es el riesgo potencial de que la clave sea mal utilizada y se filtren las credenciales del usuario .

  4. De valor predeterminado, Panorama no utiliza claves API para comunicarse con los firewalls. Utiliza principalmente la conexión de administración. Sin embargo, Panorama puede utilizar claves API si se realiza una consulta API desde Panorama a un cortafuegos específico.

  5. Below are some of the ways to check:
    • Verifique la configuración de las cuentas de administrador. Los roles dinámicos, como superusuario y administrador de dispositivos/panorama, tienen permisos de acceso a la API. Si está utilizando el tipo de administrador basado en roles, puede inspeccionar los roles de administrador para ver si tienen permisos de acceso a la API. Si no tiene ninguna cuenta de administrador con permisos de API, no está utilizando la API.
    • Check the API metrics logs by executing the below commands on Panorama and Firewalls, if it returns an empty reply, it indicates that API is not used:
      less webserver-log restapi_metrics.log
      less webserver-log api_metrics.log
    • Execute the below commands to check for API keys usage:
      On Panorama, run the command "show api key expiration". If it returns an empty reply, this means no API keys are actively in use.
      On Firewalls, run the command "show api-key-expiration-ts". Similarly, if it returns an empty reply, it indicates that no API keys are actively in use.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TpOZCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language