Konfigurationsschritte zum Schutz vor der Umgehung von GlobalProtect-Tunneln
Environment
GlobalProtect
PAN-OS
Prisma-Zugriff
Procedure
Der Zweck dieses Dokuments besteht darin, Anleitungen zur Konfiguration von Palo Alto Networks Firewalls bereitzustellen, um Angriffe auf GlobalProtect VPN-Tunnel abzuwehren, während sich Endbenutzer in nicht autorisierten Wi-Fi-Netzwerken befinden. Weitere Informationen finden Sie in Palo Alto Network Security Advisory: https://security.paloaltonetworks.com/PAN-SA-2023-0004
Konfigurationsschritte zur Risikominderung:
Bitte befolgen Sie die folgenden Schritte zur Risikominderung auf Ihrem GlobalProtect-Gateway für die LocalNet- und Server-IP-Angriffe.
- Diese ermöglichen es einem Angreifer, die lokalen Netzwerkzugriffsfunktionen in VPN-Clients mehrerer Anbieter zu nutzen, um auf unverschlüsselten Datenverkehr zuzugreifen.
- Solche Angriffe werden vollständig entschärft, indem die Funktion "Kein direkter Zugriff auf das lokale Netzwerk" auf der Registerkarte "Split Tunnel" auf dem GlobalProtect-Gateway aktiviert wird.
- Konfigurationspfad: Netzwerk -> GlobalProtect -> Gateways -> (Gateway-Config) -> Agent -> (Agent-Config) -> Client-Einstellungen -> (Configs) -> Split Tunnel -> Access Route
Anmerkung: Durch die Aktivierung von "Kein direkter Zugriff auf das lokale Netzwerk" wird verhindert, dass Endbenutzer eine Verbindung zu lokalen LAN-Geräten wie Heimdruckern, Netzwerkspeichern oder Streaming-Geräten herstellen.
- Sie können Ausnahmen für bestimmte Benutzer, Betriebssysteme, Quelladressen, Zieldomänen und Anwendungen konfigurieren, indem Sie die Anweisungen im folgenden Dokument befolgen:
Konfigurieren eines geteilten Tunnels basierend auf der Zugriffsroute - Hier ist ein Beispiel, wie Sie den Zugriff auf einen Heimdrucker (IP: 192.168.1.5) für eine bestimmte Benutzergruppe "Manager" zulassen und gleichzeitig verhindern können, dass Benutzer eine Verbindung zu anderen lokalen LAN-Geräten herstellen.
2. Abwehr des ServerIP-Angriffs:
- Dieser Angriff ermöglicht es einem Angreifer, Datenverkehr abzufangen, der über DNS-Spoofing-Angriffe auf ein vom Angreifer kontrolliertes betrügerisches Wi-Fi-Netzwerk an ein gefälschtes VPN-Gateway gesendet wird.
- ServerIP-Angriffe werden vollständig entschärft, indem eine IP-Adresse anstelle eines FQDN für die Gatewaykonfiguration festgelegt wird.
- Konfigurationspfad: Netzwerk -> GlobalProtect -> Portale -> (Portal-Config) -> Agent -> (Agent-Config) -> Client-Einstellungen
- Hinweis: Wenn Sie die Gateway-Adresse von FQDN in eine IP-Adresse ändern, müssen Gateway-Zertifikate ebenfalls aktualisiert werden, um die IP-Adresse als alternativen Antragstellernamen (Subject Alternate Name, SAN) oder als allgemeinen Namen (CN) einzuschließen. Andernfalls werden beim Herstellen einer Verbindung mit dem Gateway Zertifikatsfehler angezeigt, und die Gateway-Verbindung schlägt möglicherweise fehl.
- Da SAN oder CN in einem vorhandenen Zertifikat nicht geändert werden können, müssen Sie ein neues Zertifikat erstellen, um die Gateway-IP-Adresse als Subject Alternate Name (SAN) oder CN einzuschließen. Es wird empfohlen, die Gateway-IP-Adresse in das SAN aufzunehmen, wie unten gezeigt.
- Konfigurationspfad: Gerät -> Zertifikatsverwaltung -> Zertifikate
- Ersetzen Sie das alte Gateway-Zertifikat durch das neue Gateway-Zertifikat im SSL/TLS-Zertifikatsprofil, das für GlobalProtect Gateway verwendet wird.
- Konfigurationspfad: Geräte-> Zertifikatsverwaltung -> SSL/TLS-Dienstprofil