Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Konfigurationsschritte zum Schutz vor der Umgehung von GlobalPr... - Knowledge Base - Palo Alto Networks

Konfigurationsschritte zum Schutz vor der Umgehung von GlobalProtect-Tunneln

15068
Created On 08/19/23 01:07 AM - Last Modified 09/08/23 05:18 AM


Environment


GlobalProtect
PAN-OS
Prisma-Zugriff


Procedure


Der Zweck dieses Dokuments besteht darin, Anleitungen zur Konfiguration von Palo Alto Networks Firewalls bereitzustellen, um Angriffe auf GlobalProtect VPN-Tunnel abzuwehren, während sich Endbenutzer in nicht autorisierten Wi-Fi-Netzwerken befinden. Weitere Informationen finden Sie in Palo Alto Network Security Advisory: https://security.paloaltonetworks.com/PAN-SA-2023-0004

Konfigurationsschritte zur Risikominderung:

Bitte befolgen Sie die folgenden Schritte zur Risikominderung auf Ihrem GlobalProtect-Gateway für die LocalNet- und Server-IP-Angriffe.
 

1. Abwehr von LocalNet-Angriffen:
  • Diese ermöglichen es einem Angreifer, die lokalen Netzwerkzugriffsfunktionen in VPN-Clients mehrerer Anbieter zu nutzen, um auf unverschlüsselten Datenverkehr zuzugreifen.
  • Solche Angriffe werden vollständig entschärft, indem die Funktion "Kein direkter Zugriff auf das lokale Netzwerk" auf der Registerkarte "Split Tunnel" auf dem GlobalProtect-Gateway aktiviert wird.
  • Konfigurationspfad: Netzwerk -> GlobalProtect -> Gateways -> (Gateway-Config) -> Agent -> (Agent-Config) -> Client-Einstellungen -> (Configs) -> Split Tunnel -> Access Route

Anmerkung: Durch die Aktivierung von "Kein direkter Zugriff auf das lokale Netzwerk" wird verhindert, dass Endbenutzer eine Verbindung zu lokalen LAN-Geräten wie Heimdruckern, Netzwerkspeichern oder Streaming-Geräten herstellen.

  • Sie können Ausnahmen für bestimmte Benutzer, Betriebssysteme, Quelladressen, Zieldomänen und Anwendungen konfigurieren, indem Sie die Anweisungen im folgenden Dokument befolgen:
    Konfigurieren eines geteilten Tunnels basierend auf der Zugriffsroute
  • Hier ist ein Beispiel, wie Sie den Zugriff auf einen Heimdrucker (IP: 192.168.1.5) für eine bestimmte Benutzergruppe "Manager" zulassen und gleichzeitig verhindern können, dass Benutzer eine Verbindung zu anderen lokalen LAN-Geräten herstellen.



2. Abwehr des ServerIP-Angriffs:
  • Dieser Angriff ermöglicht es einem Angreifer, Datenverkehr abzufangen, der über DNS-Spoofing-Angriffe auf ein vom Angreifer kontrolliertes betrügerisches Wi-Fi-Netzwerk an ein gefälschtes VPN-Gateway gesendet wird.
  • ServerIP-Angriffe werden vollständig entschärft, indem eine IP-Adresse anstelle eines FQDN für die Gatewaykonfiguration festgelegt wird.
  • Konfigurationspfad: Netzwerk -> GlobalProtect -> Portale -> (Portal-Config) -> Agent -> (Agent-Config) -> Client-Einstellungen
 
  • Hinweis: Wenn Sie die Gateway-Adresse von FQDN in eine IP-Adresse ändern, müssen Gateway-Zertifikate ebenfalls aktualisiert werden, um die IP-Adresse als alternativen Antragstellernamen (Subject Alternate Name, SAN) oder als allgemeinen Namen (CN) einzuschließen. Andernfalls werden beim Herstellen einer Verbindung mit dem Gateway Zertifikatsfehler angezeigt, und die Gateway-Verbindung schlägt möglicherweise fehl.
  • Da SAN oder CN in einem vorhandenen Zertifikat nicht geändert werden können, müssen Sie ein neues Zertifikat erstellen, um die Gateway-IP-Adresse als Subject Alternate Name (SAN) oder CN einzuschließen. Es wird empfohlen, die Gateway-IP-Adresse in das SAN aufzunehmen, wie unten gezeigt.
  • Konfigurationspfad: Gerät -> Zertifikatsverwaltung -> Zertifikate
 
  • Ersetzen Sie das alte Gateway-Zertifikat durch das neue Gateway-Zertifikat im SSL/TLS-Zertifikatsprofil, das für GlobalProtect Gateway verwendet wird.
  • Konfigurationspfad: Geräte-> Zertifikatsverwaltung -> SSL/TLS-Dienstprofil


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XgAlCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language