Konfigurationsschritte zum Schutz vor der Umgehung von GlobalProtect-Tunneln

Der Zweck dieses Dokuments besteht darin, Anleitungen zur Konfiguration von Palo Alto Networks Firewalls bereitzustellen, um Angriffe auf GlobalProtect VPN-Tunnel abzuwehren, während sich Endbenutzer in nicht autorisierten Wi-Fi-Netzwerken befinden. Weitere Informationen finden Sie in Palo Alto Network Security Advisory: https://security.paloaltonetworks.com/PAN-SA-2023-0004

Konfigurationsschritte zur Risikominderung:

Bitte befolgen Sie die folgenden Schritte zur Risikominderung auf Ihrem GlobalProtect-Gateway für die LocalNet- und Server-IP-Angriffe.
 

• Diese ermöglichen es einem Angreifer, die lokalen Netzwerkzugriffsfunktionen in VPN-Clients mehrerer Anbieter zu nutzen, um auf unverschlüsselten Datenverkehr zuzugreifen.
• Solche Angriffe werden vollständig entschärft, indem die Funktion "Kein direkter Zugriff auf das lokale Netzwerk" auf der Registerkarte "Split Tunnel" auf dem GlobalProtect-Gateway aktiviert wird.
• Konfigurationspfad: Netzwerk -> GlobalProtect -> Gateways -> (Gateway-Config) -> Agent -> (Agent-Config) -> Client-Einstellungen -> (Configs) -> Split Tunnel -> Access Route

Anmerkung: Durch die Aktivierung von "Kein direkter Zugriff auf das lokale Netzwerk" wird verhindert, dass Endbenutzer eine Verbindung zu lokalen LAN-Geräten wie Heimdruckern, Netzwerkspeichern oder Streaming-Geräten herstellen.

• Sie können Ausnahmen für bestimmte Benutzer, Betriebssysteme, Quelladressen, Zieldomänen und Anwendungen konfigurieren, indem Sie die Anweisungen im folgenden Dokument befolgen:
  Konfigurieren eines geteilten Tunnels basierend auf der Zugriffsroute
• Hier ist ein Beispiel, wie Sie den Zugriff auf einen Heimdrucker (IP: 192.168.1.5) für eine bestimmte Benutzergruppe "Manager" zulassen und gleichzeitig verhindern können, dass Benutzer eine Verbindung zu anderen lokalen LAN-Geräten herstellen.

• Dieser Angriff ermöglicht es einem Angreifer, Datenverkehr abzufangen, der über DNS-Spoofing-Angriffe auf ein vom Angreifer kontrolliertes betrügerisches Wi-Fi-Netzwerk an ein gefälschtes VPN-Gateway gesendet wird.
• ServerIP-Angriffe werden vollständig entschärft, indem eine IP-Adresse anstelle eines FQDN für die Gatewaykonfiguration festgelegt wird.
• Konfigurationspfad: Netzwerk -> GlobalProtect -> Portale -> (Portal-Config) -> Agent -> (Agent-Config) -> Client-Einstellungen

• Hinweis: Wenn Sie die Gateway-Adresse von FQDN in eine IP-Adresse ändern, müssen Gateway-Zertifikate ebenfalls aktualisiert werden, um die IP-Adresse als alternativen Antragstellernamen (Subject Alternate Name, SAN) oder als allgemeinen Namen (CN) einzuschließen. Andernfalls werden beim Herstellen einer Verbindung mit dem Gateway Zertifikatsfehler angezeigt, und die Gateway-Verbindung schlägt möglicherweise fehl.
• Da SAN oder CN in einem vorhandenen Zertifikat nicht geändert werden können, müssen Sie ein neues Zertifikat erstellen, um die Gateway-IP-Adresse als Subject Alternate Name (SAN) oder CN einzuschließen. Es wird empfohlen, die Gateway-IP-Adresse in das SAN aufzunehmen, wie unten gezeigt.
• Konfigurationspfad: Gerät -> Zertifikatsverwaltung -> Zertifikate

• Ersetzen Sie das alte Gateway-Zertifikat durch das neue Gateway-Zertifikat im SSL/TLS-Zertifikatsprofil, das für GlobalProtect Gateway verwendet wird.
• Konfigurationspfad: Geräte-> Zertifikatsverwaltung -> SSL/TLS-Dienstprofil