Pasos de configuración para mitigar la omisión de túneles de GlobalProtect

El propósito de este documento es proporcionar orientación sobre cómo configurar los firewalls de Palo Alto Networks para mitigar los ataques a los túneles VPN de GlobalProtect mientras los usuarios finales están en redes Wi-Fi no autorizadas. Consulte Aviso de seguridad de red de Palo Alto

: https://security.paloaltonetworks.com/PAN-SA-2023-0004 pasos de configuración para mitigación:

Utilice los siguientes pasos de mitigación en su puerta de enlace GlobalProtect para los ataques de IP de LocalNet y servidor.
 

• Estos permiten a un atacante aprovechar las características de acceso a la red local en clientes VPN de varios proveedores para acceder al tráfico no cifrado.
• Dichos ataques se mitigan completamente habilitando la función "Sin acceso directo a la red local" en la pestaña Túnel dividido en la puerta de enlace de GlobalProtect.
• Ruta de configuración: Network -> GlobalProtect -> Gateways -> (Gateway-config) -> Agent -> (Agent-config) -> Client Settings -> (Configs) -> Split Tunnel -> Access Route

Nota: Al habilitar "Sin acceso directo a la red local" se evita que los usuarios finales se conecten a dispositivos LAN locales, como impresoras domésticas, almacenamiento en red o dispositivos de streaming.

• Puede configurar excepciones para usuarios, sistemas operativos, direcciones de origen, dominios de destino y aplicaciones específicos siguiendo las instrucciones proporcionadas en el siguiente documento:
  Configurar un túnel dividido basado en la ruta de acceso
• Aquí hay un ejemplo de cómo puede permitir el acceso a una impresora doméstica (IP: 192.168.1.5) para un grupo de usuarios específico "Administradores" al tiempo que evita que los usuarios se conecten a otros dispositivos LAN locales.

• Este ataque permite a un atacante interceptar el tráfico enviado a una puerta de enlace VPN falsificada a través de ataques de suplantación de DNS en una red Wi-Fi no autorizada controlada por el atacante.
• Los ataques ServerIP se mitigan completamente estableciendo una dirección IP en lugar de un FQDN para la configuración de la puerta de enlace.
• Ruta de configuración: Network -> GlobalProtect -> Portals -> (Portal-config) -> Agent -> (Agent-config) -> Client Settings

• Nota: Al cambiar la dirección de puerta de enlace de FQDN a una dirección IP, los certificados de puerta de enlace también deberán actualizarse para incluir la dirección IP como nombre alternativo del sujeto (SAN) o como nombre común (CN). De lo contrario, verá errores de certificado al conectarse a la puerta de enlace y la conexión de la puerta de enlace puede fallar.
• Dado que SAN o CN en un certificado existente no se puede modificar, deberá crear un nuevo certificado para incluir la dirección IP de la puerta de enlace como nombre alternativo del sujeto (SAN) o CN. Recomendamos incluir la dirección IP del gateway en SAN como se muestra a continuación.
• Ruta de configuración: Device -> Certificate Management -> Certificates

• Reemplace el antiguo certificado de puerta de enlace por el nuevo certificado de puerta de enlace en el perfil de certificado SSL/TLS utilizado para GlobalProtect Gateway.
• Ruta de configuración: Administración de certificados > dispositivo -> Perfil de servicio SSL/TLS