Pasos de configuración para mitigar la omisión de túneles de GlobalProtect
15068
Created On 08/19/23 01:07 AM - Last Modified 09/08/23 05:18 AM
Environment
Acceso GlobalProtect
PAN-OS
Prisma
Procedure
El propósito de este documento es proporcionar orientación sobre cómo configurar los firewalls de Palo Alto Networks para mitigar los ataques a los túneles VPN de GlobalProtect mientras los usuarios finales están en redes Wi-Fi no autorizadas. Consulte Aviso de seguridad de red de Palo Alto
: https://security.paloaltonetworks.com/PAN-SA-2023-0004 pasos de configuración para mitigación:
Utilice los siguientes pasos de mitigación en su puerta de enlace GlobalProtect para los ataques de IP de LocalNet y servidor.
- Estos permiten a un atacante aprovechar las características de acceso a la red local en clientes VPN de varios proveedores para acceder al tráfico no cifrado.
- Dichos ataques se mitigan completamente habilitando la función "Sin acceso directo a la red local" en la pestaña Túnel dividido en la puerta de enlace de GlobalProtect.
- Ruta de configuración: Network -> GlobalProtect -> Gateways -> (Gateway-config) -> Agent -> (Agent-config) -> Client Settings -> (Configs) -> Split Tunnel -> Access Route
Nota: Al habilitar "Sin acceso directo a la red local" se evita que los usuarios finales se conecten a dispositivos LAN locales, como impresoras domésticas, almacenamiento en red o dispositivos de streaming.
- Puede configurar excepciones para usuarios, sistemas operativos, direcciones de origen, dominios de destino y aplicaciones específicos siguiendo las instrucciones proporcionadas en el siguiente documento:
Configurar un túnel dividido basado en la ruta de acceso - Aquí hay un ejemplo de cómo puede permitir el acceso a una impresora doméstica (IP: 192.168.1.5) para un grupo de usuarios específico "Administradores" al tiempo que evita que los usuarios se conecten a otros dispositivos LAN locales.
2. Mitigación del ataque ServerIP:
- Este ataque permite a un atacante interceptar el tráfico enviado a una puerta de enlace VPN falsificada a través de ataques de suplantación de DNS en una red Wi-Fi no autorizada controlada por el atacante.
- Los ataques ServerIP se mitigan completamente estableciendo una dirección IP en lugar de un FQDN para la configuración de la puerta de enlace.
- Ruta de configuración: Network -> GlobalProtect -> Portals -> (Portal-config) -> Agent -> (Agent-config) -> Client Settings
- Nota: Al cambiar la dirección de puerta de enlace de FQDN a una dirección IP, los certificados de puerta de enlace también deberán actualizarse para incluir la dirección IP como nombre alternativo del sujeto (SAN) o como nombre común (CN). De lo contrario, verá errores de certificado al conectarse a la puerta de enlace y la conexión de la puerta de enlace puede fallar.
- Dado que SAN o CN en un certificado existente no se puede modificar, deberá crear un nuevo certificado para incluir la dirección IP de la puerta de enlace como nombre alternativo del sujeto (SAN) o CN. Recomendamos incluir la dirección IP del gateway en SAN como se muestra a continuación.
- Ruta de configuración: Device -> Certificate Management -> Certificates
- Reemplace el antiguo certificado de puerta de enlace por el nuevo certificado de puerta de enlace en el perfil de certificado SSL/TLS utilizado para GlobalProtect Gateway.
- Ruta de configuración: Administración de certificados > dispositivo -> Perfil de servicio SSL/TLS