Étapes de configuration pour atténuer le contournement des tunnels GlobalProtect

Le but de ce document est de fournir des conseils sur la façon de configurer les pare-feu Palo Alto Networks pour atténuer les attaques sur les tunnels VPN GlobalProtect lorsque les utilisateurs finaux sont sur des réseaux Wi-Fi non autorisés. Consultez l’avis de sécurité réseau de Palo Alto : https://security.paloaltonetworks.com/PAN-SA-2023-0004

étapes de configuration pour l’atténuation :

Veuillez utiliser les étapes d’atténuation ci-dessous sur votre passerelle GlobalProtect pour les attaques IP LocalNet & Server.
 

• Ceux-ci permettent à un attaquant de tirer parti des fonctionnalités d’accès au réseau local dans plusieurs clients VPN fournisseurs pour accéder au trafic non chiffré.
• Ces attaques sont complètement atténuées en activant la fonctionnalité « Pas d’accès direct au réseau local » dans l’onglet Split Tunnel de la passerelle GlobalProtect.
• Chemin de configuration : Réseau -> GlobalProtect -> passerelles -> (gateway-config) -> agent -> (agent-config) -> paramètres du client -> (configs) -> split tunnel -> access route

Note: L’activation de « Pas d’accès direct au réseau local » empêche les utilisateurs finaux de se connecter à des périphériques LAN locaux tels que des imprimantes domestiques, un stockage réseau ou des périphériques de streaming.

• Vous pouvez configurer des exceptions pour des utilisateurs, des systèmes d’exploitation, des adresses source, des domaines de destination et des applications spécifiques en suivant les instructions fournies dans le document ci-dessous :
  Configurer un tunnel fractionné en fonction de la route d’accès
• Voici un exemple de la façon dont vous pouvez autoriser l’accès à une imprimante domestique (IP: 192.168.1.5) pour un groupe d’utilisateurs spécifique « Gestionnaires » tout en empêchant les utilisateurs de se connecter à d’autres périphériques LAN locaux.

• Cette attaque permet à un attaquant d’intercepter le trafic envoyé à une passerelle VPN usurpée via des attaques d’usurpation DNS sur un réseau Wi-Fi non autorisé contrôlé par un attaquant.
• Les attaques ServerIP sont complètement atténuées en définissant une adresse IP au lieu d’un nom de domaine complet pour la configuration de la passerelle.
• Chemin de configuration : Réseau -> GlobalProtect -> Portails -> (Portal-config) -> Agent -> (Agent-config) -> Paramètres client

• Remarque : Lorsque vous remplacez l’adresse de passerelle du nom de domaine complet par une adresse IP, les certificats de passerelle doivent également être mis à jour pour inclure l’adresse IP en tant que SAN (Subject Alternate Name) ou en tant que nom commun (CN). Sinon, vous verrez des erreurs de certificat lors de la connexion à la passerelle et la connexion à la passerelle peut échouer.
• Étant donné que SAN ou CN dans un certificat existant ne peut pas être modifié, vous devrez créer un nouveau certificat pour inclure l’adresse IP de la passerelle en tant que SAN (Subject Alternate Name) ou CN. Nous vous recommandons d’inclure l’adresse IP de la passerelle dans le SAN, comme indiqué ci-dessous.
• Chemin de configuration : Gestion des certificats > de périphérique -> certificats

• Remplacez l’ancien certificat de passerelle par le nouveau certificat de passerelle dans le profil de certificat SSL/TLS utilisé pour GlobalProtect Gateway.
• Chemin de configuration : Gestion des certificats > périphérique -> profil de service SSL/TLS