Blockieren von Brute-Force-Angriff auf GlobalProtect Portal Seite

Blockieren von Brute-Force-Angriff auf GlobalProtect Portal Seite

125698
Created On 09/25/18 17:42 PM - Last Modified 03/13/23 16:21 PM


Resolution


Übersicht

Dieses Dokument beschreibt die Schritte zur Konfiguration einer Sicherheitspolitik, um Brute-Force-Angriffe auf der GlobalProtect-Portal Seite zu blockieren.

 

Schritte

  1. Erstellen Sie ein Verwundbarkeits Profil. Go Object > SicherheitsProfile > Verwundbarkeits Schutz.
  2. Klicken Sie auf das "Bearbeiten"-Symbol unter der Spalte "Bedrohung", um den Dialog "Zeit Attribut bearbeiten" zu öffnen
    Passen Sie die Anzahl der Instanzen an, die von der Signatur des Kindes erkannt werden, die ausgelöst wird, und passen Sie das Zeitfenster an, um die definierte Aktion auszulösen Die Kinder-Signatur "Palo Alto Networks Firewall VPN Login Authentifizierungs Versuch" mit ID 32256 ist auf der Suche nach "x-private-Pan-sslvpn: auth-failed" aus dem HTTP Response Header. Die Voreinstellung ist 10 Treffer innerhalb eines 60-Sekunden-Zeitfensters. Der Screenshot unten zeigt ein Beispiel für ein konfiguriertes Schwachstellen Profil. Wenn Sie das Profil erstellen, suchen Sie in der Suchleiste nach der Verwundbarkeits Nummer 40017 und überprüfen Sie die enable-Box.
    BildSchirm + Schuss + 2015-01-13 + at + 4.52.05 + PM. png
  3. Setzen Sie die Aktion auf Block-IP. Mit dieser Option kann eine Blockzeit von IP-Quelle oder-Quelle und-Ziel konfiguriert und verfolgt werden.
    blocktime. png
  4. Erstellen Sie eine Sicherheitspolitik, um dieses Profil anzuwenden.
  5. Bei der Erstellung einer Sicherheitsrichtlinie fügen Sie die IP-Adresse des Portals unter ZielAdresse hinzu und wählen Sie das in Schritt 1 erstellte Sicherheitsprofil aus.vul3. png

 

Folgen Sie diesen Schritten, um zu testen, ob es funktioniert.

  1. So erscheint die GlobalProtect-Portal Seite, wenn Nutzer versuchen, sich zum ersten Mal zu authentifizieren:
    vul4. png
  2. Loggen Sie sich mit zufälligen Benutzernamen und Passwörtern in das Portal ein. Die Firewall verarbeitet fehlerhafte Login-Versuche für die ersten 9 Male. Der folgende Screenshot zeigt die GlobalProtect-Portal Seite während der 9 erfolglosen Versuche:
    vul5. png
  3. Nach dem 9. erfolglosen Versuch wird der Nutzer auch mit den richtigen Referenzen nicht authentifiziert. Das GlobalProtect-Portal erscheint wie folgt nach dem 9. erfolglosen Versuch:
    vul6. png
    der Brute-Force-Authentifizierungs Versuch wird als Verletzungsgefahr identifiziert. Das zeigt sich in den Bedrohungs Protokollen. Gehen Sie zu Monitor > Logs > Bedrohung.
    Screenshot 2015-01-15 um 5.35.30 Uhr. png
  4. Wenn die Block-IP-Aktion konfiguriert wurde, überprüfen Sie die Block-Liste auf dem CLI mit Befehl:
    Debug dataplane ShowScreenshot 2015-01-15 um 5.05.53 Uhr. png DOS Block-Tabelle

 

Neue Sessions werden mit einer Tracker-Stage-Firewall "Mitigation Block IP" und dem endgrund "Bedrohung" ABGELEGT.

Screenshot 2015-01-13 um 5.05.30 Uhr. png

Globale Zähler zeigen Drop-Zählungen unter dem Namen "flow_dos_drop_ip_blocked", und Beschreibung "Pakete fallen gelassen: markiert für die Sperrung und Unterblock Dauer von anderen Modulen".

Screenshot 2015-01-13 um 5.06.01 Uhr. png

 

Besitzer: Schaganti
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClJ2CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language