Bloqueo de ataque de fuerza bruta en Portal de la GlobalProtect página

Bloqueo de ataque de fuerza bruta en Portal de la GlobalProtect página

125724
Created On 09/25/18 17:42 PM - Last Modified 03/13/23 16:21 PM


Resolution


Resumen

Este documento describe los pasos para configurar una directiva de seguridad para bloquear los ataques de fuerza bruta en la página del portal GlobalProtect.

 

Pasos

  1. Crear un perfil de vulnerabilidad. Go Object > perfiles de seguridad > protección de vulnerabilidades.
  2. Haga clic en el icono "Editar" bajo la columna Nombre de amenaza para abrir el cuadro de diálogo Editar atributo de tiempo.
    Ajuste el número de instancias detectadas de la firma secundaria que se está desencadenando y ajuste la ventana de tiempo para desencadenar la acción definida. La firma secundaria "intento de autenticación de login VPN de Palo Alto Networks firewall" con ID 32256 busca "x-Private-pan-sslvpn: auth-failed" desde el encabezado de respuesta http. El valor predeterminado es de 10 Hits dentro de una ventana de tiempo de 60 segundos. La captura de pantalla siguiente muestra un ejemplo de un perfil de vulnerabilidad configurado. Al crear el perfil, busque el identificador de vulnerabilidad 40017 en la barra de búsqueda y marque el cuadro habilitar.
    Pantalla + Shot + 2015-01-13 + en + 4.52.05 + PM. png
  3. Establezca la acción en Block-IP. Con esta opción un tiempo de bloqueo puede ser configurado y rastreado por fuente IP o fuente y destino.
    tiempo de bloqueo. png
  4. Cree una directiva de seguridad para aplicar este perfil.
  5. Mientras crea una política de seguridad, añada la dirección IP del portal en la dirección de destino y seleccione el perfil de vulnerabilidad creado en el paso 1 anterior.vul3. png

 

Siga estos pasos para probar si está funcionando.

  1. Así es como aparece la página del portal GlobalProtect cuando los usuarios intentan autenticarse por primera vez:
    vul4. png
  2. Inicie sesión en el portal utilizando nombres de usuario y contraseñas aleatorios. El cortafuegos procesa intentos de inicio de sesión incorrectos para las primeras 9 veces. La siguiente captura de pantalla muestra la página del portal GlobalProtect durante los 9 intentos fallidos:
    vul5. png
  3. Después del noveno intento fallido, el usuario no se autenticará ni siquiera con las credenciales correctas. El portal GlobalProtect aparece como sigue después del noveno intento fallido:
    vul6. png
    la tentativa de autenticación de fuerza bruta se identifica como la amenaza de vulnerabilidad. Esto se puede ver en los registros de amenazas. Ir al monitor > logs > amenaza.
    Screen Shot 2015-01-15 en 5.35.30 PM. png
  4. Si se configuró la acción de IP de bloque, marque la lista de bloques en la CLI con el comando: depurar plan de datos
    Mostrar dos bloques de tablaScreen Shot 2015-01-15 en 5.05.53 PM. png

 

Las nuevas sesiones se establecen para descartar con un cortafuegos de Tracker Stage "IP de bloque de mitigación" y "amenaza de fin de la razón".

Screen Shot 2015-01-13 en 5.05.30 PM. png

Los contadores globales muestran los conteos de gotas bajo el nombre "flow_dos_drop_ip_blocked", y la descripción "paquetes caídos: marcado para bloquear y bajo duración de bloque por otros módulos".

Screen Shot 2015-01-13 en 5.06.01 PM. png

 

Propietario: schaganti
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClJ2CAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language