Blocage d’attaque en Force Brute sur GlobalProtect portail Page

Blocage d’attaque en Force Brute sur GlobalProtect portail Page

125730
Created On 09/25/18 17:42 PM - Last Modified 03/13/23 16:21 PM


Resolution


Vue d’ensemble

Ce document décrit les étapes à suivre pour configurer une stratégie de sécurité pour bloquer les attaques de force brute sur la page du portail GlobalProtect.

 

Étapes

  1. Créer un profil de vulnérabilité. Go Object > profils de sécurité > protection de la vulnérabilité.
  2. Cliquez sur l'Icône "Editer" sous la colonne nom de la menace pour ouvrir la boîte de dialogue Modifier l'attribut temporel.
    Ajustez le nombre d'instances détectées à partir de la signature enfant qui est déclenchée et ajustez la fenêtre de temps pour déclencher l'action définie. La signature de l'Enfant "Palo Alto Networks Firewall connexion VPN tentative d'Authentification" avec l'ID 32256 est à la recherche de "x-Private-Pan-sslvpn: auth-Failed" à partir de L'en-tête de réponse http. La valeur par défaut est 10 hits dans une fenêtre de temps de 60 secondes. La capture d'écran ci-dessous montre un exemple de profil de vulnérabilité configuré. Lors de la création du profil, recherchez l'ID de vulnérabilité 40017 dans la barre de recherche et cochez la case Activer.
    Ecran + Shot + 2015-01-13 + at + 4.52.05 + PM. png
  3. Définissez l'action sur Block-IP. Avec cette option, un temps de bloc peut être configuré et suivi par source IP ou source et destination.
    Block Time. png
  4. Créez une stratégie de sécurité pour appliquer ce profil.
  5. Lors de la création d'une stratégie de sécurité, ajoutez l'adresse IP du portail sous adresse de destination et sélectionnez le profil de vulnérabilité créé à l'étape 1 ci-dessus.vul3. png

 

Procédez comme suit pour tester si elle fonctionne.

  1. C'est ainsi que la page du portail GlobalProtect s'affiche lorsque les utilisateurs essaient de s'authentifier pour la première fois:
    vul4. png
  2. Connectez-vous au portail en utilisant des noms d'utilisateur et des mots de passe aléatoires. Le pare-feu traite les tentatives de connexion incorrectes pour les 9 premières fois. La capture d'écran suivante montre la page du portail GlobalProtect pendant les 9 tentatives infructueuses:
    vul5. png
  3. Après la 9e tentative infructueuse, l'utilisateur ne sera pas authentifié, même avec les informations d'identification correctes. Le portail GlobalProtect apparaît comme suit après la 9e tentative infructueuse:
    vul6. png
    la tentative d'Authentification par force brute est identifiée comme la menace de vulnérabilité. Cela peut être vu dans les journaux des menaces. Allez dans le moniteur > logs > menace.
    Screen Shot 2015-01-15 à 5.35.30 PM. png
  4. Si l'action Block-IP a été configurée, vérifiez la liste des blocs sur l'interface CLI avec la commande:
    Debug dataplaneScreen Shot 2015-01-15 à 5.05.53 PM. png Show dos bloc-table

 

Les nouvelles sessions sont définies pour être rejetées avec un pare-feu de stade Tracker «atténuation du bloc IP» et «menace» de fin de la raison.

Screen Shot 2015-01-13 à 5.05.30 PM. png

Les compteurs globaux affichent des comptes de dépôt sous le nom «flow_dos_drop_ip_blocked» et la description «paquets supprimés: marqués pour le blocage et sous la durée du bloc par d'autres modules».

Screen Shot 2015-01-13 à 5.06.01 PM. png

 

propriétaire : schaganti
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClJ2CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language