阻塞蛮力攻击 GlobalProtect Portal 上的页

概述

本文档介绍了配置安全策略以阻止 GlobalProtect 门户页面上的暴力攻击的步骤。

步骤

1. 创建漏洞配置文件。转到对象 > 安全配置文件 > 漏洞保护。
2. 单击 "威胁名称" 列下的 "编辑" 图标以打开 "编辑时间" 属性对话框。
   调整从正在触发的子签名中检测到的实例数, 并调整时间窗口以触发已定义的操作。子签名 "帕洛阿尔托网络防火墙 VPN 登录身份验证尝试" ID 32256 正在寻找 "x 私有-泛 sslvpn: 授权失败" 从 http 响应头。默认值为60秒时间窗口内的10次命中。下面的截图显示了配置的漏洞配置文件的示例。创建配置文件时, 在搜索栏中搜索漏洞 ID 40017, 然后选中 "启用" 框。
   
3. 将操作设置为 "阻止 ip". 使用此选项, 可以通过 IP 源或源和目标来配置和跟踪块时间。
   
4. 创建用于应用此配置文件的安全策略。
5. 在创建安全策略时, 在目标地址下添加门户的 IP 地址, 然后选择上面步骤1中创建的漏洞配置文件。

按照以下步骤测试它是否工作正常。

1. 这是用户首次尝试进行身份验证时 GlobalProtect 门户页面的显示方式:
   
2. 使用随机用户名和密码登录门户。防火墙处理前9次的错误登录尝试。下面的截图显示了在9次失败的尝试中 GlobalProtect 门户页面:
   
3. 在第九次尝试失败后, 即使使用正确的凭据, 用户也不会进行身份验证。GlobalProtect 门户在第九次失败尝试后显示如下:
   
   蛮力身份验证尝试被标识为漏洞威胁. 这可以在威胁日志中看到。转到监视器 > 日志 > 威胁。
   
4. 如果配置了块 ip 操作, 请使用命令检查 CLI 上的阻止列表:
   调试 dataplane 显示 dos 块表
   

新会话被设置为使用跟踪器阶段防火墙 "缓解块 ip" 和最终原因 "威胁" 进行丢弃。

全局计数器在名称 "flow_dos_drop_ip_blocked" 下显示下拉计数, 并且说明 "丢弃的数据包: 标记为阻塞, 并在块持续时间内由其他模块"。

所有者： schaganti