Unbekannte SAML-Anmeldeversuche schlagen auf dem GlobalProtect-Portal statt auf dem SAML-IdP fehl

Unbekannte SAML-Anmeldeversuche schlagen auf dem GlobalProtect-Portal statt auf dem SAML-IdP fehl

9504
Created On 10/24/23 03:18 AM - Last Modified 01/07/25 05:37 AM


Symptom


  • Die GlobalProtect Dashboard Protokolle zeigen Brute-Force-Angriffe von verschiedenen bösartigen IPs, die als SAML-Authentifizierungsversuche gegenüber dem GlobalProtect-Portal/Gateway angezeigt werden.
  • Aus den Systemprotokollen geht hervor, dass der Angreifer zur Authentifizierung an den IdP umgeleitet wird und mit folgender Begründung fehlschlägt: Interner Fehler, z. B. Netzwerkverbindung, DNS Fehler oder Remote-Server ausgefallen.
  • Die Datei authd.log zeigt auch, dass der Benutzer umgeleitet wird und die Authentifizierung anschließend mit demselben Fehler fehlschlägt.
> less mp-log authd.log
.....
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1859): Authenticating user "it" with 
debug: _retrieve_svr_ids(pan_auth_service.c:645): could not find auth server id vector for -SAML-AuthProfile-vsys1
Error:  _authenticate_with_remote_server(pan_auth_state_engine.c:705): Failed to get server ids for it (prof/vsys: -SAML-AuthProfile/vsys1)
Error:  _begin_auth(pan_auth_state_engine.c:1934): sending request for user "it" to server
failed authentication for user 'it'.  Reason: Internal error, e.g. network connection, DNS failure or remote server down. auth profile '-SAML-AuthProfile', vsys 'vsys1', From: 192.168.4.1.
debug: _log_auth_respone(pan_auth_server.c:273): Sent PAN_AUTH_FAILURE auth response for user 'it' (exp_in_days=-1 (-1 never; 0 within a day))(authd_id: 7270679058537519963)
  • Vom IdP aus sehen wir in den SAML-Protokollen keine Versuche, wie wir sie normalerweise bei fehlgeschlagenen SAML-Versuchen sehen sollten.

Environment


  • Palo Alto-Firewalls
  • Unterstützte PAN-OS
  • GlobalProtect Portal/Gateway
  • GlobalProtect (GP) App
  • SAML-Authentifizierung

Cause


  • Aufgrund eines Brute-Force-Angriffs wird anstelle einer GET eine HTTP POST- anfordern/Anforderung für den Anmeldung.esp angezeigt.
  • Jetzt wird die SAML- anfordern/Anforderung von Authd vom SSLVPN/GPSVC ignoriert und der Client wird nicht zum IdP umgeleitet.

Resolution


  1. Dies ist im obigen Szenario zu erwarten.
  2. Informationen zum Minimieren von Brute-Force-Angriffen finden Sie unter So schützen Sie das GlobalProtect-Portal auf NGFW vor Brute-Force-Angriffen .

Additional Information


Erkennen eines Brute-Force-Angriffs auf die GlobalProtect-Portalseite.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Xh24CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language