Los intentos de inicio de sesión SAML desconocidos fallan en el portal GlobalProtect en lugar del IdP SAML

Los intentos de inicio de sesión SAML desconocidos fallan en el portal GlobalProtect en lugar del IdP SAML

9496
Created On 10/24/23 03:18 AM - Last Modified 01/07/25 05:38 AM


Symptom


  • Los registros del Panel de GlobalProtect muestran ataques de fuerza bruta desde diferentes IP maliciosas, que se muestran como intentos de autenticación SAML hacia el portal/puerta de enlace de GlobalProtect.
  • Los registros del sistema muestran que el atacante es redirigido al IdP para su autenticación y falla con el motivo: error interno, por ejemplo, conexión de red, falla de DNS o servidor remoto inactivo.
  • El archivo authd.log también muestra que el usuario es redirigido y luego falla la autenticación con el mismo error.
> less mp-log authd.log
.....
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1859): Authenticating user "it" with 
debug: _retrieve_svr_ids(pan_auth_service.c:645): could not find auth server id vector for -SAML-AuthProfile-vsys1
Error:  _authenticate_with_remote_server(pan_auth_state_engine.c:705): Failed to get server ids for it (prof/vsys: -SAML-AuthProfile/vsys1)
Error:  _begin_auth(pan_auth_state_engine.c:1934): sending request for user "it" to server
failed authentication for user 'it'.  Reason: Internal error, e.g. network connection, DNS failure or remote server down. auth profile '-SAML-AuthProfile', vsys 'vsys1', From: 192.168.4.1.
debug: _log_auth_respone(pan_auth_server.c:273): Sent PAN_AUTH_FAILURE auth response for user 'it' (exp_in_days=-1 (-1 never; 0 within a day))(authd_id: 7270679058537519963)
  • Desde el IdP, no vemos ningún intento en los registros SAML como normalmente deberíamos ver en los intentos fallidos de SAML.

Environment


  • Cortafuegos de Palo Alto
  • Sistema operativo PAN compatible
  • Portal/Puerta de enlace de GlobalProtect
  • Aplicación GlobalProtect (GP)
  • Autenticación SAML

Cause


  • Debido a un ataque de fuerza bruta, se ve una solicitud HTTP POST para el inicio de sesión.esp en lugar de GET.
  • Ahora la solicitud de autenticación SAML de authd es ignorada por sslvpn/gpsvc y no redirecciona al cliente a IdP.

Resolution


  1. Esto es lo esperado en el escenario descrito anteriormente.
  2. Para minimizar los ataques de fuerza bruta, consulte Cómo proteger el portal GlobalProtect en NGFW de ataques de fuerza bruta .

Additional Information


Detección de ataques de fuerza bruta en la página del portal GlobalProtect.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Xh24CAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language