Les tentatives de connexion SAML inconnues échouent sur le portail GlobalProtect au lieu de l'IdP SAML

Les tentatives de connexion SAML inconnues échouent sur le portail GlobalProtect au lieu de l'IdP SAML

9496
Created On 10/24/23 03:18 AM - Last Modified 01/07/25 05:36 AM


Symptom


  • Les journaux du tableau de bord GlobalProtect montrent des attaques par force brute provenant de différentes adresses IP malveillantes, s'affichant sous forme de tentatives d'authentification SAML vers le portail/la passerelle GlobalProtect.
  • Les journaux système montrent que l'attaquant est redirigé vers l'IdP pour l'authentification et échoue avec la raison : erreur interne, par exemple connexion réseau, échec DNS ou serveur distant en panne.
  • Le fichier authd.log montre également que l' utilisateur est redirigé et échoue ensuite à l'authentification avec la même erreur.
> less mp-log authd.log
.....
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1859): Authenticating user "it" with 
debug: _retrieve_svr_ids(pan_auth_service.c:645): could not find auth server id vector for -SAML-AuthProfile-vsys1
Error:  _authenticate_with_remote_server(pan_auth_state_engine.c:705): Failed to get server ids for it (prof/vsys: -SAML-AuthProfile/vsys1)
Error:  _begin_auth(pan_auth_state_engine.c:1934): sending request for user "it" to server
failed authentication for user 'it'.  Reason: Internal error, e.g. network connection, DNS failure or remote server down. auth profile '-SAML-AuthProfile', vsys 'vsys1', From: 192.168.4.1.
debug: _log_auth_respone(pan_auth_server.c:273): Sent PAN_AUTH_FAILURE auth response for user 'it' (exp_in_days=-1 (-1 never; 0 within a day))(authd_id: 7270679058537519963)
  • Depuis l'IdP, nous ne voyons aucune tentative dans les journaux SAML comme nous devrions normalement le voir pour les tentatives SAML qui échouent.

Environment


  • Pare-feu Palo Alto
  • Système d'exploitation PAN pris en charge
  • Portail/passerelle GlobalProtect
  • Application GlobalProtect (GP)
  • Authentification SAML

Cause


  • En raison d'une attaque par force brute, une requête HTTP POST pour la connexion.esp est vue à la place de GET.
  • Désormais, la requête d'authentification SAML d' authd est ignorée par sslvpn/gpsvc et ne redirige pas le client vers l'IdP.

Resolution


  1. Ceci est attendu dans le scénario ci-dessus.
  2. Pour minimiser les attaques par force brute, reportez-vous à Comment protéger le portail GlobalProtect sur NGFW contre les attaques par force brute .

Additional Information


Détection d'une attaque par force brute sur la page du portail GlobalProtect.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Xh24CAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language