SAML IdP ではなく GlobalProtect ポータルで不明な SAML ログイン試行が失敗する
8154
Created On 10/24/23 03:18 AM - Last Modified 01/07/25 05:40 AM
Symptom
- GlobalProtectダッシュボードログには、さまざまな悪意のある IP からのブルート フォース攻撃が示され、GlobalProtect ポータル/ゲートウェイへの SAML 認証試行として表示されます。
- システム ログには、攻撃者が認証のために IdP にリダイレクトされ、理由: 内部エラー (ネットワーク接続、 DNS障害、リモート サーバーのダウンなど) で失敗したことが示されています。
- authd.log ファイルには、ユーザーがリダイレクトされ、その後同じエラーで認証に失敗したことも表示されます。
> less mp-log authd.log
.....
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1859): Authenticating user "it" with
debug: _retrieve_svr_ids(pan_auth_service.c:645): could not find auth server id vector for -SAML-AuthProfile-vsys1
Error: _authenticate_with_remote_server(pan_auth_state_engine.c:705): Failed to get server ids for it (prof/vsys: -SAML-AuthProfile/vsys1)
Error: _begin_auth(pan_auth_state_engine.c:1934): sending request for user "it" to server
failed authentication for user 'it'. Reason: Internal error, e.g. network connection, DNS failure or remote server down. auth profile '-SAML-AuthProfile', vsys 'vsys1', From: 192.168.4.1.
debug: _log_auth_respone(pan_auth_server.c:273): Sent PAN_AUTH_FAILURE auth response for user 'it' (exp_in_days=-1 (-1 never; 0 within a day))(authd_id: 7270679058537519963)
- IdP からは、SAML の失敗した試行について通常表示されるはずの SAML ログに試行が一切表示されません。
Environment
- パロアルトファイアウォール
- サポートされているPAN-OS
- GlobalProtect ポータル/ゲートウェイ
- GlobalProtect (GP) アプリ
- SAML認証
Cause
- ブルートフォース攻撃により、ログイン.esp に対するHTTP POST要求がGET ではなく表示されます。
- 現在、 authdからの SAML 認証要求はsslvpn/gpsvcによって無視され、クライアントは IdP にリダイレクトされません。
Resolution
- これは上記のシナリオで予想されたことです。
- ブルート フォース攻撃を最小限に抑えるには、 「NGFW 上の GlobalProtect ポータルをブルート フォース攻撃から保護する方法」を参照してください。