SAML IdP 대신 GlobalProtect Portal에서 알 수 없는 SAML 로그인 시도가 실패합니다.

• GlobalProtect 대시보드 로그는 다양한 악성 IP에서 발생한 무차별 대입 공격을 보여주며, GlobalProtect Portal/Gateway에 대한 SAML 인증 시도로 표시됩니다.
• 시스템 로그에 따르면 공격자는 인증을 위해 IdP로 리디렉션되지만 다음과 같은 이유로 실패합니다. 내부 오류(예: 네트워크 연결, DNS 오류 또는 원격 서버 다운)
• authd.log 파일은 사용자 가 리디렉션된 후 동일한 오류로 인해 인증에 실패한 것을 보여줍니다.

> less mp-log authd.log
.....
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1859): Authenticating user "it" with 
debug: _retrieve_svr_ids(pan_auth_service.c:645): could not find auth server id vector for -SAML-AuthProfile-vsys1
Error:  _authenticate_with_remote_server(pan_auth_state_engine.c:705): Failed to get server ids for it (prof/vsys: -SAML-AuthProfile/vsys1)
Error:  _begin_auth(pan_auth_state_engine.c:1934): sending request for user "it" to server
failed authentication for user 'it'.  Reason: Internal error, e.g. network connection, DNS failure or remote server down. auth profile '-SAML-AuthProfile', vsys 'vsys1', From: 192.168.4.1.
debug: _log_auth_respone(pan_auth_server.c:273): Sent PAN_AUTH_FAILURE auth response for user 'it' (exp_in_days=-1 (-1 never; 0 within a day))(authd_id: 7270679058537519963)

• IdP에서 SAML 로그에 SAML 실패 시도에 대해 일반적으로 확인해야 하는 시도가 표시되지 않습니다.

• 팔로 알토 방화벽
• 지원되는 PAN-OS
• GlobalProtect 포털/게이트웨이
• GlobalProtect (GP) 앱
• SAML 인증

• 무차별 대입 공격으로 인해 GET 대신 로그인 에 대한 HTTP POST 요청 표시됩니다.
• 이제 authd 의 SAML 인증 요청 sslvpn/gpsvc 에 의해 무시되고 클라이언트를 IdP로 리디렉션하지 않습니다.

1. 위 시나리오에서는 이것이 예상됩니다.
2. 무차별 대입 공격을 최소화하려면 NGFW에서 GlobalProtect Portal을 무차별 대입 공격으로부터 보호하는 방법을 참조하세요.

GlobalProtect 포털 페이지에서 무차별 대입 공격 감지.