GlobalProtect 门户（而非 SAML IdP）上的未知 SAML 登录尝试失败

• GlobalProtect指示板日志显示来自不同恶意 IP 的暴力攻击，显示为针对 GlobalProtect 门户/网关的 SAML 身份验证尝试。
• 系统日志显示攻击者被重定向到 IdP 进行身份验证并失败，原因：内部错误，例如网络连接、 DNS故障或远程服务器关闭。
• authd.log 文件还显示用户被重定向，随后身份验证失败并出现相同错误。

> less mp-log authd.log
.....
debug: _authenticate_by_localdb_or_remote_server(pan_auth_state_engine.c:1859): Authenticating user "it" with 
debug: _retrieve_svr_ids(pan_auth_service.c:645): could not find auth server id vector for -SAML-AuthProfile-vsys1
Error:  _authenticate_with_remote_server(pan_auth_state_engine.c:705): Failed to get server ids for it (prof/vsys: -SAML-AuthProfile/vsys1)
Error:  _begin_auth(pan_auth_state_engine.c:1934): sending request for user "it" to server
failed authentication for user 'it'.  Reason: Internal error, e.g. network connection, DNS failure or remote server down. auth profile '-SAML-AuthProfile', vsys 'vsys1', From: 192.168.4.1.
debug: _log_auth_respone(pan_auth_server.c:273): Sent PAN_AUTH_FAILURE auth response for user 'it' (exp_in_days=-1 (-1 never; 0 within a day))(authd_id: 7270679058537519963)

• 从 IdP 来看，我们在 SAML 日志中没有看到任何尝试，而通常我们应该看到 SAML 失败的尝试。

• Palo Alto 防火墙
• 支持的 PAN OS
• GlobalProtect 门户/网关
• GlobalProtect (GP) 应用程序
• SAML 身份验证

• 由于暴力攻击，登录.esp 时显示的是HTTP POST请求而不是 GET 请求。
• 现在，来自authd的 SAML Auth请求被sslvpn/gpsvc忽略，并且不会将客户端重定向到 IdP。

1. 在上述场景中，这是预料之中的。
2. 为了尽量减少暴力攻击，请参阅如何保护 NGFW 上的 GlobalProtect 门户免受暴力攻击。

检测 GlobalProtect 门户页面上的暴力攻击.