Brute-Force-Angriffe auf das Prisma Access- Portal von bösartigen IP-Adressen mit spezifischen Quellen
15835
Created On 06/17/24 06:54 AM - Last Modified 01/13/25 18:08 PM
Symptom
- Das Prisma Access- Portal ist Standard(-) für Verbindungen von überall über das Internet geöffnet.
- Es gibt Szenarien, in denen es auf das Prisma Access- Portal zu Brute-Force-Angriffen von bekannten bösartigen IP-Adressen kommen kann.
- Die Protokolle des Typs „Globalprotect“ zeigen mehrere fehlgeschlagene Anmeldung beim Prisma Access- Portal.
- Eine benutzerdefinierte Regel zum sperren bekannter bösartiger IPs hilft nicht, da der anfängliche Datenverkehr durch vordefinierte Regeln behandelt wird, die den Portal für den Authentifizierungsprozess ermöglichen.
Environment
- Prisma-Zugang
- Brute-Force-Angriff
Cause
- Bei einem Brute-Force-Angriff wird eine große Anzahl von Anfragen/Antworten von derselben Quell- oder Destination IP-Adresse verwendet, um in ein System einzudringen. Der Angreifer verwendet eine Trial-and-Error-Methode, um die Antwort auf eine Herausforderung oder eine anfordern/Anforderung zu erraten.
- Der böswillige Akteur kann die IP des Prisma Access Portal identifizieren und feststellen, dass es auf HTTPS anfordern/Anforderung antwortet, und diese Anfragen versuchen.
Resolution
- Verwenden Sie die Prisma Access- Embargo-Regeln, um Regeln zu erstellen und Ihre Liste bösartiger IP-Adressen von Quellen hinzuzufügen, um diese Verbindungen zu sperren .
- Fügen Sie aus dem obigen Dokument statt eines Quelllandes oder einer Quellregion eine Quell-IP-Liste oder eine EDL hinzu.
- Alternativ können Sie die vordefinierten EDL (Externe dynamische Listen) hinzufügen, um Verbindungsversuche von bekannten bösartigen IPs zu sperren .
- Die Embargoregeln werden oben im Regel platziert und verringern so die Verbindungsversuche von böswilligen IPs.
- Ein weiterer alternativer Ansatz besteht darin, die Anmeldung des GlobalProtect-Portals zu deaktivieren (gilt nur für Prisma Access, das von Panorama verwaltet wird).
- Dieser Ansatz hat keine Auswirkungen auf die GlobalProtect-Clientverbindungen, gibt aber eine 404- Antwort für die Browser Anmeldung zurück.
- Das clientlose VPN funktioniert nicht mehr, wenn die Portal Anmeldung deaktiviert ist. Wenn das clientlose VPN nicht verwendet wird, kann dies auch getan werden, um Brute-Force-Versuche abzuschwächen.
Additional Information
- Verwenden Sie als bewährte Methode die Zwei-Faktor-Authentifizierung, um die Angriffsfläche zu verringern. (Wenn Sie LDAP oder Radius zur Authentifizierung der Benutzer verwenden),
- Wenn beispielsweise LDAP als Authentifizierungsmethode verwendet wird und SAML nicht verwendet werden kann, fügen Sie dem Authentifizierungsprofil ein Zertifizierungsprofil hinzu, sodass die Clients sowohl Anmeldeinformationen als auch Zertifikate zur Authentifizierung benötigen.
- Die Authentifizierung kann in separate Profile aufgeteilt werden. Beispielsweise kann die browserbasierte Authentifizierung nur auf SAML umgeleitet werden und die Windows- und Mac-basierte Authentifizierung kann über LDAP mit einem Zertifikat als zweitem Faktor fortgesetzt werden.
- Alternativ können Sie die SAML-Authentifizierung verwenden, sodass jeder Anmeldung an den IDP (Identify Provider) umgeleitet wird. Dies schreckt den böswilligen Akteur weiter ab, da er wahrscheinlich nicht über den üblichen zweiten Faktor verfügt, der von den meisten IDPs verlangt wird.