Se detectaron ataques de fuerza bruta en el portal Prisma Access desde direcciones IP maliciosas de fuentes específicas

Se detectaron ataques de fuerza bruta en el portal Prisma Access desde direcciones IP maliciosas de fuentes específicas

15835
Created On 06/17/24 06:54 AM - Last Modified 01/13/25 18:08 PM


Symptom


  • El portal Prisma Access está abierto para conexión desde cualquier lugar a través de Internet de valor predeterminado.
  • Hay escenarios en los que el portal Prisma Access podría sufrir ataques de fuerza bruta desde IP maliciosas conocidas.
  • Los registros de tipo globalprotect muestran múltiples intentos fallidos de inicio de sesión en el portal Prisma Access.
  • Una regla personalizada creada para bloquear IP maliciosas conocidas no ayuda ya que el tráfico inicial es manejado por reglas predefinidas que permiten el acceso al portal para el proceso de autenticación.

Environment


  • Acceso Prisma
  • Ataque de fuerza bruta

Cause


  • Un ataque de fuerza bruta utiliza un gran volumen de solicitudes/respuestas de la misma Dirección IP de origen o destino para entrar en un sistema. El atacante emplea un método de prueba y error para adivinar la respuesta a un desafío o una solicitud.
  • El actor malicioso puede identificar la IP del portal Prisma Access y que responde a la solicitud HTTPS e intentar estas solicitudes.

Resolution


  1. Utilice las reglas de embargo de Prisma Access para crear reglas y agregar su lista de IP maliciosas de origen para bloquear esas conexiones.
  2. Del documento anterior, en lugar de agregar un país o región de origen, agregue una lista de IP de origen o una EDL.
  3. Como alternativa, agregue las EDL (listas dinámicas externas) predefinidas para bloquear los intentos de conexión desde IP maliciosas conocidas.
  4. Las reglas de embargo se colocan en la parte superior de la pila de regla de seguridad, lo que mitiga los intentos de conexión desde IP maliciosas.
  5. Otro enfoque alternativo es deshabilitar la página de inicio de sesión del Portal GlobalProtect (aplicable solo a Prisma Access administrado por Panorama)
    • Este enfoque no afecta las conexiones del cliente GlobalProtect pero devuelve una respuesta 404 para la página de inicio de sesión del explorador .
    • La VPN sin cliente dejará de funcionar si se desactiva la página de inicio de sesión del portal . Si no se utiliza la VPN sin cliente, esto también se puede hacer para mitigar los intentos de fuerza bruta.

Additional Information


  • Como práctica recomendada, utilice la autenticación de segundo factor para reducir la superficie de ataque. (Si utiliza LDAP o Radius para autenticar a los usuarios),
  • Por ejemplo, si el método de autenticación es LDAP y no se puede usar SAML, agregue un perfil de certificado en el perfil de autenticación para que los clientes requieran tanto credenciales como certificados para la autenticación.
  • La autenticación se puede dividir en perfiles separados. Por ejemplo, la autenticación basada únicamente en el navegador se puede redirigir a SAML y la autenticación basada en Windows y Mac se puede continuar a través de LDAP con el certificado como segundo factor.
  • Como alternativa, use la autenticación SAML para que cada intento de inicio de sesión se redirija a IDP (proveedor de identidad), lo que disuadirá aún más al actor malicioso, ya que probablemente no tendrá el segundo factor habitual requerido por la mayoría de los IDP.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000010z7SCAQ&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language