Des attaques par force brute détectées sur le portail Prisma Access à partir d'adresses IP malveillantes spécifiques
15835
Created On 06/17/24 06:54 AM - Last Modified 01/13/25 18:08 PM
Symptom
- Le portail Prisma Access est ouvert à la connexion depuis n'importe où via Internet par par défaut.
- Il existe des scénarios dans lesquels le portail Prisma Access peut subir des attaques par force brute sur le portail à partir d'adresses IP malveillantes connues.
- Les journaux de type globalprotect montrent plusieurs tentatives de connexion infructueuses au portail Prisma Access.
- Une règle personnalisée créée pour blocage les adresses IP malveillantes connues n'aide pas puisque le trafic initial est géré par des règles prédéfinies qui autorisent l'accès au portail pour le processus d'authentification.
Environment
- Accès Prisma
- Attaque par force brute
Cause
- Une attaque par force brute utilise un grand volume de requêtes/réponses provenant de la même adresse IP source ou de destination pour pénétrer dans un système. L'attaquant utilise une méthode d'essais-erreurs pour deviner la réponse à un défi ou à une requête.
- L'acteur malveillant peut identifier l'IP du portail Prisma Access et savoir qu'il répond à la requête HTTPS et tente ces requêtes.
Resolution
- Utilisez les règles d'embargo de Prisma Access pour créer des règles et ajouter votre liste d'adresses IP malveillantes sources pour blocage ces connexions.
- À partir du document ci-dessus, au lieu d'ajouter un pays ou une région source, ajoutez une liste IP source ou une EDL.
- Vous pouvez également ajouter les listes dynamiques externes ( EDL) prédéfinies pour blocage les tentatives de connexion provenant d'adresses IP malveillantes connues.
- Les règles d'embargo sont placées en haut de la pile de règle de sécurité, atténuant ainsi les tentatives de connexion provenant d'adresses IP malveillantes.
- Une autre approche alternative consiste à désactiver la page de connexion du portail GlobalProtect (applicable uniquement à Prisma Access géré par Panorama)
- Cette approche n’a pas d’impact sur les connexions client GlobalProtect mais renvoie une réponse 404 pour la page de connexion du navigateur .
- Le VPN sans client cessera de fonctionner si la page de connexion au portail est désactivée. Si le VPN sans client n'est pas utilisé, cela peut également être fait pour atténuer les tentatives de force brute.
Additional Information
- En tant que bonne pratique, utilisez l'authentification à deux facteurs pour réduire la surface d'attaque. (Si vous utilisez LDAP ou Radius pour authentifier les utilisateurs),
- Par exemple, si la méthode d’authentification est LDAP et que SAML ne peut pas être utilisé, ajoutez un profil de certificat dans le profil d'authentification afin que les clients nécessitent à la fois des informations d’identification et des certificats pour l’authentification.
- L'authentification peut être divisée en profils distincts. Par exemple, l'authentification basée sur le navigateur peut uniquement être redirigée vers SAML, tandis que l'authentification basée sur Windows et Mac peut être poursuivie via LDAP avec un certificat comme deuxième facteur.
- Vous pouvez également utiliser l'authentification SAML afin que chaque tentative de connexion soit redirigée vers l'IDP (fournisseur d'identification), ce qui dissuadera davantage l'acteur malveillant car il ne disposera probablement pas du deuxième facteur habituel requis par la plupart des IDP.