Prisma Accessポータルで特定の悪意のある IP からのブルートフォース攻撃が確認

15837

Created On 06/17/24 06:54 AM - Last Modified 01/13/25 18:08 PM

Symptom

Prisma Accessポータルは、デフォルトでインターネット経由でどこからでも接続できます。
Prisma Accessポータルが、既知の悪意のある IP からポータルフォース攻撃を受ける可能性があるシナリオがあります。
globalprotect タイプのログには、Prisma Accessポータルへのログイン試行が複数回失敗したことが示されます。
既知の悪意のある IP をブロックために作成されたカスタムルールは、初期トラフィックが認証プロセスのためのポータルアクセスを許可する事前定義されたルールによって処理されるため、役に立ちません。

ブルートフォース攻撃は、同じ送信元または宛先IPアドレスからの大量のリクエスト/レスポンスを使用してシステムに侵入します。攻撃者は試行錯誤の手法を使用して、チャレンジまたは要求に対する応答を推測します。
悪意のある攻撃者は、Prisma AccessポータルのIP を識別し、それがHTTPS要求に応答し、これらの要求を試行することができます。

Prisma Access のEmbargo ルールを使用してルールを作成し、ソースの悪意のある IP リストを追加して、それらの接続をブロック。
上記のドキュメントから、ソースの国または地域を追加する代わりに、ソース IP リストまたはEDL を追加します。
または、定義済みの EDL (外部動的リスト) を追加して、既知の悪意のある IP からの接続試行をブロック。
禁輸ルールはセキュリティルールスタックの最上位に配置されるため、悪意のある IP からの接続試行が軽減されます。
別の方法としては、 GlobalProtect ポータルのログインページを無効にすることです (Panorama によって管理される Prisma Access にのみ適用されます)
- このアプローチは GlobalProtect クライアント接続には影響しませんが、ブラウザログインページに対して 404応答を返します。
- ポータルログインページが無効になっている場合、クライアントレスVPN は動作を停止します。クライアントレスVPNが使用されていない場合は、ブルートフォース攻撃を軽減するためにこれを行うこともできます。

ベストプラクティスとして、攻撃対象領域を減らすために2要素認証を使用します。(ユーザー認証にLDAPまたはRadiusを使用している場合)
たとえば、認証方法がLDAPであり、SAML を使用できない場合は、認証プロファイルに証明書プロファイルを追加して、クライアントが認証に資格情報と証明書の両方を必要とするようにします。
認証は個別のプロファイルに分割できます。たとえば、ブラウザベースの認証のみを SAML にリダイレクトし、Windows および Mac ベースの認証を証明書を第 2 要素としてLDAP経由で継続できます。
あるいは、 SAML 認証を使用して、各ログイン試行が IDP (Identify Provider) にリダイレクトされるようにします。これにより、悪意のある攻撃者は、ほとんどの IDP で要求される通常の 2 番目の要素を持たない可能性が高くなり、さらに阻止されます。