Prisma Access 포털 에서 특정 소스 악성 IP에서 발생한 무차별 대입 공격이 확인되었습니다.

15837

Created On 06/17/24 06:54 AM - Last Modified 01/13/25 18:08 PM

Symptom

Prisma Access 포털 디폴트 으로 인터넷이 있는 어디서나 접속이 가능합니다.
Prisma Access 포털 알려진 악성 IP로부터 무차별 포털 공격을 받는 경우가 있습니다.
globalprotect 유형 로그는 Prisma Access 포털 에 대한 여러 차례의 로그인 시도 실패를 보여줍니다.
알려진 악성 IP를 차단 위해 만든 사용자 지정 규칙 초기 트래픽이 인증 프로세스를 위한 포털 접근을 허용하는 미리 정의된 규칙에 의해 처리되기 때문에 도움이 되지 않습니다.

무차별 대입 공격은 동일한 소스 또는 데스티네이션 IP 주소 에서 대량의 요청/응답을 사용하여 시스템에 침입합니다. 공격자는 시행착오법을 사용하여 도전이나 요청 에 대한 대응 추측합니다.
악의적인 행위자는 Prisma Access 포털 IP를 식별하고 HTTPS 요청 에 응답하고 요청을 시도할 수 있습니다.

Prisma Access Embargo 규칙을 사용하여 규칙을 만들고 소스 악성 IP 목록을 추가하여 해당 연결을 차단 .
위 문서에서 소스 국가나 지역을 추가하는 대신, 소스 IP 목록이나 EDL을 추가합니다.
또는 미리 정의된 EDL (외부 동적 목록)을 추가하여 알려진 악성 IP에서의 연결 시도를 차단 .
엠바고 규칙은 보안 규칙 스택의 최상단에 배치되어 악성 IP에서의 연결 시도를 완화합니다.
또 다른 대안적인 접근 방식은 GlobalProtect Portal 로그인 페이지를 비활성화하는 것 입니다(Panorama에서 관리하는 Prisma Access에만 적용 가능)
- 이러한 접근 방식은 GlobalProtect 클라이언트 연결에는 영향을 미치지 않지만 브라우저 로그인 페이지에 대해 404 대응 반환합니다.
- 포털 로그인 페이지가 비활성화되면 클라이언트리스 VPN 작동을 멈춥니다. 클라이언트리스 VPN 사용되지 않는 경우, 무차별 대입 시도를 완화하기 위해 이를 수행할 수도 있습니다.

모범 사례로, 공격 표면을 줄이기 위해 2차 인증을 사용합니다. (사용자를 인증하기 위해 LDAP 또는 Radius를 사용하는 경우)
예를 들어, 인증 방법이 LDAP 이고 SAML을 사용할 수 없는 경우, 인증 프로파일 에 인증서 프로파일 추가하여 클라이언트가 인증을 위해 자격 증명과 인증서를 모두 요구하도록 합니다.
인증은 별도의 프로필로 나눌 수 있습니다. 예를 들어, 브라우저 기반 인증만 SAML로 리디렉션할 수 있고 Windows 및 Mac 기반 인증은 인증 두 번째 요소로 사용하여 LDAP 통해 계속할 수 있습니다.
또는 SAML 인증을 사용하여 각 로그인 시도가 IDP(신원 제공자)로 리디렉션되도록 할 수 있습니다. 이렇게 하면 대부분 IDP에 필요한 일반적인 2차 인증이 없을 가능성이 높으므로 악의적인 행위자의 활동을 더욱 억제할 수 있습니다.