Prisma Access门户遭遇来自特定来源恶意 IP 的暴力攻击
15845
Created On 06/17/24 06:54 AM - Last Modified 01/13/25 18:08 PM
Symptom
- 默认下,Prisma Access门户是开放的,可以通过互联网从任何地方进行连接。
- 在某些情况下,Prisma Access门户可能会遭受门户已知恶意 IP 的暴力攻击。
- globalprotect 类型日志显示 Prisma Access门户多次登录尝试失败。
- 创建用于阻止已知恶意 IP 的自定义规则没有帮助,因为初始流量由允许门户访问进行身份验证过程的预定义规则处理。
Environment
- Prisma 访问
- 暴力攻击
Cause
- 暴力攻击使用来自同一源或目标IP 地址的大量请求/响应来侵入系统。攻击者采用反复试验的方法来猜测对质询或请求的响应。
- 恶意行为者可以识别 Prisma Access门户IP 及其对HTTPS请求的响应并尝试这些请求。
Resolution
- 使用 Prisma Access Embargo 规则创建规则并添加源恶意 IP 列表以阻止这些连接。
- 从上述文档中,不要添加源国家或地区,而是添加源 IP 列表或EDL。
- 或者,添加预定义的 EDL (外部动态列表)来阻止已知恶意 IP 的连接尝试。
- 禁运规则位于安全规则堆栈的顶部,从而减轻来自恶意 IP 的连接尝试。
- 另一种替代方法是禁用 GlobalProtect Portal登录页面(仅适用于由 Panorama 管理的 Prisma Access)
- 这种方法不会影响 GlobalProtect 客户端连接,但会返回浏览器登录页面的 404响应。
- 如果门户登录页面被禁用,无客户端VPN将停止工作。如果没有使用无客户端VPN ,也可以这样做来减轻暴力破解尝试。