So schützen Sie das GlobalProtect-Portal auf NGFW vor Brute-Force-Angriffen

So schützen Sie das GlobalProtect-Portal auf NGFW vor Brute-Force-Angriffen

2805
Created On 07/11/24 19:41 PM - Last Modified 08/14/24 01:48 AM


Objective


Der Artikel enthält Erläuterungen zum Konfigurieren von Richtlinien zum Schutz vor Brute-Force-Angriffen auf Firewalls der nächsten Generation.

Environment


  • Palo Alto NGFW-Firewalls
  • Unterstütztes PAN-OS
  • GlobalProtect (GP) Portal)

Procedure


Konfigurieren Sie die Firewall wie folgt.
  1. Alle Benutzer müssen mit 2-Faktor-Authentifizierung angemeldet sein.
  2. Richten Sie eine Brute-Force-Richtlinie für das Blacklisting von IP-Adressen ein.
  3. Geolocation verwenden, nur regionsspezifische IP-Quellen zulassen.
  4. Deaktivieren Sie die Anmeldeseite des Portals.
  5. Konfigurieren Sie die EDLs von Palo Alto in einer Blockrichtlinie.

Wenn der Endbenutzer immer noch viele fehlgeschlagene Anmeldungen von einigen böswilligen Akteuren auf dem Global Protect Portal erhält, führen Sie die folgenden zusätzlichen Schritte aus, um Brute-Force-Angriffe zu vermeiden:

Implementieren Sie URL-Filter:
  1. Wenden Sie ein URL-Filterprofil auf eine Sicherheitsrichtlinie für den SSL-Zugriff an, die Versuche blockiert, die den FQDN für das Portal nicht verwenden.
  2. Erstellen Sie eine benutzerdefinierte URL-Kategorieliste mit "vpnportal.yourdomain.com/", "vpngw.yourdomain.com", "x.x.x.x/ssl-vpn/hipreportcheck.esp", "x.x.x.x/ssl-vpn/hipreport.esp", "x.x.x.x/ssl-vpn/agentmessage.esp"
  3. Teilen Sie Ihre GlobalProtect-Sicherheitsrichtlinienregel in zwei Regeln auf. Eine für die App-IDs "palos-global-protect", "ssl" und "web-browsing". Die andere Richtlinie gilt für IPsec und ICMP (falls diese benötigt werden)
  4. Fügen Sie für die SSL-Sicherheitsrichtlinie das URL-Filterprofil hinzu, das erstellt wurde. Nach der Anwendung können Benutzer nur noch mit dem FQDN eine Verbindung zum VPN herstellen.
Verwenden Sie SAML:
  1. Geo-Block auf der Sicherheitsrichtlinienebene zusätzlich zu den Konfigurationsauswahlkriterien, falls noch nicht geschehen.
  2. Legen Sie Ihre 1. Regel so fest, dass geografische IP-Adressen und bekannte bösartige IP-Adressen gelöscht werden, und fügen Sie sie dann in die GP-Konfigurationsregel ein, um nur bestimmte Regionen zuzulassen.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000010zEJCAY&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language