Cómo proteger el portal GlobalProtect en NGFW de un ataque de fuerza bruta

Cómo proteger el portal GlobalProtect en NGFW de un ataque de fuerza bruta

2813
Created On 07/11/24 19:41 PM - Last Modified 08/14/24 01:42 AM


Objective


El artículo proporciona aspectos destacados sobre cómo configurar la política para protegerse contra ataques de fuerza bruta en firewalls de próxima generación.

Environment


  • Cortafuegos NGFW de Palo Alto
  • PAN-OS compatible
  • Portal GlobalProtect (GP))

Procedure


Configure el firewall de la siguiente manera.
  1. Todos los usuarios deben iniciar sesión con autenticación de 2 factores.
  2. Configure una política de listas negras de IP de fuerza bruta.
  3. Usar geolocalización, permitir solo orígenes de IP específicos de la región.
  4. Deshabilite la página de inicio de sesión del portal.
  5. Configure las EDL de Palo Alto en una política de bloques.

Si el usuario final sigue recibiendo muchos inicios de sesión fallidos de algunos actores malintencionados en el Portal de Protección Global, tome estas medidas adicionales para evitar ataques de fuerza bruta:

Implemente filtros de URL:
  1. Aplique un perfil de filtrado de URL a una política de seguridad para el acceso SSL que bloquee los intentos que no utilicen el FQDN para el portal.
  2. Cree una lista de categorías de URL personalizada con "vpnportal.yourdomain.com/", "vpngw.yourdomain.com", "x.x.x.x/ssl-vpn/hipreportcheck.esp", "x.x.x.x/ssl-vpn/hipreport.esp", "x.x.x.x/ssl-vpn/agentmessage.esp"
  3. Divida la regla de la política de seguridad de GlobalProtect en dos reglas. Uno para manejar los identificadores de aplicaciones "palos-global-protect", "ssl" y "web-browsing". La otra política es para IPsec e ICMP (si son necesarios)
  4. Para la política de seguridad SSL, agregue el perfil de filtrado de URL que se creó. Después de aplicar esto, los usuarios solo podrán conectarse a la VPN con el FQDN.
Utilice SAML:
  1. Bloqueo geográfico en la capa de política de seguridad, además de los criterios de selección de configuración, si aún no lo han hecho.
  2. Establezca la 1.ª regla para eliminar la IP geográfica y las direcciones IP maliciosas conocidas y, a continuación, colóquelas en la regla de configuración de GP para permitir solo regiones específicas.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000010zEJCAY&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language