Comment protéger le portail GlobalProtect sur NGFW contre les attaques par force brute

Comment protéger le portail GlobalProtect sur NGFW contre les attaques par force brute

2811
Created On 07/11/24 19:41 PM - Last Modified 08/14/24 01:48 AM


Objective


Cet article explique comment configurer la stratégie de protection contre les attaques par force brute sur les pare-feu de nouvelle génération.

Environment


  • Pare-feu NGFW de Palo Alto
  • PAN-OS pris en charge
  • Portail GlobalProtect (GP))

Procedure


Configurez le pare-feu à l’aide des éléments suivants.
  1. Tous les utilisateurs doivent être connectés avec l’authentification à 2 facteurs.
  2. Configurez une politique de liste noire d’adresses IP par force brute.
  3. Utilisez la géolocalisation, n’autorisez que les sources IP spécifiques à une région.
  4. Désactivez la page de connexion au portail.
  5. Configurez les EDL de Palo Alto dans une politique de blocage.

Si l’utilisateur final reçoit toujours de nombreux échecs de connexion de la part d’acteurs malveillants sur le portail Global Protect, prenez ces mesures supplémentaires pour éviter les attaques par force brute :

Implémentez des filtres d’URL :
  1. Appliquez un profil de filtrage d’URL à une stratégie de sécurité pour l’accès SSL qui bloque les tentatives ne utilisant pas le nom de domaine complet pour le portail.
  2. Créez une liste de catégories d’URL personnalisée avec « vpnportal.yourdomain.com/ », « vpngw.yourdomain.com », « x.x.x.x/ssl-vpn/hipreportcheck.esp », « x.x.x.x/ssl-vpn/hipreport.esp », « x.x.x.x/ssl-vpn/agentmessage.esp »
  3. Divisez votre règle de politique de sécurité GlobalProtect en deux règles. L’un pour gérer les identifiants d’application « palos-global-protect », « ssl » et « web-browsing ». L’autre politique concerne IPsec et ICMP (si nécessaire)
  4. Pour la stratégie de sécurité SSL, ajoutez le profil de filtrage d’URL qui a été créé. Après l’avoir appliqué, les utilisateurs ne pourront se connecter au VPN qu’avec le FQDN.
Utiliser SAML :
  1. Géoblocage au niveau de la couche de stratégie de sécurité en plus des critères de sélection de la configuration si ce n’est pas déjà fait.
  2. Définissez votre 1ère règle pour supprimer les adresses IP géographiques et les adresses IP malveillantes connues, puis placez-les dans la règle de configuration GP pour n’autoriser que des régions spécifiques.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000010zEJCAY&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language