NGFW上のGlobalProtectポータルをブルートフォース攻撃から保護する方法

NGFW上のGlobalProtectポータルをブルートフォース攻撃から保護する方法

2805
Created On 07/11/24 19:41 PM - Last Modified 08/14/24 01:42 AM


Objective


この記事では、次世代ファイアウォールでのブルートフォース攻撃から保護するためのポリシーを構成する方法のハイライトを提供します。

Environment


  • パロアルトNGFWファイアウォール
  • サポートされている PAN-OS
  • GlobalProtect(GP)ポータル)

Procedure


ファイアウォールを次のように設定します。
  1. 2要素認証でログインするすべてのユーザー。
  2. ブルート フォース IP ブラックリスト ポリシーを設定します。
  3. ジオロケーションを使用し、地域固有のIPソースのみを許可します。
  4. ポータルのログイン ページを無効にします。
  5. Palo Alto の EDL をブロックポリシーで設定します。

エンドユーザーがGlobal Protect Portal上の一部の悪意のある人物から多くのログイン失敗をまだ受けている場合は、ブルートフォース攻撃を回避するために次の追加手順を実行してください

  1. URL フィルタリング プロファイルを SSL アクセスのセキュリティ ポリシーに適用して、ポータルの FQDN を使用しない試行をブロックします。
  2. vpnportal.yourdomain.com/」、「vpngw.yourdomain.com」、「x.x.x.x/ssl-vpn/hipreportcheck.esp」、「x.x.x.x/ssl-vpn/hipreport.esp」、「x.x.x.x/ssl-vpn/agentmessage.esp」を使用してカスタム URL カテゴリ リストを作成します
  3. GlobalProtect セキュリティ・ポリシー・ルールを 2 つのルールに分割します。 1つは、app-id「palos-global-protect」、「ssl」、「web-browsing」を処理するためのものです。 もう 1 つのポリシーは、IPsec と ICMP 用です (これらが必要な場合)
  4. SSL セキュリティポリシーには、作成した URL フィルタリングプロファイルを追加します。 これを適用すると、ユーザーはFQDNを使用してのみVPNに接続できるようになります。
SAML を使用する:
  1. セキュリティポリシーレイヤーでのジオブロックに加えて、設定選択基準(まだ設定されていない場合)。
  2. geo IP と既知の悪意のある IP を削除するように 1 番目のルールを設定し、それらを GP 構成ルールに配置して特定のリージョンのみを許可します。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000010zEJCAY&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language