High Management Plane CPU aufgrund SSH von Versuchen

12215

Created On 11/25/20 21:25 PM - Last Modified 03/26/21 18:48 PM

Symptom

Firewall GUI zeigt hohe CPU prozentuale Auslastung auf der Dashboard-Seite an
"Show Systemressourcen folgen" zeigt hohen "Lastdurchschnitt" und/oder hoch CPU

mp-monitor.log 2020-10-22 12:54:02* Cpu(s): 11.7%us, 4.1%sy, 0.1%ni, 83.8%id, 0.1%wa, 0.0%hi, 0.2%si, 0.0%st
mp-monitor.log 2020-10-22 12:57:00* Cpu(s): 11.8%us, 4.1%sy, 0.1%ni, 83.8%id, 0.1%wa, 0.0%hi, 0.2%si, 0.0%st
mp-monitor.log 2020-10-22 13:00:00* Cpu(s): 11.8%us, 4.1%sy, 0.1%ni, 83.8%id, 0.1%wa, 0.0%hi, 0.2%si, 0.0%st

mp-monitor.log 2020-10-22 12:54:02* top - 12:54:01 up 54 days, 18:00, 1 user, load average: 15.35, 11.06, 10.59
mp-monitor.log 2020-10-22 12:57:00* top - 12:57:00 up 54 days, 18:03, 1 user, load average: 20.39, 13.85, 11.66
mp-monitor.log 2020-10-22 13:00:00* top - 13:00:00 up 54 days, 18:06, 1 user, load average: 10.83, 13.85, 12.13

In diesem Fall ist die CPU nicht hoch, aber die Lastdurchschnitte zeigen die 1 Minute, 5 Minuten und 15 Minuten Belastung erhöht - diese Zahlen stellen die durchschnittliche Anzahl der Prozesse, die für eine CPU während des jeweiligen Intervalls warten.(In diesem speziellen Beispiel gibt es 4 Management-Ebenen-Kerne auf diesem firewall - so zeigt dies im Durchschnitt gibt es 10-20 Prozesse warten darauf, von 4 Kernen gewartet werden).Die höheren Zahlen deuten darauf hin, dass die firewall eine Menge Anfragen erhalten könnte.

Das Protokoll "Monitor -> System" zeigt viele fehlgeschlagene SSH Anmeldeversuche von öffentlichen Adressen an IP (dies zeigt viele Verbindungen pro Sekunde an)

2020/10/22 12:57:31 medium general general 0 Failed password for root from 218.92.0.191 port 40760 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 168.90.89.35 port 50888 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 218.92.0.191 port 40760 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for share from 191.43.12.85 port 35904 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 107.170.20.247 port 42771 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 188.131.166.98 port 45944 ssh2

"show netstat" zeigt viele SSH Verbindungen in verschiedenen Verbindungszuständen:

2020-10-22 04:18:35.238 -0700 --- netstat
tcp 40 0 67.109.26.210:22 218.92.0.191:19919 CLOSE_WAIT 15305/sshd
tcp 23 0 205.158.104.17:22 163.172.101.48:55226 ESTABLISHED 15630/sshd
tcp 40 0 205.158.104.26:22 222.186.180.130:64031 CLOSE_WAIT 14690/sshd
tcp 1 0 205.158.104.15:22 103.238.69.138:36270 CLOSE_WAIT 14860/sshd
tcp 1 0 205.158.104.12:22 211.193.58.225:59800 CLOSE_WAIT 14887/sshd
tcp 40 0 205.158.104.16:22 222.186.180.130:41087 CLOSE_WAIT 14698/sshd
tcp 1 0 205.158.104.28:22 113.53.238.195:37006 CLOSE_WAIT 15225/sshd
tcp 1 0 205.158.104.30:22 186.47.213.34:39554 CLOSE_WAIT 15112/sshd
tcp 1 0 205.158.104.28:22 211.108.168.106:32882 CLOSE_WAIT 15490/sshd

Environment

Palo Alto Firewall .
Jede PAN-OS .
GlobalProtect ( GP ) Gateway oder Portal konfiguriert.
Eine Schnittstelle, die für GP die Zugewiesene mit dem Verwaltungsprofil konfiguriert SSH ist.

Cause

Der firewall verfügt über ein Schnittstellenverwaltungsprofil, das den Zugriff auf die SSH Datenebenenschnittstelle zulässt, die das GlobalProtect Portal und/oder Gateway hostet.
Viele internetbasierte Benutzer und Programme versuchen, firewall über die exponierte Öffentlichkeit des Portals und Gateways auf die Nutzung SSH IP Globalprotect zuzugreifen, wodurch die Ladeebene der Verwaltungsebene erhöht wird, um diese Anforderungen zu bedienen.

Resolution

Entfernen Sie den SSH Zugriff aus dem Verwaltungsprofil, das der Schnittstelle zugewiesen ist, die Gateway oder Portal hostet. GlobalProtect Dies kann unter GUI erfolgen: Netzwerk- > Netzwerkprofile > Schnittstelle Mgmt > (Profil auswählen und deaktivieren SSH )
Klicken OK Sie auf die Konfigurationsänderungen, und übernehmen Sie sie.

Additional Information