Avión de alta dirección CPU debido a SSH intentos

12246

Created On 11/25/20 21:25 PM - Last Modified 03/26/21 18:48 PM

Symptom

Firewall GUI está mostrando un alto CPU porcentaje de carga en la página del panel
"mostrar los recursos del sistema siguen" muestra alto " promedio decarga" y / o alto CPU

mp-monitor.log 2020-10-22 12:54:02* Cpu(s): 11.7%us, 4.1%sy, 0.1%ni, 83.8%id, 0.1%wa, 0.0%hi, 0.2%si, 0.0%st
mp-monitor.log 2020-10-22 12:57:00* Cpu(s): 11.8%us, 4.1%sy, 0.1%ni, 83.8%id, 0.1%wa, 0.0%hi, 0.2%si, 0.0%st
mp-monitor.log 2020-10-22 13:00:00* Cpu(s): 11.8%us, 4.1%sy, 0.1%ni, 83.8%id, 0.1%wa, 0.0%hi, 0.2%si, 0.0%st

mp-monitor.log 2020-10-22 12:54:02* top - 12:54:01 up 54 days, 18:00, 1 user, load average: 15.35, 11.06, 10.59
mp-monitor.log 2020-10-22 12:57:00* top - 12:57:00 up 54 days, 18:03, 1 user, load average: 20.39, 13.85, 11.66
mp-monitor.log 2020-10-22 13:00:00* top - 13:00:00 up 54 days, 18:06, 1 user, load average: 10.83, 13.85, 12.13

En este caso, el CPU no es alto, pero los promedios de carga muestran que la carga de 1 minuto, 5 minutos y 15 minutos es elevada - estos números representan el número promedio de procesos que esperan un CPU durante el intervalo respectivo.(En este ejemplo en particular hay 4 núcleos de plano de administración en esto firewall - por lo que esto indica en promedio que hay 10-20 procesos esperando para ser atendidos por 4 núcleos).Los números más altos indican que firewall podrían estar recibiendo muchas solicitudes.

El registro "Monitor -> System" muestra muchos SSH intentos de inicio de sesión fallidos desde direcciones públicas IP (esto muestra muchas conexiones por segundo)

2020/10/22 12:57:31 medium general general 0 Failed password for root from 218.92.0.191 port 40760 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 168.90.89.35 port 50888 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 218.92.0.191 port 40760 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for share from 191.43.12.85 port 35904 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 107.170.20.247 port 42771 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 188.131.166.98 port 45944 ssh2

"show netstat" muestra muchas SSH conexiones en varios estados de conexión:

2020-10-22 04:18:35.238 -0700 --- netstat
tcp 40 0 67.109.26.210:22 218.92.0.191:19919 CLOSE_WAIT 15305/sshd
tcp 23 0 205.158.104.17:22 163.172.101.48:55226 ESTABLISHED 15630/sshd
tcp 40 0 205.158.104.26:22 222.186.180.130:64031 CLOSE_WAIT 14690/sshd
tcp 1 0 205.158.104.15:22 103.238.69.138:36270 CLOSE_WAIT 14860/sshd
tcp 1 0 205.158.104.12:22 211.193.58.225:59800 CLOSE_WAIT 14887/sshd
tcp 40 0 205.158.104.16:22 222.186.180.130:41087 CLOSE_WAIT 14698/sshd
tcp 1 0 205.158.104.28:22 113.53.238.195:37006 CLOSE_WAIT 15225/sshd
tcp 1 0 205.158.104.30:22 186.47.213.34:39554 CLOSE_WAIT 15112/sshd
tcp 1 0 205.158.104.28:22 211.108.168.106:32882 CLOSE_WAIT 15490/sshd

Environment

Palo Alto Firewall .
Cualquier PAN-OS archivo .
GlobalProtect ( GP ) Puerta de enlace o Portal configurado.
Una interfaz configurada para GP asignado con el perfil de administración que lo SSH permite.

Cause

El firewall tiene un perfil de administración de interfaz que permite el acceso que se asigna a la interfaz del plano SSH de datos que aloja el portal GlobalProtect y/o la puerta de enlace
Muchos usuarios y programas basados en Internet están intentando acceder al firewall uso a través del público expuesto del Portal y la Puerta de SSH IP Globalprotect Enlace, lo que aumenta la carga del plano de administración para atender esas solicitudes.

Resolution

Quite el SSH acceso desde el perfil de administración asignado a la puerta de enlace o portal de hospedaje GlobalProtect de interfaz. Esto se puede hacer GUI bajo: Perfiles de red > de red > interfaz Mgmt > (seleccione el perfil y desmarque) SSH
Haga OK clic y confirme los cambios de configuración.

Additional Information