Avion de haute gestion CPU en raison de SSH tentatives

12274

Created On 11/25/20 21:25 PM - Last Modified 03/26/21 18:48 PM

Symptom

Firewall GUI affiche un pourcentage élevé CPU de chargement sur la page Tableau de bord
«afficher les ressources du systèmesuivre " montre élevé " moyenne decharge" et / ou élevé CPU

mp-monitor.log 2020-10-22 12:54:02* Cpu(s): 11.7%us, 4.1%sy, 0.1%ni, 83.8%id, 0.1%wa, 0.0%hi, 0.2%si, 0.0%st
mp-monitor.log 2020-10-22 12:57:00* Cpu(s): 11.8%us, 4.1%sy, 0.1%ni, 83.8%id, 0.1%wa, 0.0%hi, 0.2%si, 0.0%st
mp-monitor.log 2020-10-22 13:00:00* Cpu(s): 11.8%us, 4.1%sy, 0.1%ni, 83.8%id, 0.1%wa, 0.0%hi, 0.2%si, 0.0%st

mp-monitor.log 2020-10-22 12:54:02* top - 12:54:01 up 54 days, 18:00, 1 user, load average: 15.35, 11.06, 10.59
mp-monitor.log 2020-10-22 12:57:00* top - 12:57:00 up 54 days, 18:03, 1 user, load average: 20.39, 13.85, 11.66
mp-monitor.log 2020-10-22 13:00:00* top - 13:00:00 up 54 days, 18:06, 1 user, load average: 10.83, 13.85, 12.13

Dans ce cas, le CPU n’est pas élevé, mais les moyennes de charge montrent que le chargement de 1 minute, 5 minutes et 15 minutes est élevé - ces nombres représentent le nombre moyen de processus en attente d’un CPU pendant l’intervalle respectif.(Dans cet exemple particulier, il y a 4 noyaux de plan de gestion à ce sujet firewall - ce qui indique en moyenne qu’il y a 10-20 processus en attente d’être desservis par 4 cœurs).Les chiffres plus élevés indiquent firewall que le pourrait recevoir beaucoup de demandes.

Le journal "Monitor -> System" montre de nombreuses tentatives de SSH connexion ratées à partir d’adresses IP publiques (cela montre de nombreuses connexions par seconde)

2020/10/22 12:57:31 medium general general 0 Failed password for root from 218.92.0.191 port 40760 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 168.90.89.35 port 50888 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 218.92.0.191 port 40760 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for share from 191.43.12.85 port 35904 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 107.170.20.247 port 42771 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 188.131.166.98 port 45944 ssh2

«show netstat" montre de nombreuses SSH connexions dans différents états de connexion:

2020-10-22 04:18:35.238 -0700 --- netstat
tcp 40 0 67.109.26.210:22 218.92.0.191:19919 CLOSE_WAIT 15305/sshd
tcp 23 0 205.158.104.17:22 163.172.101.48:55226 ESTABLISHED 15630/sshd
tcp 40 0 205.158.104.26:22 222.186.180.130:64031 CLOSE_WAIT 14690/sshd
tcp 1 0 205.158.104.15:22 103.238.69.138:36270 CLOSE_WAIT 14860/sshd
tcp 1 0 205.158.104.12:22 211.193.58.225:59800 CLOSE_WAIT 14887/sshd
tcp 40 0 205.158.104.16:22 222.186.180.130:41087 CLOSE_WAIT 14698/sshd
tcp 1 0 205.158.104.28:22 113.53.238.195:37006 CLOSE_WAIT 15225/sshd
tcp 1 0 205.158.104.30:22 186.47.213.34:39554 CLOSE_WAIT 15112/sshd
tcp 1 0 205.158.104.28:22 211.108.168.106:32882 CLOSE_WAIT 15490/sshd

Environment

Palo Alto Firewall .
Tout PAN-OS .
GlobalProtect ( GP ) Passerelle ou portail configuré.
Une interface configurée pour GP attribué avec profil de gestion le permet SSH .

Cause

Le firewall dispose d’un profil de gestion de l’interface qui SSH permet l’accès qui est attribué à l’interface dataplane qui héberge GlobalProtect le portail et / ou passerelle
De nombreux utilisateurs et programmes basés sur Internet tentent d’accéder à firewall SSH l’utilisation via le public exposé du portail et IP de la Globalprotect passerelle, augmentant ainsi le chargement de l’avion de gestion pour répondre à ces demandes.

Resolution

Supprimez SSH l’accès du profil de gestion attribué à l’interface GlobalProtect hébergeant Gateway ou Portal. Cela peut être fait sous GUI : Network > Network Profiles > Interface Mgmt > (sélectionnez le profil et décochez) SSH
Cliquez OK et engagez les modifications de configuration.

Additional Information