CPU試みによる高い管理平面 SSH
12266
Created On 11/25/20 21:25 PM - Last Modified 03/26/21 18:48 PM
Symptom
- Firewall GUI CPUダッシュボード ページで高い割合の読み込みを示しています
- "システム リソースのフォローを示す " は、高い" 負荷平均" または高いCPU値を示しています
mp-monitor.log 2020-10-22 12:54:02* Cpu(s): 11.7%us, 4.1%sy, 0.1%ni, 83.8%id, 0.1%wa, 0.0%hi, 0.2%si, 0.0%st
mp-monitor.log 2020-10-22 12:57:00* Cpu(s): 11.8%us, 4.1%sy, 0.1%ni, 83.8%id, 0.1%wa, 0.0%hi, 0.2%si, 0.0%st
mp-monitor.log 2020-10-22 13:00:00* Cpu(s): 11.8%us, 4.1%sy, 0.1%ni, 83.8%id, 0.1%wa, 0.0%hi, 0.2%si, 0.0%st
mp-monitor.log 2020-10-22 12:54:02* top - 12:54:01 up 54 days, 18:00, 1 user, load average: 15.35, 11.06, 10.59
mp-monitor.log 2020-10-22 12:57:00* top - 12:57:00 up 54 days, 18:03, 1 user, load average: 20.39, 13.85, 11.66
mp-monitor.log 2020-10-22 13:00:00* top - 13:00:00 up 54 days, 18:06, 1 user, load average: 10.83, 13.85, 12.13この場合、 CPU 高くはありませんが、負荷平均は1分、5分、および15分の負荷が上昇したことを示しています - これらの数字は CPU 、それぞれの間隔の間に待機しているプロセスの平均数を表します。(この特定の例では、これに4つの管理プレーンコアがあります firewall - これは平均して4コアによってサービスを受けるために待っている10-20のプロセスがあることを示しています)。数値が大きいほど、 firewall 多くの要求を受信している可能性があります。
- "モニタ -> システム" ログには SSH 、パブリック アドレスからのログイン試行の失敗回数が多く IP 表示されます (これは 1 秒あたりの接続数が多くなります)
2020/10/22 12:57:31 medium general general 0 Failed password for root from 218.92.0.191 port 40760 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 168.90.89.35 port 50888 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 218.92.0.191 port 40760 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for share from 191.43.12.85 port 35904 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 107.170.20.247 port 42771 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 188.131.166.98 port 45944 ssh2
- "show netstat" は SSH 、さまざまな接続状態で多数の接続を示しています。
2020-10-22 04:18:35.238 -0700 --- netstat
tcp 40 0 67.109.26.210:22 218.92.0.191:19919 CLOSE_WAIT 15305/sshd
tcp 23 0 205.158.104.17:22 163.172.101.48:55226 ESTABLISHED 15630/sshd
tcp 40 0 205.158.104.26:22 222.186.180.130:64031 CLOSE_WAIT 14690/sshd
tcp 1 0 205.158.104.15:22 103.238.69.138:36270 CLOSE_WAIT 14860/sshd
tcp 1 0 205.158.104.12:22 211.193.58.225:59800 CLOSE_WAIT 14887/sshd
tcp 40 0 205.158.104.16:22 222.186.180.130:41087 CLOSE_WAIT 14698/sshd
tcp 1 0 205.158.104.28:22 113.53.238.195:37006 CLOSE_WAIT 15225/sshd
tcp 1 0 205.158.104.30:22 186.47.213.34:39554 CLOSE_WAIT 15112/sshd
tcp 1 0 205.158.104.28:22 211.108.168.106:32882 CLOSE_WAIT 15490/sshdEnvironment
- パロ アルト Firewall .
- 任意 PAN-OS の .
- GlobalProtect ( GP ) ゲートウェイまたはポータルが構成されている。
- GP許可する管理プロファイルを割り当て済みとして構成されたインターフェイス SSH 。
Cause
- firewallには、 SSH ポータルまたはゲートウェイをホストするデータプレーン インターフェイスに割り当てられたアクセスを許可するインターフェイス管理プロファイルがあります GlobalProtect 。
- 多くのインターネットベースのユーザーやプログラムは firewall SSH 、ポータルとゲートウェイの公開パブリックを介して使用にアクセスしようとしており IP Globalprotect 、それによってそれらの要求にサービスを提供するために管理プレーンのロードを増やしています。
Resolution
- SSHゲートウェイまたはポータルをホストするインターフェイスに割り当てられている管理プロファイルからアクセスを削除 GlobalProtect します。 これは、 : GUI ネットワーク > ネットワーク プロファイル> インターフェイス Mgmt > (プロファイルを選択してオフ SSH にする) で実行できます。
- []をクリックOKして、構成の変更をコミットします。
Additional Information
管理アクセスのセキュリティ保護に関するベスト プラクティスを参照
してください。HTTP HTTPS 、、Telnet、または SSH ポータルまたはゲートウェイを設定したインターフェイスを許可するインターフェイス管理プロファイルを使用しないでください GlobalProtect 。 "