SSHディープパケットインスペクション

SSH Deep Packet Inspection(以下、SSH DPI)機能でSSHトラフィックを復号・暗号化し、Threat Preventionソリューションで高度な脅威、ボット閉じた アンチウイルス機能を無効化し、サイバー犯罪者からの指示を受けるためにコマンド&コントロールセンターに接続し、指示を実行する悪質なソフトウェア。、その他のマルウェアから保護することが可能です。

:現在、これらのブレードはサポートされています。アンチウイルス閉じた セキュリティゲートウェイ上のCheck Point Software Bladeは、リアルタイムのウイルスシグネチャとThreatCloudからの異常ベースの保護を使用して、ユーザが影響を受ける前にセキュリティゲートウェイでマルウェアを検出してブロックします。頭字語:AV。IPS閉じた さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイ上のCheck Point Software Blade(侵入防止システム)。Threat Emulation閉じた セキュリティゲートウェイ上のCheck Point Software Bladeは、サンドボックス内のファイルの動作を監視して、悪意のあるファイルかどうかを判断します。頭字語:TE

SSH DPIアーキテクチャ

HTTPS インスペクションと同様に、SSH DPI は中間者(man-in-the-middle)として機能します。

SSH_CLIENT <=> Security Gateway <=> SSH_SERVER

:すべてのTCPトラフィックは、Security Gatewayを通過する必要があります。

セキュリティゲートウェイでSSHディープパケットインスペクションを有効にする

  1. Security Gateway の場合

    cpssh_config ion

  2. このコマンドを実行します。

    fw fetch local

    または、SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。にAccess Controlポリシーをインストールします。

セキュリティゲートウェイでSSHディープパケットインスペクションを無効にする

Security Gateway の場合

cpssh_config ioff

SSH DPI ステータスの表示

Security Gateway の場合

cpssh_config istatus

- すべてのssh検査設定は、Security Gatewayの再起動後に保存されます。

SSHディープパケットインスペクションの設定

検査済みSSHサーバの追加

- セキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。は、新しい公開鍵でサーバをクライアントに紹介します。

ステップ

手順

1

SSHサーバの公開鍵をSecurity Gatewayにコピーします。

- Linuxの場合、Security Gatewayのキーは/etc/ssh/ssh_host_rsa_key.pubです

2

Gateway上で、次のコマンドを実行します。

cpssh_config -s -g SERVER_NAME -e /PATH/TO/RSA/KEY/THAT/YOU/COPIED.pub

例:

sshサーバのホストがmy_ssh_server_host.com で、鍵を/home/admin/mykey.pub にコピーする場合、このコマンドを実行する必要があります。

cpssh_config -s -g my_ssh_server_host.com -e /home/admin/mykey.pub

3

追加するすべてのSSHサーバについて、手順1と2を繰り返します。

- セキュリティゲートウェイは、オリジナルの公開鍵でサーバをクライアントに紹介します。

ステップ

手順

1

SSHサーバの公開鍵、秘密鍵をSecurity Gatewayにコピーします。

注-SecurityGatewayのキーは以下の通りです。

  • /etc/ssh/ssh_host_rsa_key.pub

  • /etc/ssh/ssh_host_rsa_key

2

このコマンドを実行します。

cpssh_config -s -a <SERVER_NAME> -e </PATH/TO/RSA/KEY/THAT/YOU/COPIED>.pub -i </PATH/TO/RSA/PRIVATE_KEY/THAT/YOU/COPIED>.pub

例:

sshサーバのホストがmy_ssh_server_host.com で、鍵を/home/admin/mykey.pub にコピーする場合、このコマンドを実行する必要があります。

cpssh_config -s -a my_ssh_server_host.com -e /home/admin/mykey.pub -i /home/admin/mykey

3

追加するすべてのSSHサーバについて、手順1と2を繰り返します。

ステップ

手順

1

SmartConsoleで、Security GatewayオブジェクトのIPS Software Blade閉じた 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各Software Bladeがトラフィックの特定の特性を検査します (2) 管理サーバでは、各Software Bladeで異なる管理機能を使用できます。を有効にします。

2

対応するThreat Preventionポリシーで、IPS Software Bladeを有効にします。

3

Threat Prevention Policyをインストールします。

ステップ

手順

1

SmartConsoleで、Security GatewayオブジェクトのAnti-Virus Software Bladeを有効にします。

2

対応する脅威対策ポリシーで、アンチウイルスSoftware Bladeを有効にします。

3

Threat Prevention Policyをインストールします。

Security Gateway の場合

cpssh_config -w Global -y Port_fowarding_Enabled -u 0

ステップ

手順

1

SmartConsoleの右側のパネルから、Objects > Services を選択します。

2

TCP を右クリックし、NEW TCP を選択します。

3

新しいTCPサービスの名前を入力します。

  1. General > ProtocolSSH2として選択します。.

  2. Match By > Customize to new port を選択し、ポートを設定します。

    例: 22222

4

アクセスコントロールポリシーをインストールします。

SSHディープパケットインスペクションの設定

Security Gateway の場合

cpssh_config -q

Security Gateway の場合

cpssh_config -w KeyExchange

Security Gateway の場合

cpssh_config -w Cipher

Security Gateway の場合

cpssh_config -w Mac

Security Gateway の場合

cpssh_config -w Hostkey

Gatewayで、実行します。

cpssh_config -w Cipher -y <OPTION> -u <VALUE>

例えば、aes128-cbc を無効にする場合。

cpssh_config -w Cipher -y aes128-cbc -u 0

クライアント認証(鍵による認証 - パスワードなし)

ステップ

手順

1

SSHサーバを鍵による認証に設定する。

これは、クライアントからサーバに公開鍵をコピーすることで行われる(~/.ssh/authorized_keys/ )。

詳しくは、askubuntu.comをご覧ください。

2

SSH クライアントの公開鍵と秘密鍵 (mykey.pubmykey) を Security Gateway にコピーします。

3

SSH サーバの公開鍵 (serverkey.pub) を Security Gateway にコピーします。

4

このコマンドを実行します。

cpssh_config -c -a <admin_username>@<my_ssh_server> -e /home/admin/mykey.pub -l /home/admin/serverkey.pub -i /home/admin/mykey

各変数の意味は以下のとおりです。

  • admin_username はSSHサーバでのユーザ名

  • my_ssh_server はSSHサーバのIPアドレスの解決可能なホスト名

  • mykey.pubmykey はクライアントの鍵のペアです。

クラスタ

現在のところ、クラスタ閉じた 冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。ノード間の鍵の自動同期には対応していません。

鍵が追加されたクラスタメンバ上で、エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。で以下のコマンドを実行します。

cd $CPDIR

tar -cvvf ssh.tar ssh

scp ssh.tar admin@<IP_OF_OTHER_CLUSTER_MEMBER>:/tmp

他のクラスタメンバでは、エキスパートモードでこれらのコマンドを実行します。

mv /tmp/ssh.tar $CPDIR

mv ssh ssh_backuptar

tar -xvvf ssh.tar

killall -s HUP cpsshd

トラブルシューティング

telnet コマンドで SSH サーバに接続します。

出力には "SSH-2.0-cpssh" と表示されるはずです。

例:

$ telnet 172.23.43.29 22
Trying 172.23.43.29...
Connected to 172.23.43.29.
Escape character is '^]'.
SSH-2.0-cpssh

デバッギング

  1. カーネルデバッグモジュール"fw"のデバッグフラグ"cpsshi"を有効にします。

  2. カーネルデバッグモジュール "CPSSH" のすべてのデバッグフラグを有効にする。

デバッグの手順については、R81.10 Quantum Security Gateway Guide > ChapterKernel Debug on Security Gateway をご覧ください。

  1. このシェルスクリプトを作成し、実行します。

    #!/bin/sh
echo > $FWDIR/log/cpsshd.elg
for PROC in $(pidof cpsshd)
do
    fw debug $PROC on ALL=6
done
tail -f $FWDIR/log/cpsshd.elg

    出力を停止するには、CTRL+C キーを押してください。

  2. 問題を再現する、または問題が発生するのを待つ。

  3. このコマンドでユーザスペースログを無効化します。

    for PROC in $(pidof cpsshd) ; do fw debug $PROC off ALL=6 ; done

  4. ログファイルを調べる。

    $FWDIR/log/cpsshd.elg*