SSH DPI

SSHディープパケットインスペクション（「SSH DPI」）機能を使用してSSHトラフィックを復号および暗号化し、脅威対策ソリューションに高度な脅威、ボット、その他のマルウェアから保護させることができます。

SSHディープパケットインスペクション（DPI）は、R81.10.05からR81.10にかけてのQuantum Sparkアライメントの一部として統合されました。

SSH DPIを使用すると、以下の内容を実行できます。

• SSH攻撃をブロック トラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。する

• SFTPプロトコルを介したウイルスの送信をブロックする

• SSH/SFTPサーバのブルートフォースパスワード解析を防止する

• SSHポート転送の危険な利用を防止する

• SSG/SFTP接続時に「password」などの単純なパスワードの使用を防止する

• 脆弱な暗号の使用を防止する

• 脆弱なSSHクライアントやサーバの使用を防止する

• SSH以外のプロトコルでポート22の使用を防止する

注- 現在、以下のブレードがサポートされています：アンチウイルス セキュリティゲートウェイ上のCheck Point Software Bladeは、リアルタイムのウイルスシグネチャとThreatCloudからの異常ベースの保護を使用して、ユーザが影響を受ける前にセキュリティゲートウェイでマルウェアを検出してブロックします。略語：AV。とIPS。

重要- SSH DPIはデフォルトで無効になっています。

現在のSSH DPIのステータスを確認する：

1. Security Groupでコマンドラインに接続します。

2. エキスパートモードにログインします:

   expert

3. 現在のSSH DPIステータスを確認 トラフィックとファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザは、活動を許可することに同意することができます。します:

   cpssh_config istatus

SSH DPIを有効にする：

注- SSH DPIはデフォルトで無効になっています。

1. ［SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。］>［セキュリティゲートウェイ トラフィックを検査し、接続されたネットワークリソースに対してセキュリティポリシーを適用するために、Check Pointソフトウェアを実行するCheck Point専用サーバ。］で、アンチウイルスとIPS Software Bladeを有効にして、［OK］をクリックします。

2. SSHサーバ（Linuxベースのサーバの場合、通常は/etc/ssh/ssh_host_rsa_key.pubまたは/pfrm2.0/etc/ssh_rsa_host_key.pubにある）から公開鍵をセキュリティゲートウェイにコピーします（例: /home/admin）。

3. Security Groupでコマンドラインに接続します。

4. エキスパートモードにログインします:

   expert

5. セキュリティゲートウェイで実行します:

   cpssh_config -s -g <IP_Address_or_FQDN_of_SSH_Server> -e </Path/To/Public_Key_File_of_SSH_Server>

   各変数の意味は以下のとおりです。

   • <IP_Address_or_FQDN_of_SSH_Server>は、SSHサーバのIPアドレスまたはFQDN（例： my_ssh_server.com）です。

   • </Path/To/Public_Key_File_of_SSH_Server>は、SSHサーバの公開鍵ファイルへのセキュリティゲートウェイ上のパス（例: /home/admin/ssh_host _rsa_key.pub）です。

6. セキュリティゲートウェイでSSH DPIを有効にします:

   cpssh_config ion

7. SmartConsoleで、セキュリティゲートウェイオブジェクトに脅威対策ポリシーをインストールします。

または、セキュリティゲートウェイ CLIで以下を実行します：fw fetch local

注 - ローカル管理モードで実行する：fw_configload

SFWDデーモンを再起動します:

sfwd_restart

SSH DPIを無効にするには

1. Security Groupでコマンドラインに接続します。

2. エキスパートモードにログインします:

   expert

3. SSH DPIを無効にします:

   cpssh_config ioff

SSHの公開鍵を表示するには

1. Security Groupでコマンドラインに接続します。

2. エキスパートモードにログインします:

   expert

3. SSHの公開鍵を確認します:

   cpssh_config -v -s

カーネルデバッグを収集するには

1. Security Groupでコマンドラインに接続します。

2. エキスパートモードにログインします:

   expert

3. カーネルデバッグオプションを設定します:

   1. fw ctl debug 0

   2. fw ctl debug -buf 8200

   3. fw ctl debug -m fw + cpsshi

   4. fw ctl debug -m CPSSH all

4. カーネルデバッグオプションを確認します:

   1. fw ctl debug -m fw

   2. fw ctl debug -m CPSSH

5. 問題を再現します。

6. カーネルデバッグを開始します:

   fw ctl debug -T -f &>/storage/debug.log

7. カーネルデバッグを停止します:

   ［CTRL+C］キーを押します。

8. カーネルデバッグオプションを無効にします:

   fw ctl debug 0

9. デバッグ出力を取得します:

   /storage/debug.log