SSH DPI

SSHディープパケットインスペクション(以下、SSH DPI)機能でSSHトラフィックを復号・暗号化し、脅威対策ソリューションで高度な脅威、ボット、その他のマルウェアから保護することが可能です。

SSHディープパケットインスペクション(DPI)は、R81.10.05からR81.10にかけてのQuantum Sparkアライメントの一部として統合されました。

SSH DPIを使用すると、以下の内容を実行できます。

  • SSH攻撃をブロックする

  • SFTPプロトコルを介したウイルスの送信をブロックする

  • SSH/SFTPサーバのブルートフォースパスワード解析を防止する

  • SSHポート転送の危険な利用を防止する

  • SSG/SFTP接続時に「password」などの単純なパスワードの使用を防止する

  • 脆弱な暗号の使用を防止する

  • 脆弱なSSHクライアントやサーバの使用を防止する

  • SSH以外のプロトコルでポート22の使用を防止する

- 現在、以下のブレードはサポートされています。アンチウイルス閉じた ThreatCloudによるリアルタイムのウイルスシグネチャとアノマリ型の保護を利用する、セキュリティゲートウェイに搭載されたCheck Point Software Blade。ユーザが影響を受ける前に、セキュリティゲートウェイでマルウェアを検知およびブロックします。頭字語:AVとIPS。

重要 - SSH DPIはデフォルトで無効になっています。

現在のSSH DPIステータスを確認するには

  1. セキュリティゲートウェイ閉じた トラフィックを検査し、接続されたネットワークリソースに対してセキュリティポリシーを適用するために、Check Pointソフトウェアを実行するCheck Point専用サーバ。のコマンドラインに接続します。

  2. エキスパートモードにログインします:

    expert

  3. 現在のSSH DPIステータスを確認閉じた トラフィックやファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザはアクティビティの許可を承認できます。します:

    cpssh_config istatus

SSH DPIを有効にするには

- SSH DPIはデフォルトで無効になっています。

  1. SmartConsole閉じた セキュリティポリシーの設定、デバイスの設定、製品やイベントの監視、アップデートのインストールなど、Check Point環境を管理するためのCheck Point GUIアプリケーション。]>[セキュリティゲートウェイ]で、アンチウイルスとIPS Software Bladeを有効にして、[OK]をクリックします。

  2. SSHサーバ(Linuxベースのサーバの場合、通常は/etc/ssh/ssh_host_rsa_key.pubまたは/pfrm2.0/etc/ssh_rsa_host_key.pubにある)から公開鍵をセキュリティゲートウェイにコピーします(例: /home/admin)。

  3. セキュリティゲートウェイのコマンドラインに接続します。

  4. エキスパートモードにログインします:

    expert

  5. セキュリティゲートウェイで実行します:

    cpssh_config -s -g <IP_Address_or_FQDN_of_SSH_Server> -e </Path/To/Public_Key_File_of_SSH_Server>

    場所:

    • <IP_Address_or_FQDN_of_SSH_Server>は、SSHサーバのIPアドレスまたはFQDN(例: my_ssh_server.com)です。

    • </Path/To/Public_Key_File_of_SSH_Server>は、SSHサーバの公開鍵ファイルへのセキュリティゲートウェイ上のパス(例: /home/admin/ssh_host _rsa_key.pub)です。

  6. セキュリティゲートウェイでSSH DPIを有効にします:

    cpssh_config ion

  7. SmartConsoleで、セキュリティゲートウェイオブジェクトに脅威対策ポリシーをインストールします。

または、Security Gateway CLIで次を実行します: fw fetch local

-

ローカル管理モードで次を実行します: fw_configload

SFWDデーモンを再起動します:

sfwd_restart

SSH DPIを無効にするには

  1. セキュリティゲートウェイのコマンドラインに接続します。

  2. エキスパートモードにログインします:

    expert

  3. SSH DPIを無効にします:

    cpssh_config ioff

SSHの公開鍵を表示するには

  1. セキュリティゲートウェイのコマンドラインに接続します。

  2. エキスパートモードにログインします:

    expert

  3. SSHの公開鍵を確認します:

    cpssh_config -v -s

カーネルデバッグを収集するには

  1. セキュリティゲートウェイのコマンドラインに接続します。

  2. エキスパートモードにログインします:

    expert

  3. カーネルデバッグオプションを設定します:

    1. fw ctl debug 0

    2. fw ctl debug -buf 8200

    3. fw ctl debug -m fw + cpsshi

    4. fw ctl debug -m CPSSH all

  4. カーネルデバッグオプションを確認します:

    1. fw ctl debug -m fw

    2. fw ctl debug -m CPSSH

  5. 問題を再現します。

  6. カーネルデバッグを開始します:

    fw ctl debug -T -f &>/storage/debug.log

  7. カーネルデバッグを停止します:

    [CTRL+C]キーを押します。

  8. カーネルデバッグオプションを無効にします:

    fw ctl debug 0

  9. デバッグ出力を取得します:

    /storage/debug.log