SSH DPI
你可以使用SSH深度包检测
UserCheck规则操作允许流量和文件进入内部网络并记录它们。(“SSH DPI”)功能解密和加密SSH流量,并让威胁防护解决方案防御高级威胁、机器人和其他恶意软件。
SSH深度包检测(DPI)功能已被整合到Quantum Spark R81.10中(从R81.10.05版本开始提供)。
你可使用SSH DPI进行下列操作:
-
阻止SSH攻击
-
阻止
UserCheck规则操作可阻止流量和文件并显示UserCheck消息。通过SFTP协议的病毒传播。 -
防止暴力破解SSH/SFTP服务器的密码。
-
防止危险使用SSH端口转发
-
防止连接到SSG/SFTP时使用"password"之类的简单密码。
-
防止使用安全性能差的加密技术
-
防止使用安全性能差的SSH客户端和服务器
-
防止为SSH以外的协议使用22号端口
|
|
说明- 目前支持以下刀片:防病毒 |
|
|
重要提示- SSH DPI 默认为禁用状态。 |
要查看当前 SSH DPI 状态:
-
连接到安全网关
专用的Check Point服务器运行Check Point软件来检查流量并为连接的网络资源实施安全策略。的命令行。 -
登录到专家模式:
expert -
检查当前的SSH DPI状态:
cpssh_config istatus
要启用 SSH DPI:
|
|
说明- SSH DPI默认为禁用状态。 |
-
在SmartConsole
Check Point GUI应用程序用于管理Check Point环境 - 配置安全策略、配置设备、监控产品和事件、安装更新等。 > 安全网关中,启用防病毒和IPS软件刀片,然后单击确定。 -
将公钥从你的SSH服务器(在基于Linux的服务器上,通常位于/etc/ssh/ssh_host_rsa_key.pub或/pfrm2.0/etc/ssh_rsa_host_key.pub)复制到安全网关的某个目录(例如:/home/admin)。
-
连接到安全网关的命令行。
-
登录到专家模式:
expert -
在安全网关上运行:
cpssh_config -s -g <IP_Address_or_FQDN_of_SSH_Server> -e </Path/To/Public_Key_File_of_SSH_Server>位置:
-
IP_Address_or_FQDN_of_SSH_Server > 是SSH服务器的IP地址或FQDN(例如: my_ssh_server.com )。
-
/Path/To/Public_Key_File_of_SSH_Server > 是安全网关上从SSH服务器到公钥文件的路径(例如: /home/admin/ssh_host_rsa_key.pub )
-
-
在安全网关上启用SSH DPI:
cpssh_config ion -
在SmartConsole中,在安全网关对象上安装威胁预防策略。
或者,在安全网关CLI上运行:fw fetch local
|
|
内部说明 - 在本地管理模式下,运行: |
重启SFWD守护程序:
sfwd_restart
要禁用SSH DPI:
-
连接到安全网关的命令行。
-
登录到专家模式:
expert -
禁用SSH DPI:
cpssh_config ioff
显示SSH公钥:
-
连接到安全网关的命令行。
-
登录到专家模式:
expert -
检查SSH公钥:
cpssh_config -v -s
收集内核调试:
-
连接到安全网关的命令行。
-
登录到专家模式:
expert -
配置内核调试选项:
-
fw ctl debug 0 -
fw ctl debug -buf 8200 -
fw ctl debug -m fw + cpsshi -
fw ctl debug -m CPSSH all
-
-
检查内核调试选项:
-
fw ctl debug -m fw -
fw ctl debug -m CPSSH
-
-
复制该问题。
-
启动内核调试:
fw ctl debug -T -f &>/storage/debug.log -
停止内核调试:
按CTRL+C
-
禁用内核调试选项:
fw ctl debug 0 -
获取调试输出:
/storage/debug.log