https://live.paloaltonetworks.com/t5/%E5%85%AC%E5%85%B1%E5%B8%82%E5%A0%B4%E5%90%91%E3%81%91%E6%83%85%E5%A0%B1/ssh-bruteforce%E6%94%BB%E6%92%83%E3%81%97%E3%81%A6%E3%81%8D%E3%81%9Fip%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%82%92%E8%87%AA%E5%8B%95%E7%9A%84%E3%81%AB%E5%AD%A6%E7%BF%92%E3%81%97%E3%81%A6%E9%98%B2%E5%BE%A1%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95-%E8%87%AA%E5%8B%95%E3%82%BF%E3%82%B0%E6%A9%9F%E8%83%BD%E3%81%AE%E6%B4%BB%E7%94%A8/ta-p/207324 <DIV class="lia-message-template-content-zone"><P>　サイバー攻撃の被害は、マルウェア感染がよく取り上げられますが、古典的なBruteForce攻撃による被害も少なくなくありません。特に大学では、学内で様々な研究活動が行われ、様々なインターネットの利用が行われてるため、インターネットアクセスに対するアクセス制限は企業ほど厳しくできないため、運用的にも苦慮しているケースが多いです。例えば、各学部にて研究者などが研究用のLinuxなどのサーバーを立てて、外部からアクセスさせたり、踏み台にするケースが多々あります。学内でプライベートIPアドレスを利用している場合には、インターネット接続しているファイアウォールにてスタティックNATなどの設定が必要ですが、学内もグローバルIPアドレスを利用している大学では、インターネットとの接続ファイアウォールで明示的にインターネットからのssh(TCP/22)を閉じていない限り、インターネットからssh接続可能となります。</P> <P>　一方、インターネットからはsshのBruteForce攻撃は常時来ています。大学の基盤センターで運用しているサーバについては管理できますが、各学部で立てられるサーバーのセキュリティ対策についてまでは十分な管理ができず、そのサーバーのユーザID/パスワードの設定がデフォルト設定のままだったり、パスワードが甘いと、そのサーバーが乗っ取られ、そのサーバーを踏み台にして内部への更なる侵入や、そのサーバーを踏み台として外部への攻撃が行われてしまいます。</P> <P>&nbsp;</P> <P>　PAシリーズの脅威防御機能にて、sshのBruteForce攻撃を検知して、その通信をブロックすることは可能です。しかし、もしBruteForce攻撃が成功し、パスワードが盗まれてしまうと、その後は正常なssh通信になり、脅威防御機能での検知はできなくなります。そうなると、乗っ取られたサーバー管理者が気づかない限り、長期に渡りサーバーが乗っ取られた状態となってしまいます。</P> <P>&nbsp;　この問題の1つの対処方法として、PAN-OS 8.0からサポートされたログ転送機能での自動タグ付けアクションが活用できます。この機能を使えば、sshなどのBruteForce攻撃を1回でもしてきたIPアドレスにタグをつけ、そのタグの付いたIPアドレスからのssh通信を自動的にブロックすることができます。要はブラックリストを自動的に生成してくれるわけです。</P> <P>&nbsp;</P> <P>　具体的な設定としては以下のようにします。（以下のタグやグループの名前は例であり、何でも結構です）</P> <P>&nbsp;</P> <OL> <LI>タグの作成<BR />"BruteForceDetectHost"というタグを作成します。（Object→タグのメニュー）</LI> <LI>動的アドレスグループの作成<BR />"DenySSHAccess"というアドレスグループ（タイプはダイナミック）を作成します。このアドレスグループの"条件の追加"で、"BruteForceDetectHost"のタグを追加します。（Object→アドレスグループのメニュー）</LI> <LI>ログ転送プロファイルの設定<BR />ログ転送プロファイルで、sshのBruteForce攻撃の検知ログ（脅威ID: 40015）の発生時のタグ付けアクションとして、発信元IPアドレスに対して"BruteForceDetectHost"というタグを付与する設定を行います。（Object→ログ転送のメニュー）</LI> <LI>自動タグを付与するためのセキュリティルールの設定<BR />インターネットから学内へのアクセス許可するセキュリティルールに脆弱性防御プロファイルと上記で設定したログ転送プロファイルを適応します。</LI> <LI>ssh通信をブロックするセキュリティルールの設定<BR />ファイアウォールのセキュリティルールにて、送信元アドレスに"DenySSHAccess"、アプリケーションにsshを設定し、アクションをdenyとしてルールを追加します。このルールは通常の学外からのアクセスを許可するセキュリティルールよりも上位に設定する必要があります。</LI> </OL> <P>上記の設定を行うことで、インターネットからBruteForce攻撃が1度でも検出されたIPアドレスからのsshアクセスは自動的に遮断する動作とすることができます。（※一時的にssh BruteForce攻撃をしてきたIPアドレスからの通信を一定時間の間、全遮断させるだけであれば自動タグアクション機能を使わなくとも、脅威防御機能のアクションにて「Block IP」で可能です。）</P> <P>&nbsp;</P> <P>　また、自動的に付与されたタグの情報はGUIやCLIで確認可能です。GUIでは以下のように確認できます。</P> <P>&nbsp;</P> <P><span class="lia-inline-image-display-wrapper lia-image-align-inline" image-alt="address-group-dynamic.png" style="width: 800px;"><img src="https://live.paloaltonetworks.com/t5/image/serverpage/image-id/14457iC9E79CA9B53857B6/image-size/large/is-moderation-mode/true?v=v2&amp;px=999" role="button" title="address-group-dynamic.png" alt="address-group-dynamic.png" /></span></P> <P>&nbsp;</P> <P>　尚、この自動的に付与されたタグはタイマー制御などで自動的に消す機能はありません。つまり、一度でもBruteForce攻撃として検知されたIPアドレスは管理者が操作しない限りはタグが付いたままです。その場合の問題点として、万が一正当なユーザが何らかの原因で複数回パスワード入力を失敗し、BruteForce攻撃ではないIPアドレスにタグがつけられてしまう場合です。その場合、管理者が手動でタグを削除可能ですが、管理者の運用負担を増やしてしまいます。その解決方法のアイデアとしては、自動タグ付けアクションはタグを削除する機能もサポートされています。ですので、例えば、タグを外したいIPアドレスに対して学内からPingを打つと、その宛先IPアドレスのタグを自動的に削除するアクションが可能です。この機能を使うことで、万が一、誤判定でBruteForceDetectHostのタグを付けられてしまった場合でも、研究者などネットワーク利用者が該当するIPアドレスに対してPingを打つことで、そのタグを自身で削除することが可能な仕組みも作れます。</P> <P>&nbsp;</P> <P>その他、自動タグ付け機能を利用することで、トラフィックや脅威を検知したクライアントやサーバーに対しての動的なポリシー変更が可能です。これらの機能を活用することで、運用負担をあげずに、サイバー攻撃からの脅威を低減させることが可能です。ぜひご検討ください。</P> </DIV> Wed, 09 May 2018 04:23:54 GMT khayakawa 2018-05-09T04:23:54Z https://live.paloaltonetworks.com/t5/%E5%85%AC%E5%85%B1%E5%B8%82%E5%A0%B4%E5%90%91%E3%81%91%E6%83%85%E5%A0%B1/ssh-bruteforce%E6%94%BB%E6%92%83%E3%81%97%E3%81%A6%E3%81%8D%E3%81%9Fip%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%82%92%E8%87%AA%E5%8B%95%E7%9A%84%E3%81%AB%E5%AD%A6%E7%BF%92%E3%81%97%E3%81%A6%E9%98%B2%E5%BE%A1%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95-%E8%87%AA%E5%8B%95%E3%82%BF%E3%82%B0%E6%A9%9F%E8%83%BD%E3%81%AE%E6%B4%BB%E7%94%A8/ta-p/207324 <DIV class="lia-message-template-content-zone"><P>　サイバー攻撃の被害は、マルウェア感染がよく取り上げられますが、古典的なBruteForce攻撃による被害も少なくなくありません。特に大学では、学内で様々な研究活動が行われ、様々なインターネットの利用が行われてるため、インターネットアクセスに対するアクセス制限は企業ほど厳しくできないため、運用的にも苦慮しているケースが多いです。例えば、各学部にて研究者などが研究用のLinuxなどのサーバーを立てて、外部からアクセスさせたり、踏み台にするケースが多々あります。学内でプライベートIPアドレスを利用している場合には、インターネット接続しているファイアウォールにてスタティックNATなどの設定が必要ですが、学内もグローバルIPアドレスを利用している大学では、インターネットとの接続ファイアウォールで明示的にインターネットからのssh(TCP/22)を閉じていない限り、インターネットからssh接続可能となります。</P> <P>　一方、インターネットからはsshのBruteForce攻撃は常時来ています。大学の基盤センターで運用しているサーバについては管理できますが、各学部で立てられるサーバーのセキュリティ対策についてまでは十分な管理ができず、そのサーバーのユーザID/パスワードの設定がデフォルト設定のままだったり、パスワードが甘いと、そのサーバーが乗っ取られ、そのサーバーを踏み台にして内部への更なる侵入や、そのサーバーを踏み台として外部への攻撃が行われてしまいます。</P> <P>&nbsp;</P> <P>　PAシリーズの脅威防御機能にて、sshのBruteForce攻撃を検知して、その通信をブロックすることは可能です。しかし、もしBruteForce攻撃が成功し、パスワードが盗まれてしまうと、その後は正常なssh通信になり、脅威防御機能での検知はできなくなります。そうなると、乗っ取られたサーバー管理者が気づかない限り、長期に渡りサーバーが乗っ取られた状態となってしまいます。</P> <P>&nbsp;　この問題の1つの対処方法として、PAN-OS 8.0からサポートされたログ転送機能での自動タグ付けアクションが活用できます。この機能を使えば、sshなどのBruteForce攻撃を1回でもしてきたIPアドレスにタグをつけ、そのタグの付いたIPアドレスからのssh通信を自動的にブロックすることができます。要はブラックリストを自動的に生成してくれるわけです。</P> <P>&nbsp;</P> <P>　具体的な設定としては以下のようにします。（以下のタグやグループの名前は例であり、何でも結構です）</P> <P>&nbsp;</P> <OL> <LI>タグの作成<BR />"BruteForceDetectHost"というタグを作成します。（Object→タグのメニュー）</LI> <LI>動的アドレスグループの作成<BR />"DenySSHAccess"というアドレスグループ（タイプはダイナミック）を作成します。このアドレスグループの"条件の追加"で、"BruteForceDetectHost"のタグを追加します。（Object→アドレスグループのメニュー）</LI> <LI>ログ転送プロファイルの設定<BR />ログ転送プロファイルで、sshのBruteForce攻撃の検知ログ（脅威ID: 40015）の発生時のタグ付けアクションとして、発信元IPアドレスに対して"BruteForceDetectHost"というタグを付与する設定を行います。（Object→ログ転送のメニュー）</LI> <LI>自動タグを付与するためのセキュリティルールの設定<BR />インターネットから学内へのアクセス許可するセキュリティルールに脆弱性防御プロファイルと上記で設定したログ転送プロファイルを適応します。</LI> <LI>ssh通信をブロックするセキュリティルールの設定<BR />ファイアウォールのセキュリティルールにて、送信元アドレスに"DenySSHAccess"、アプリケーションにsshを設定し、アクションをdenyとしてルールを追加します。このルールは通常の学外からのアクセスを許可するセキュリティルールよりも上位に設定する必要があります。</LI> </OL> <P>上記の設定を行うことで、インターネットからBruteForce攻撃が1度でも検出されたIPアドレスからのsshアクセスは自動的に遮断する動作とすることができます。（※一時的にssh BruteForce攻撃をしてきたIPアドレスからの通信を一定時間の間、全遮断させるだけであれば自動タグアクション機能を使わなくとも、脅威防御機能のアクションにて「Block IP」で可能です。）</P> <P>&nbsp;</P> <P>　また、自動的に付与されたタグの情報はGUIやCLIで確認可能です。GUIでは以下のように確認できます。</P> <P>&nbsp;</P> <P><span class="lia-inline-image-display-wrapper lia-image-align-inline" image-alt="address-group-dynamic.png" style="width: 800px;"><img src="https://live.paloaltonetworks.com/t5/image/serverpage/image-id/14457iC9E79CA9B53857B6/image-size/large/is-moderation-mode/true?v=v2&amp;px=999" role="button" title="address-group-dynamic.png" alt="address-group-dynamic.png" /></span></P> <P>&nbsp;</P> <P>　尚、この自動的に付与されたタグはタイマー制御などで自動的に消す機能はありません。つまり、一度でもBruteForce攻撃として検知されたIPアドレスは管理者が操作しない限りはタグが付いたままです。その場合の問題点として、万が一正当なユーザが何らかの原因で複数回パスワード入力を失敗し、BruteForce攻撃ではないIPアドレスにタグがつけられてしまう場合です。その場合、管理者が手動でタグを削除可能ですが、管理者の運用負担を増やしてしまいます。その解決方法のアイデアとしては、自動タグ付けアクションはタグを削除する機能もサポートされています。ですので、例えば、タグを外したいIPアドレスに対して学内からPingを打つと、その宛先IPアドレスのタグを自動的に削除するアクションが可能です。この機能を使うことで、万が一、誤判定でBruteForceDetectHostのタグを付けられてしまった場合でも、研究者などネットワーク利用者が該当するIPアドレスに対してPingを打つことで、そのタグを自身で削除することが可能な仕組みも作れます。</P> <P>&nbsp;</P> <P>その他、自動タグ付け機能を利用することで、トラフィックや脅威を検知したクライアントやサーバーに対しての動的なポリシー変更が可能です。これらの機能を活用することで、運用負担をあげずに、サイバー攻撃からの脅威を低減させることが可能です。ぜひご検討ください。</P> </DIV> Wed, 09 May 2018 04:23:54 GMT https://live.paloaltonetworks.com/t5/%E5%85%AC%E5%85%B1%E5%B8%82%E5%A0%B4%E5%90%91%E3%81%91%E6%83%85%E5%A0%B1/ssh-bruteforce%E6%94%BB%E6%92%83%E3%81%97%E3%81%A6%E3%81%8D%E3%81%9Fip%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%82%92%E8%87%AA%E5%8B%95%E7%9A%84%E3%81%AB%E5%AD%A6%E7%BF%92%E3%81%97%E3%81%A6%E9%98%B2%E5%BE%A1%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95-%E8%87%AA%E5%8B%95%E3%82%BF%E3%82%B0%E6%A9%9F%E8%83%BD%E3%81%AE%E6%B4%BB%E7%94%A8/ta-p/207324 khayakawa 2018-05-09T04:23:54Z https://live.paloaltonetworks.com/t5/%E5%85%AC%E5%85%B1%E5%B8%82%E5%A0%B4%E5%90%91%E3%81%91%E6%83%85%E5%A0%B1/ssh-bruteforce%E6%94%BB%E6%92%83%E3%81%97%E3%81%A6%E3%81%8D%E3%81%9Fip%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%82%92%E8%87%AA%E5%8B%95%E7%9A%84%E3%81%AB%E5%AD%A6%E7%BF%92%E3%81%97%E3%81%A6%E9%98%B2%E5%BE%A1%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95-%E8%87%AA%E5%8B%95%E3%82%BF%E3%82%B0%E6%A9%9F%E8%83%BD%E3%81%AE%E6%B4%BB%E7%94%A8/tac-p/331377#M7 <P>PAN-OS 9.0からAutoTagにタイマー機能が追加され、メンテナンスフリーでAutoTag機能が利用できるようになります。また、Monitor機能でも「IP-Tag」というメニューが追加され、AutoTagでTagが付与された日時やTagが付与されたIPアドレスが簡単に確認できるようになっています。是非お試しください！</P> Wed, 03 Jun 2020 13:54:35 GMT https://live.paloaltonetworks.com/t5/%E5%85%AC%E5%85%B1%E5%B8%82%E5%A0%B4%E5%90%91%E3%81%91%E6%83%85%E5%A0%B1/ssh-bruteforce%E6%94%BB%E6%92%83%E3%81%97%E3%81%A6%E3%81%8D%E3%81%9Fip%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%82%92%E8%87%AA%E5%8B%95%E7%9A%84%E3%81%AB%E5%AD%A6%E7%BF%92%E3%81%97%E3%81%A6%E9%98%B2%E5%BE%A1%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95-%E8%87%AA%E5%8B%95%E3%82%BF%E3%82%B0%E6%A9%9F%E8%83%BD%E3%81%AE%E6%B4%BB%E7%94%A8/tac-p/331377#M7 khayakawa 2020-06-03T13:54:35Z