Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Bloquear el acceso del usuario

05/17/2024 Colaboradores

PDF

Una vez detectado un ataque, Workload Security puede detener el ataque bloqueando el acceso del usuario al sistema de archivos. El acceso se puede bloquear automáticamente, mediante Directivas de respuesta automática o manualmente desde las páginas de alerta o de detalles del usuario.

La seguridad de carga de trabajo no está disponible en la edición federal de Cloud Insights.

Al bloquear el acceso de los usuarios, debe definir un período de tiempo de bloqueo. Una vez finalizado el período de tiempo seleccionado, el acceso del usuario se restaura automáticamente. El bloqueo de acceso es compatible tanto con los protocolos SMB como NFS.

El usuario está bloqueado directamente para las direcciones SMB e IP de los equipos host que provocan el ataque se bloqueará para NFS. Esas direcciones IP de la máquina no podrán acceder a ninguna de las máquinas virtuales de almacenamiento (SVM) supervisadas por Workload Security.

Por ejemplo, pongamos por caso que Workload Security gestiona 10 SVM y que la política de respuesta automática está configurada para cuatro de esos SVM. Si el ataque se origina en una de las cuatro SVM, el acceso del usuario se bloqueará en las 10 SVM. Se sigue utilizando una snapshot en la SVM de origen.

Si hay cuatro SVM con una SVM configurada para SMB, una configurada para NFS y los dos restantes configurados para NFS y SMB, todas las SVM se bloquearán si el ataque se origina en cualquiera de las cuatro SVM.

Requisitos previos para bloqueo de acceso del usuario

Se necesitan credenciales para que esta función funcione.

Si utiliza credenciales de administración del clúster, no es necesario contar con permisos nuevos.

Si utiliza un usuario personalizado (por ejemplo, csuser) con permisos proporcionados al usuario, siga los pasos que se indican a continuación para otorgar permisos a Workload Security para bloquear al usuario.

Para csuser con credenciales de clúster, haga lo siguiente desde la línea de comandos ONTAP:

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

Asegúrese de revisar la sección Permisos del "Configurar el recopilador de datos de SVM de ONTAP" página también.

¿Cómo se habilita la función?

En Seguridad de carga de trabajo, vaya a Seguridad de carga de trabajo > Políticas > Políticas de respuesta automatizada. Seleccione +Política de ataque.
Seleccione (marque) Block User File Access.

¿Cómo configurar el bloqueo automático de acceso de usuario?

Cree una nueva directiva de ataque o edite una directiva de ataque existente.
Seleccione las SVM en las que debe supervisarse la política de ataque.
Haga clic en la casilla de verificación “Bloquear acceso a archivo de usuario”. La función se activará cuando se seleccione esta opción.
En “Time Period” (período de tiempo), seleccione la hora hasta la que se debe aplicar el bloqueo.
Para probar el bloqueo automático del usuario, puede simular un ataque a través de un "guión simulado".

¿Cómo saber si hay usuarios bloqueados en el sistema?

En la página de listas de alertas, se mostrará un banner en la parte superior de la pantalla en caso de que se bloquee cualquier usuario.
Al hacer clic en el banner, se abre la página “usuarios”, donde se puede ver la lista de usuarios bloqueados.
En la página “Users” (usuarios), hay una columna llamada “User/IP Access” (acceso de usuario/IP). En esa columna, se mostrará el estado actual del bloqueo de usuario.

Restringir y administrar el acceso de los usuarios manualmente

Puede ir a la pantalla de detalles de alerta o de usuario y, a continuación, bloquear o restaurar manualmente a un usuario desde dichas pantallas.

Historial de limitación de acceso del usuario

En la página de detalles de alerta y detalles de usuario, en el panel de usuario, puede ver una auditoría del historial de limitación de acceso del usuario: Tiempo, Acción (bloqueo, desbloqueo), duración, acción realizada por, IP manuales/automáticas y afectadas para NFS.

¿Cómo deshabilitar la función?

Es posible deshabilitar la función en cualquier momento. Si hay usuarios restringidos en el sistema, primero debe restaurar su acceso.

En Seguridad de carga de trabajo, vaya a Seguridad de carga de trabajo > Políticas > Políticas de respuesta automatizada. Seleccione +Política de ataque.
Desactive (desactive) Bloquear acceso a archivos de usuario.

La operación se ocultará de todas las páginas.

Restaurar manualmente las IP para NFS

Siga estos pasos para restaurar manualmente cualquier IP desde ONTAP si finaliza la prueba de seguridad de la carga de trabajo o si el agente/recopilador está inactivo.

Enumere todas las políticas de exportación de una SVM.

contrail-qa-fas8020::> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0        default         1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm1        default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2        test            1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm3        test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
4 entries were displayed.

Elimine las reglas en todas las directivas de la SVM que tengan “cloudsecure_rule” como Client Match especificando su respectivo RuleIndex. La regla de seguridad de la carga de trabajo suele estar en 1.

 contrail-qa-fas8020::*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1
. Asegúrese de que se elimine la regla de seguridad de la carga de trabajo (paso opcional para confirmar).

contrail-qa-fas8020::*> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0         default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2         test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
2 entries were displayed.

Restaurar manualmente usuarios para SMB

Siga estos pasos para restaurar manualmente cualquier usuario de ONTAP si finaliza la prueba de seguridad de la carga de trabajo o si el agente/recopilador está inactivo.

Puede obtener la lista de usuarios bloqueados en Workload Security desde la página de lista de usuarios.

Inicie sesión en el clúster de ONTAP (donde desea desbloquear los usuarios) con las credenciales del clúster admin. (Para Amazon FSX, inicie sesión con las credenciales de FSX).

Ejecute el siguiente comando para enumerar todos los usuarios bloqueados por Workload Security for SMB en todas las SVM:

vserver name-mapping show -direction win-unix -replacement " "

Vserver:   <vservername>
Direction: win-unix
Position Hostname         IP Address/Mask
-------- ---------------- ----------------
1       -                 -                   Pattern: CSLAB\\US040
                                         Replacement:
2       -                 -                   Pattern: CSLAB\\US030
                                         Replacement:
2 entries were displayed.

En la salida anterior, se bloquearon 2 usuarios (US030, US040) con el dominio CSLAB.

Una vez que identificamos la posición de la salida anterior, ejecute el siguiente comando para desbloquear al usuario:

 vserver name-mapping delete -direction win-unix -position <position>
. Confirme que los usuarios no están bloqueados mediante la ejecución del comando:

vserver name-mapping show -direction win-unix -replacement " "

No se deben mostrar entradas para los usuarios bloqueados anteriormente.

Resolución de problemas

Problema	Pruebe esto
Algunos de los usuarios no se están restringiendo, aunque hay un ataque.	1. Asegúrese de que el recopilador de datos y el agente de las SVM se encuentran en el estado running. Workload Security no podrá enviar comandos si se detienen el recopilador de datos y el agente. 2. Esto se debe a que el usuario puede haber accedido al almacenamiento desde una máquina con una IP nueva que no se ha usado antes. La restricción ocurre mediante la dirección IP del host a través del cual el usuario accede al almacenamiento. Compruebe en la interfaz de usuario (Detalles de alerta > Historial de limitación de acceso para este usuario > IP afectadas) la lista de direcciones IP restringidas. Si el usuario accede al almacenamiento desde un host con una IP diferente a las IP restringidas, el usuario podrá seguir accediendo al almacenamiento a través de la IP sin restricciones. Si el usuario intenta acceder desde los hosts cuyas IP están restringidas, no se podrá acceder al almacenamiento.
Al hacer clic manualmente en restringir acceso se proporciona “las direcciones IP de este usuario ya han sido restringidas”.	La dirección IP que se va a restringir ya está restringida a otro usuario.
No se ha podido modificar la política. Motivo: No está autorizado para ese comando.	Compruebe si está utilizando csuser, los permisos se conceden al usuario como se ha mencionado anteriormente.
El bloqueo del usuario (dirección IP) para NFS funciona, pero para SMB / CIFS, aparece un mensaje de error: “Error de la transformación de SID a DomainName. Motivo de tiempo de espera: No se ha establecido el socket”	Esto puede suceder es csuser no tiene permiso para realizar ssh. (Asegúrese de conexión a nivel de clúster y, a continuación, asegúrese de que el usuario pueda realizar ssh). el rol csuser requiere estos permisos. https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blockingPara csuser con credenciales de clúster, haga lo siguiente desde la línea de comandos de ONTAP: security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role create -role csrole -role -role -dirrole -dirname "vserver services access security" Role create -role csrole -cmddirname "vserver name-mapping" -access all If csuser no se utiliza y si se usa el usuario administrador a nivel de clúster, asegúrese de que el usuario administrador tenga permiso ssh para ONTAP.

Problema

Pruebe esto

Algunos de los usuarios no se están restringiendo, aunque hay un ataque.

1. Asegúrese de que el recopilador de datos y el agente de las SVM se encuentran en el estado running. Workload Security no podrá enviar comandos si se detienen el recopilador de datos y el agente. 2. Esto se debe a que el usuario puede haber accedido al almacenamiento desde una máquina con una IP nueva que no se ha usado antes. La restricción ocurre mediante la dirección IP del host a través del cual el usuario accede al almacenamiento. Compruebe en la interfaz de usuario (Detalles de alerta > Historial de limitación de acceso para este usuario > IP afectadas) la lista de direcciones IP restringidas. Si el usuario accede al almacenamiento desde un host con una IP diferente a las IP restringidas, el usuario podrá seguir accediendo al almacenamiento a través de la IP sin restricciones. Si el usuario intenta acceder desde los hosts cuyas IP están restringidas, no se podrá acceder al almacenamiento.

Al hacer clic manualmente en restringir acceso se proporciona “las direcciones IP de este usuario ya han sido restringidas”.

La dirección IP que se va a restringir ya está restringida a otro usuario.

No se ha podido modificar la política. Motivo: No está autorizado para ese comando.

Compruebe si está utilizando csuser, los permisos se conceden al usuario como se ha mencionado anteriormente.

El bloqueo del usuario (dirección IP) para NFS funciona, pero para SMB / CIFS, aparece un mensaje de error: “Error de la transformación de SID a DomainName. Motivo de tiempo de espera: No se ha establecido el socket”

Esto puede suceder es csuser no tiene permiso para realizar ssh. (Asegúrese de conexión a nivel de clúster y, a continuación, asegúrese de que el usuario pueda realizar ssh). el rol csuser requiere estos permisos. https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blockingPara csuser con credenciales de clúster, haga lo siguiente desde la línea de comandos de ONTAP: security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role create -role csrole -role -role -dirrole -dirname "vserver services access security" Role create -role csrole -cmddirname "vserver name-mapping" -access all If csuser no se utiliza y si se usa el usuario administrador a nivel de clúster, asegúrese de que el usuario administrador tenga permiso ssh para ONTAP.