Bloquear el acceso del usuario
Una vez detectado un ataque, Workload Security puede detener el ataque bloqueando el acceso del usuario al sistema de archivos. El acceso se puede bloquear automáticamente, mediante Directivas de respuesta automática o manualmente desde las páginas de alerta o de detalles del usuario.
Al bloquear el acceso de los usuarios, debe definir un período de tiempo de bloqueo. Una vez finalizado el período de tiempo seleccionado, el acceso del usuario se restaura automáticamente. El bloqueo de acceso es compatible tanto con los protocolos SMB como NFS.
El usuario está bloqueado directamente para las direcciones SMB e IP de los equipos host que provocan el ataque se bloqueará para NFS. Esas direcciones IP de la máquina no podrán acceder a ninguna de las máquinas virtuales de almacenamiento (SVM) supervisadas por Workload Security.
Por ejemplo, pongamos por caso que Workload Security gestiona 10 SVM y que la política de respuesta automática está configurada para cuatro de esos SVM. Si el ataque se origina en una de las cuatro SVM, el acceso del usuario se bloqueará en las 10 SVM. Se sigue utilizando una snapshot en la SVM de origen.
Si hay cuatro SVM con una SVM configurada para SMB, una configurada para NFS y los dos restantes configurados para NFS y SMB, todas las SVM se bloquearán si el ataque se origina en cualquiera de las cuatro SVM.
Requisitos previos para bloqueo de acceso del usuario
Se necesitan credenciales para que esta función funcione.
Si utiliza credenciales de administración del clúster, no es necesario contar con permisos nuevos.
Si utiliza un usuario personalizado (por ejemplo, csuser) con permisos proporcionados al usuario, siga los pasos que se indican a continuación para otorgar permisos a Workload Security para bloquear al usuario.
Para csuser con credenciales de clúster, haga lo siguiente desde la línea de comandos ONTAP:
security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all
Asegúrese de revisar la sección Permisos de la "Configurar el recopilador de datos de SVM de ONTAP" página también.
¿Cómo se habilita la función?
-
En Seguridad de carga de trabajo, vaya a Seguridad de carga de trabajo > Políticas > Políticas de respuesta automatizada. Seleccione +Política de ataque.
-
Seleccione (marque) Block User File Access.
¿Cómo configurar el bloqueo automático de acceso de usuario?
-
Cree una nueva directiva de ataque o edite una directiva de ataque existente.
-
Seleccione las SVM en las que debe supervisarse la política de ataque.
-
Haga clic en la casilla de verificación “Bloquear acceso a archivo de usuario”. La función se activará cuando se seleccione esta opción.
-
En “Time Period” (período de tiempo), seleccione la hora hasta la que se debe aplicar el bloqueo.
-
Para probar el bloqueo automático de usuarios, puede simular un ataque a través de una "guión simulado".
¿Cómo saber si hay usuarios bloqueados en el sistema?
-
En la página de listas de alertas, se mostrará un banner en la parte superior de la pantalla en caso de que se bloquee cualquier usuario.
-
Al hacer clic en el banner, se abre la página “usuarios”, donde se puede ver la lista de usuarios bloqueados.
-
En la página “Users” (usuarios), hay una columna llamada “User/IP Access” (acceso de usuario/IP). En esa columna, se mostrará el estado actual del bloqueo de usuario.
Restringir y administrar el acceso de los usuarios manualmente
-
Puede ir a la pantalla de detalles de alerta o de usuario y, a continuación, bloquear o restaurar manualmente a un usuario desde dichas pantallas.
Historial de limitación de acceso del usuario
En la página de detalles de alerta y detalles de usuario, en el panel de usuario, puede ver una auditoría del historial de limitación de acceso del usuario: Tiempo, Acción (bloqueo, desbloqueo), duración, acción realizada por, IP manuales/automáticas y afectadas para NFS.
¿Cómo deshabilitar la función?
Es posible deshabilitar la función en cualquier momento. Si hay usuarios restringidos en el sistema, primero debe restaurar su acceso.
-
En Seguridad de carga de trabajo, vaya a Seguridad de carga de trabajo > Políticas > Políticas de respuesta automatizada. Seleccione +Política de ataque.
-
Desactive (desactive) Bloquear acceso a archivos de usuario.
La operación se ocultará de todas las páginas.
Restaurar manualmente las IP para NFS
Siga estos pasos para restaurar manualmente cualquier IP desde ONTAP si finaliza la prueba de seguridad de la carga de trabajo o si el agente/recopilador está inactivo.
-
Enumere todas las políticas de exportación de una SVM.
contrail-qa-fas8020::> export-policy rule show -vserver <svm name> Policy Rule Access Client RO Vserver Name Index Protocol Match Rule ------------ --------------- ------ -------- --------------------- --------- svm0 default 1 nfs3, cloudsecure_rule, never nfs4, 10.11.12.13 cifs svm1 default 4 cifs, 0.0.0.0/0 any nfs svm2 test 1 nfs3, cloudsecure_rule, never nfs4, 10.11.12.13 cifs svm3 test 3 cifs, 0.0.0.0/0 any nfs, flexcache 4 entries were displayed.
-
Elimine las reglas en todas las directivas de la SVM que tengan “cloudsecure_rule” como Client Match especificando su respectivo RuleIndex. La regla de seguridad de la carga de trabajo suele estar en 1.
contrail-qa-fas8020::*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1 . Asegúrese de que se elimine la regla de seguridad de la carga de trabajo (paso opcional para confirmar).
contrail-qa-fas8020::*> export-policy rule show -vserver <svm name> Policy Rule Access Client RO Vserver Name Index Protocol Match Rule ------------ --------------- ------ -------- --------------------- --------- svm0 default 4 cifs, 0.0.0.0/0 any nfs svm2 test 3 cifs, 0.0.0.0/0 any nfs, flexcache 2 entries were displayed.
Restaurar manualmente usuarios para SMB
Siga estos pasos para restaurar manualmente cualquier usuario de ONTAP si finaliza la prueba de seguridad de la carga de trabajo o si el agente/recopilador está inactivo.
Puede obtener la lista de usuarios bloqueados en Workload Security desde la página de lista de usuarios.
-
Inicie sesión en el clúster de ONTAP (donde desea desbloquear los usuarios) con las credenciales del clúster admin. (Para Amazon FSX, inicie sesión con las credenciales de FSX).
-
Ejecute el siguiente comando para enumerar todos los usuarios bloqueados por Workload Security for SMB en todas las SVM:
vserver name-mapping show -direction win-unix -replacement " "
Vserver: <vservername> Direction: win-unix Position Hostname IP Address/Mask -------- ---------------- ---------------- 1 - - Pattern: CSLAB\\US040 Replacement: 2 - - Pattern: CSLAB\\US030 Replacement: 2 entries were displayed.
En la salida anterior, se bloquearon 2 usuarios (US030, US040) con el dominio CSLAB.
-
Una vez que identificamos la posición de la salida anterior, ejecute el siguiente comando para desbloquear al usuario:
vserver name-mapping delete -direction win-unix -position <position> . Confirme que los usuarios no están bloqueados mediante la ejecución del comando:
vserver name-mapping show -direction win-unix -replacement " "
No se deben mostrar entradas para los usuarios bloqueados anteriormente.
Resolución de problemas
Problema | Pruebe esto |
---|---|
Algunos de los usuarios no se están restringiendo, aunque hay un ataque. |
1. Asegúrese de que el recopilador de datos y el agente de las SVM están en estado Running. Workload Security no podrá enviar comandos si se detienen el recopilador de datos y el agente. 2. Esto se debe a que el usuario puede haber accedido al almacenamiento desde una máquina con una nueva IP que no se ha utilizado antes. La restricción ocurre mediante la dirección IP del host a través del cual el usuario accede al almacenamiento. Compruebe en la interfaz de usuario (Detalles de alerta > Historial de limitación de acceso para este usuario > IP afectadas) la lista de direcciones IP restringidas. Si el usuario accede al almacenamiento desde un host con una IP diferente a las IP restringidas, el usuario podrá seguir accediendo al almacenamiento a través de la IP sin restricciones. Si el usuario intenta acceder desde los hosts cuyas IP están restringidas, no se podrá acceder al almacenamiento. |
Al hacer clic manualmente en restringir acceso se proporciona “las direcciones IP de este usuario ya han sido restringidas”. |
La dirección IP que se va a restringir ya está restringida a otro usuario. |
No se ha podido modificar la política. Motivo: No está autorizado para ese comando. |
Compruebe si está utilizando csuser, los permisos se conceden al usuario como se ha mencionado anteriormente. |
El bloqueo del usuario (dirección IP) para NFS funciona, pero para SMB / CIFS, aparece un mensaje de error: “Error de la transformación de SID a DomainName. Motivo de tiempo de espera: No se ha establecido el socket” |
Esto puede suceder es csuser no tiene permiso para realizar ssh. (Asegúrese de conexión a nivel de clúster y, a continuación, asegúrese de que el usuario pueda realizar ssh). el rol csuser requiere estos permisos. https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blocking Para csuser con credenciales de cluster, realice lo siguiente desde la línea de comandos de ONTAP: Security login role create -role csrole -CMdirname «vserver export-policy rule» -access all security login role create -role csrole -CMdirname set -access all security login role create -role csrole ONTAP |
Estoy recibiendo el mensaje de error SID translate failed. REASON:255:Error: Comando fallido: No autorizado para ese comando Error: “Access-check” no es un comando reconocido, cuando un usuario debería haber sido bloqueado. |
Esto puede suceder cuando csuser no tiene los permisos correctos. Consulte "Requisitos previos para bloqueo de acceso del usuario" para obtener más información. Después de aplicar los permisos, se recomienda reiniciar el recopilador de datos de ONTAP y el recopilador de datos del directorio de usuarios. A continuación se muestran los comandos de permiso necesarios. ---- security login role create -role csrole -cmddirname «vserver export-policy rule» -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname «vserver cifs session» -access all security login role create -role csrole -cmddirname «vserver services access-check authentication translate» -access all security login role create -role csrole -cmdirname «vserver name-mapping» -access all ---- |