IBM Support

QRadar: QRadar 7.2.5 以降におけるトンネルと SSH の問題のトラブルシューティング

Troubleshooting


Problem

この技術文書ではホスト接続の暗号化「トンネル」と、Console がホストへのトンネル作成を妨げる SSH 接続のトラブルシューティングを行う方法や、トラブルシューティングの tips について説明します。

Cause

Quick Links:

Resolving The Problem


QRadar の暗号化接続「トンネル」について


QRadar Console で管理対象ホストと通信するために使用されるすべてのポートは、トンネルを使用して暗号化できます。Console と管理対象ホストの間の接続は TCP ポート 22 を使用して SSH 経由で行われます。QRadar は暗号化アプライアンスと非暗号化アプライアンスの両方をデプロイメント内で Console に接続することができます。Console と管理対象ホストの間の通信を暗号化するための設定は、システムおよびライセンス管理の画面の管理タブにあります。管理対象ホストは、デプロイメント・オプションを使用して QRadar で追加または編集されるため、アプライアンスのロケーションに応じて暗号化のオプションを選択できます。


セキュリティーの理由から、管理対象ホストから Console に SSH トンネルをセットアップすることはできませんが、Console から管理対象ホストに SSH トンネルをセットアップすることはできます。管理対象ホストの公開鍵は、Console の許可済みキー・ファイルには追加されません。これらの SSH セッションは、Console から開始され、管理対象ホストにデータを提供します。例えば、QRadar Console は、Event Processor アプライアンスにセキュア通信のための複数の SSH セッションを開始することができます。この通信には、HTTPS データのためのポート 443 や Ariel クエリー・データのためのポート 32006 のような SSH を使用したトンネル化されたポートが含めることができます。QRadar QFlow Collecotor は、データを必要とする Flow Processor アプライアンスへの SSH セッションを開始できます。

トンネルを使用することで QRadar にレイヤーが追加され、パフォーマンスに影響を与えます。閉じたネットワークの場合、トンネルは最適な解決策ではないかもしれません。これらを必要とし、追加できない場合に、これらのいずれかの状態であるかを確認するには、以下の提案を参照してください。

注 : 管理対象ホスト間で SSH 接続はできません。 SSH セッションは Console から発信されるか root パスワードが必要です。 QRadar では、セキュリティ・プロトコルの一部として自由に管理対象ホスト間でユーザーの自由な移動を防ぐために IP テーブルが構成されています。これは意図されたものです。例外として、QFlow から Flow Processor への SSH を行えるようにする必要があります。QFlow は Flow Processor にトンネルを作成し、通信にそれを使用します。

どのメッセージが QRadar にトンネル問題があることをを示しますか


以下のエラー・テキストに類似したエラー・メッセージは /var/log/qradar.log で確認できます。

127.0.0.1 [ProcessMonitor] com.q1labs.hostcontext.processmonitor.ProcessManager: [ERROR] [NOT:0150114103][192.0.2.10/- -] [-/- -]Setup process setuptunnel.host_104tunnelrdate has failed to start for 276 intervals. Continuing to try to start..

QRadar-3100 [QRadar] [3330] qflow0: [WARNING] Lost connection to 192.0.2.10:32010


Console から管理対象ホストへの SSH 接続の確認


次の例は、リモート・ホストへの SSH や telnet の試行時に何が表示されるかを示しています。SSH や telnet を使用することは、トンネル接続が想定通りに機能していることを確認するのに適しています。

  1. 初回の SSH 接続の成功
    この例は、初回の試行で SSH 接続が成功した場合にどのようになるかを確認できます。最初の接続で RSA 鍵を受け入れるようにプロンプトが表示されることが分かります。

    [root@Console-1]# ssh 192.0.2.11
    The authenticity of host '192.0.2.11 (192.0.2.11)' can't be established.
    RSA key fingerprint is bd:36:16:a8:00:2a:c9:56:6d:e2:26:eb:8d:66:3f:d5.
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added '192.0.2.11' (RSA) to the list of known hosts.
    This server was upgraded to QRadar 7.2.6.20151107134559 on Thu Apr 14 21:42:58 EDT 2016.

     
  2. ネットワークがブロックされていない場合の SSH バナー
    [root@Console-1 ~]# telnet 192.0.2.11 22
    Trying 192.0.2.11...
    Connected to 192.0.2.11.
    Escape character is '^]'.SSH-2.0-OpenSSH_5.3


トンネルを確立できない場合の SSH 接続のトラブルシューティング


以下の例では、QRadar 内のトンネル接続が妨げられる場合のワークアラウンドの概要を示します。

  1. 管理対象トンネル鍵ディレクトリー (Console のみ)
    トンネルがアプライアンス間で正しく作成されている場合、Console には、暗号化されたホストごとに 1 つの鍵が必要です。例では、システムをレビューして、各ホストにキーがあり、その所有権がで定義されているものであることを判別できます。

    /store/configservices/staging/globalconfig/ssh_public_keys/
    [root@Console-1 ~]# ls -al /store/configservices/staging/globalconfig/ssh_public_keys/
    drwxr-xr-x 2 nobody nobody 62 May 2 20:19 .
    rwxrwxr-x 9 nobody nobody 24576 May 3 10:10 ..
    -rw-r--r-- 1 nobody nobody 406 May 2 18:25 Console_key
    -rw-r--r-- 1 nobody nobody 409 May 2 18:27 host_103_key
    rw-r--r-- 1 nobody nobody 409 May 2 20:19 host_104_key

     
  2. /root/.ssh/i<> ディレクトリーの権限の確認 (Console と管理対象ホスト)
    .ssh ディレクトリーに対する権限は 700 で、ディレクトリー内のファイルの権限は 600 にする必要があります。 Console アプライアンスおよび管理対象ホストの場合、レビューするファイルは /root/.ssh ディレクトリーにあります。 管理者は、/root/.ssh/ ディレクトリーおよび SSH ファイルに対する権限を確認し、修正します。

    [root@Console-1 .ssh]# ls -la .ssh/
    total 24
    drwx------ 2 root root 4096 May 2 18:35 .
    dr-xr-x---. 4 root root 4096 May 2 18:38 ..
    -rw------- 1 root nobody 426 May 2 18:35 authorized_keys
    -rw------- 1 root nobody 1675 May 2 18:25 id_rsa
    -rw------- 1 root nobody 406 May 2 18:25 id_rsa.pub
    -rw------- 1 root root 788 May 2 18:25 known_hosts

    ワークアラウンド
    権限が正しくない場合、次のとおり権限を更新してください。

    [root@Console-1~]# chmod 700 /root/.ssh
    [root@Console-1~]# chmod 600 /root/.ssh/*

     
  3. 管理対象ホストに Console の公開鍵ファイルが存在することの確認
    Console の id_rsa.pub がリモート・ホストの /root/.ssh/authorized_keys にない、またはローカルの公開 / 秘密鍵がない場合、 SSH セッションはパスワードを要求します。 許可された鍵が欠落しているために、このパスワードが要求されるとトンネルの正しい作成が妨げられることがあります。

    [root@Console-1 ~]# ssh 192.0.2.11
    root@192.0.2.11's password:

    7.2.5 以降
    - SSH public key login from managed hosts to the Console is no longer automatic.
    - SSH public key login from a QFlow to a Flow Processor is still automatic.

    ワークアラウンド
    Consoles id_rsa.pub の内容をリモート・ホストの ~/ssh/authorized_keys の末尾に手動で追記します。
    : id_rsa.pub from the Console is in /root
    cat /root/id_rsa.pub >> /root/.ssh/authorized_keys

    注 :Console's id_rsa.pub/root/.ssh ディレクトリーにコピーしないでください。ファイルは authorized_keys に存在する必要があります。

     
  4. /root/.ssh/known_hosts のリモート・ホストの SSH 公開鍵が正しくない
    公開鍵が正しくない場合は、 SSH 接続を確立できない原因になる可能性があります。 標準の SSH セッションを確立できない場合、トンネルを使用して管理対象ホストを追加しようとすると、正常に追加されないことがあります。次の情報は、既知の SSH ホストの問題を確認する方法の概要です。

    次の例では、Console から管理対象ホストへの標準 SSH セッションを開こうとしていますが、 known_hosts リストにキーが見つからないため、完了できません。


    [root@QRadar-3100 .ssh]# ssh 192.168.0.77
    Last login: Tue May 3 16:32:30 2016 from 192.168.0.75
    This server was upgraded to QRadar 7.2.6.20151107134559 on Thu Apr 7 16:05:15 EDT 2016
    with patch 7.2.6.20160405164932 applied on Mon Apr 11 14:00:17 EDT 2016

    [root@Qradar726-1201 ~]# ssh 192.168.0.76
    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
    @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @@@
    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
    IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
    Someone could be eavesdropping on you right now (man-in-the-middle attack)!
    It is also possible that the RSA host key has just been changed.
    The fingerprint for the RSA key sent by the remote host is
    bd:36:16:a8:00:2a:c9:56:6d:e2:26:eb:8d:66:3f:d5.
    Please contact your system administrator.
    Add correct host key in /root/.ssh/known_hosts to get rid of this message.
    Offending key in /root/.ssh/known_hosts:2
    RSA host key for 192.168.0.76 has changed and you have requested strict checking.
    Host key verification failed.

    説明
    'Offending key in /root/.ssh/known_hosts: 2' のエラー・メッセージは、 known_hosts ファイル内の行 #2 が正しくないことを管理者に示します。 管理者は、フィンガープリントを比較できます。

    ワークアラウンド
    次のコマンドとファイル・エディターを使用して、行 #2 を訂正または除去することができます。 行 #2 が訂正または除去された後、SSH を使用して known_hosts リストを更新するプロンプトを表示するか、キーが訂正された場合には、プロンプトを出さずに SSH セッションを確立することによって、接続を試行することができます。 あるいは、ssh-keygen -R コマンドを使用して、問題のあるホストの IP を除去することもできます。

    オプション
    1) Type vim ~/.ssh/known_hosts
        Type     sed -i '`2d' ~/.ssh/known_hosts
        Where the number 2 is the offending line.
    2) Type ssh-keygen -R <IP of host>
     

     


トンネルされた接続が可能であるかを確認するための SSH の接続性の確認

SSH 接続を作成しようとすると、ネットワークの問題、 NIC 構成の問題、ファイアウォール構成の問題、ネットワーク内にダウンしているホストを示すエラー・メッセージが表示されます。

  1. SSH が応答していないか、ネットワーク・デバイス (ファイアウォール) によってパケットがドロップされた
    [root@QRadar-3100 ~]# telnet Qradar726-1201 22
    Trying 192.168.0.77...
    telnet: connect to address 192.168.0.77: Connection timed out.

    説明
    考えられる症状は、 NIC インターフェース、スイッチ・ポート、または LAN ケーブルの問題です。 管理者に問い合わせて、正常に機能していることを確認してください。

     
  2. SSH 接続が拒否されたか、ファイアウォールによってブロックされている
    [root@QRadar-3100 ~]# telnet Qradar726-1201 22
    Trying 192.168.0.77...
    telnet: connect to address 192.168.0.77: Connection refused.

    説明
    考えられる症状は、ファイアウォールがポート 22をブロックしています。ファイアウォール管理者に問い合わせて、ポート 22 が開いていることを確認してください。

     
  3. SSH の問題 'No route to host' または 'Host not available'
    [root@QRadar-3100 ~]# telnet Qradar726-1201 22|
    Trying 192.168.0.77...
    telnet: connect to address 192.168.0.77: No route to host

    説明
    考えられる症状は、ホストがダウンしています。 ホストがオンラインであることを、データ・センター管理者に確認してください。

     

[{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Operating System","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.2","Edition":"Advanced","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
14 September 2021

UID

ibm16415569

Page Feedback