NESTA PÁGINA
Visão geral do monitoramento das sessões de fluxo de segurança
Entender como obter informações de sessão para gateways de serviços da Série SRX
Exibindo parâmetros globais de sessão para todos os gateways de serviços da Série SRX
Exibindo um resumo das sessões para gateways de serviços da Série SRX
Exibição de informações de sessão e fluxo sobre sessões para gateways de serviços da Série SRX
Usando filtros para exibir informações de sessão e fluxo para gateways de serviços da Série SRX
Informações fornecidas em entradas de registro de sessão para gateways de serviços da Série SRX
Monitoramento de sessões de fluxo de segurança
Este tópico abrange informações para monitoramento, exibição e verificação de sessões de fluxo usando comandos de modo operacional. Assim, você pode depurar sem precisar comprometer ou modificar sua configuração em execução.
Visão geral do monitoramento das sessões de fluxo de segurança
O Junos OS permite configurar e iniciar o monitoramento de sessões de fluxo usando comandos de modo operacional. Assim, você pode depurar sem precisar comprometer ou modificar sua configuração em execução. Essa abordagem pode ser especialmente útil quando você não quer mudar o estado do seu dispositivo, comprometendo a configuração a ativar opções de rastreamento.
Para configurar o monitoramento da sessão de fluxo, você deve definir filtros de fluxo, especificar o arquivo de saída e começar a monitorar. O monitoramento da sessão de fluxo não começa a menos que um filtro (pelo menos um) e um arquivo de saída sejam especificados. Além disso, definir os próprios filtros não aciona o monitoramento. Você precisa usar explicitamente os comandos e monitor security flow stop os monitor security flow start comandos para habilitar e desativar o monitoramento, respectivamente.
Definir filtros de fluxo — Defina as sessões de fluxo que você deseja monitorar usando combinações de critérios de correspondência, como endereço de origem, endereço de destino, porta de origem, porta de destino, número de protocolo IP, nome da interface de entrada ou saída e o nome do sistema lógico. Você pode excluir filtros usando o
clear monitor security flow filtercomando.Nota:Ao contrário dos filtros definidos no modo de configuração, os filtros definidos usando comandos de modo operacional são liberados quando você reinicializa seu sistema.
Especifique o arquivo de saída — Crie um arquivo de saída no qual as informações de monitoramento do fluxo de segurança serão salvas. Este arquivo é salvo no
/var/log/diretório. Você pode visualizar o conteúdo deste arquivo usando oshow log filenamecomando. Use omonitor security flow filecomando para especificar características de arquivo de saída, como seu tamanho máximo, número máximo e tipo.Comece a monitorar — use o
monitor security flow startcomando para começar a monitorar. Assim que o monitoramento começa, qualquer tráfego que corresponda aos filtros é salvo no arquivo de saída especificado no/var/log/diretório. A bandeira de datapath básica é a bandeira padrão e é ativada conforme o monitoramento começa.Use o comando para parar o
monitor security flow stopmonitoramento. Assim que o monitoramento parar, a bandeira de datapath básica é liberada.Exibir informações de fluxo de monitoramento — use o
show monitoring security flowcomando para exibir detalhes sobre a operação de monitoramento.
Você pode configurar o monitoramento e a depuração da sessão de fluxo usando os comandos de modo operacional de monitoramento e as declarações de configuração de rastreamento de fluxo. Essas duas operações não podem ser executadas em paralelo. Quando você ativa o monitoramento do fluxo de segurança, a sessão de rastreamento de fluxo é bloqueada e, quando a sessão de rastreamento de fluxo está em execução, o monitoramento da sessão de fluxo é bloqueado.
Entender como obter informações de sessão para gateways de serviços da Série SRX
Você pode obter informações sobre as sessões e fluxos de pacotes ativos em seu dispositivo, incluindo informações detalhadas sobre sessões específicas. (O dispositivo da Série SRX também exibe informações sobre sessões com falha.) Você pode exibir essas informações para observar a atividade e para fins de depuração. Por exemplo, você pode usar o comando de sessão de fluxo de segurança show:
Para exibir uma lista de fluxos IP de entrada e saída, incluindo serviços
Para mostrar os atributos de segurança associados a um fluxo, por exemplo, as políticas aplicáveis ao tráfego pertencentes a esse fluxo
Para exibir o valor do tempo de sessão, quando a sessão ficou ativa, por quanto tempo ela está ativa e se houver tráfego ativo na sessão
Se um NAT de interface estiver configurado e sessões forem configuradas com o NAT usando esse endereço IP da interface, sempre que o endereço IP da interface mudar, as sessões configuradas com NAT serão atualizadas e novas sessões serão configuradas com novo endereço IP. Isso você pode verificar usando o show security flow session comando CLI.
As informações de sessão também podem ser registradas se uma configuração de política relacionada incluir a opção de registro. Para o log de sessão de fluxo em todos os dispositivos da Série SRX, a configuração de políticas foi aprimorada. Informações sobre o parâmetro de interface de entrada de pacotes no log de sessão para sessão init e fechamento de sessão e quando uma sessão é negada por uma política ou pelo firewall de aplicativo é fornecida para atender à conformidade dos Perfis de Proteção de Robustez Média (MRPP) dos Critérios Comuns (CC):
Configuração de política — para configurar a política para a sessão para a qual você deseja registrar correspondências como log session-init ou session-close registrar sessões em syslog:
set security policies from-zone untrustZone to-zone trust zone policy policy13 match source-address extHost1set security policies from-zone untrustZone to-zone trustZone policy policy13 match application junos-pingset security policies from-zone untrustZone to-zone trustZone policy policy13 then permitset security policies from-zone untrustZone to-zone trustZone policy policy13 then log session-initset security policies from-zone untrustZone to-zone trustZone policy policy13 then log session-close
Example : Política de correspondência de fluxo13 registrará as seguintes informações no log:
<14>1 2010-09-30T14:55:04.323+08:00 mrpp-srx550-dut0 1 RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2626.192.0.2.1.40 source-address="192.0.2.1" source-port="1" destino-endereço="198.51.100.12" destination-port="46384" service-name="icmp" nat-source-address="192.0,2,1" nat-source-port="1" nat-destination-address="198.51.100.12" nat-destination-port="46384" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="1" policy-name="policy1" source-zone-name="trustZone" destination-zone-name ="não confiávelZone" sessão-id-32="41" packet-incoming-interface="ge-0/0/1.0"] sessão criada 192.0.0.2.1/1 -- >198.51.100.12/46384 icmp 192.0.2.1/1-->198.51.100.12/46384 None None 1 policy1 trustZone não confiávelZone 41 ge-0/0/1.0
<14>1 2010-09-30T14:55:07.188+08:00 mrpp-srx550-dut RT_FLOW de 101 - RT_FLOW_SESSION_CLOSE [junos@2626.192.0.2.1.40 reason="response received" source-address="192.0.2.1" fonte-porta="1" destino-endereço="198.51.100.12" destination-port="46384" service-name="icmp" nat-source-address ="192.0.2.1" nat-source-port="1" nat-destination-address="198.51.100.12" nat-destination-port= "46384" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="1" policy-name="policy1" source-zone-name="trustZone" destination-zone-name="untrustZone" session-id-32="Pacotes de 41" de -client="1" bytes-from-client="84" packets-from-server="1" bytes-from-server="84" elapsed-time="0" packet-incoming-interface="ge-0/0/1.0 "] resposta fechada da sessão recebida: 192.0.2.1/1 -->198.51.100.12/46384 icmp 192.0.2.1/1-->198.51.100.12/46384 None None 1 policy1 trustZone não confiávelZone 41 1(84) 1(84) 0 ge-0/0/1.0
Exibindo parâmetros globais de sessão para todos os gateways de serviços da Série SRX
Propósito
Obtenha informações sobre parâmetros configurados que se aplicam a todos os fluxos ou sessões.
Ação
Para visualizar as informações da sessão na CLI, insira o seguinte comando:
user@host# show security flow
Significado
O show security flow comando de configuração exibe as seguintes informações:
allow-dns-reply— Identifica se são permitidos pacotes de resposta do Domain Name System (DNS) de entrada incomparáveis.route-change-timeout— Se habilitado, exibirá o valor do tempo de sessão a ser usado em uma mudança de rota para uma rota inexistente.tcp-mss— Mostra a configuração atual para o TCP valor máximo do tamanho do segmento a ser usado para todos os pacotes TCP para tráfego de rede.tcp-session— exibe todos os parâmetros configurados que controlam parâmetros de sessão.syn-flood-protection-mode— exibe o modo SYN Proxy.
Exibindo um resumo das sessões para gateways de serviços da Série SRX
Propósito
Determine os tipos de sessões em seu dispositivo, quantos de cada tipo existem — por exemplo, o número de sessões unicast e sessões multicast — o número de sessões com falha, o número de sessões usadas no momento e o número máximo de sessões que o dispositivo oferece suporte. Este comando também exibe os detalhes das sessões usadas no momento. Por exemplo, sessões válidas, sessões pendentes, sessões e sessões invalidadas em outros estados.
Ação
Para ver as informações do resumo da sessão na CLI, insira o seguinte comando CLI:
user@host> show security flow session summary
Exibição de informações de sessão e fluxo sobre sessões para gateways de serviços da Série SRX
Propósito
Exibir informações sobre todas as sessões em seu dispositivo, incluindo o ID de sessão, o sistema virtual a que a sessão pertence, o pool de origem da Network Address Translation (NAT) (se o NAT de origem for usado), o valor de tempo limite configurado para a sessão e seu tempo de folga padrão, e o tempo de início da sessão e quanto tempo a sessão está ativa. O display também mostra todas as informações de fluxo padrão, incluindo a direção do fluxo, o endereço e a porta de origem, o endereço e porta de destino, o protocolo IP e a interface usada para a sessão.
Ação
Para visualizar as informações de fluxo de sessão na CLI, insira o seguinte comando:
user@host> show security flow session
Exibição de informações de sessão e fluxo sobre uma sessão específica para gateways de serviços da Série SRX
Propósito
Quando você conhece o identificador de sessão, você pode exibir todas as informações de sessão e fluxo para uma sessão específica e não para todas as sessões.
Ação
Para visualizar informações sobre uma sessão específica na CLI, insira o seguinte comando:
user@host> show security flow session session-identifier 40000381
Usando filtros para exibir informações de sessão e fluxo para gateways de serviços da Série SRX
Propósito
Você pode exibir informações de fluxo e sessão sobre uma ou mais sessões especificando um filtro como argumento para o show security flow session comando. Você pode usar os seguintes filtros: aplicativo, porta de destino, prefixo de destino, família, idp, interface, nat, protocolo, gerenciador de recursos, identificador de sessão, porta de origem, prefixo de origem e túnel. O dispositivo exibe as informações para cada sessão seguida de uma linha especificando o número de sessões relatadas. Aqui está um exemplo do comando usando o filtro de prefixo de origem.
Ação
Para visualizar informações sobre sessões selecionadas usando filtros na CLI, insira o seguinte comando:
user@host> show security flow session source-prefix 10/8
Informações fornecidas em entradas de registro de sessão para gateways de serviços da Série SRX
As entradas de log de sessão estão vinculadas à configuração de políticas. Cada evento de sessão principal — criar, fechar e negar — criará uma entrada de log se a política de controle permitir o registro.
Diferentes campos são registrados para criação de sessão, encerramento de sessão e eventos de negação de sessão, conforme mostrado na Tabela 1, Tabela 2 e Tabela 3. O mesmo nome de campo em cada tipo indica que as mesmas informações estão registradas, mas cada tabela é uma lista completa de todos os dados registrados para esse tipo de log de sessão.
A tabela a seguir define os campos exibidos em entradas de log de sessão.
Field |
Description |
|---|---|
|
Endereço IP de origem do pacote que criou a sessão. |
|
Porta de origem do pacote que criou a sessão. |
|
Endereço IP de destino do pacote que criou a sessão. |
|
Porta de destino do pacote que criou a sessão. |
|
Aplicativo que o pacote atravessou (por exemplo, "junos-telnet" para tráfego Telnet durante a sessão permitida por uma política que permite a Telnet nativa). |
|
O endereço de origem nat traduzido se o NAT for aplicado; caso contrário, o endereço de origem como acima. |
|
A porta de origem NAT traduzida se o NAT for aplicado; caso contrário, a porta de origem como acima. |
|
O endereço de destino NAT traduzido se o NAT for aplicado; caso contrário, o endereço de destino como acima. |
|
A porta de destino NAT traduzida se o NAT for aplicado; caso contrário, a porta de destino como acima. |
|
A regra NAT de origem aplicada à sessão (se houver). Se o NAT estático também estiver configurado e aplicado à sessão e se a tradução do endereço fonte ocorrer, este campo mostrará o nome de regra NAT estático.* |
|
A regra de NAT de destino aplicada à sessão (se houver). Se o NAT estático também estiver configurado e aplicado à sessão e se a tradução do endereço de destino ocorrer, este campo mostrará o nome de regra NAT estático.* |
|
O ID de protocolo do pacote que criou a sessão. |
|
O nome da política que permitiu a criação da sessão. |
|
A identificação da sessão de 32 bits. |
* Observe que algumas sessões podem ter o destino e o NAT de origem aplicados e as informações registradas. |
|
Começando com o Junos OS Release 12.1X47-D20 e o Junos OS Release 17.3R1, o log do sistema inclui informações sobre o tipo de regra NAT. Dois novos pedidos do tipo src-nat-rule e do tipo dst-nat-rule são introduzidos na sessão de regras do NAT.
Field |
Description |
|---|---|
|
O motivo da sessão ter sido encerrada. |
|
Endereço IP de origem do pacote que criou a sessão. |
|
Porta de origem do pacote que criou a sessão. |
|
Endereço IP de destino do pacote que criou a sessão. |
|
Porta de destino do pacote que criou a sessão. |
|
Aplicativo que o pacote atravessou (por exemplo, "junos-telnet" para tráfego Telnet durante a sessão permitida por uma política que permite a Telnet nativa). |
|
O endereço de origem nat traduzido se o NAT for aplicado; caso contrário, o endereço de origem como acima. |
|
A porta de origem NAT traduzida se o NAT for aplicado; caso contrário, a porta de origem como acima. |
|
O endereço de destino NAT traduzido se o NAT for aplicado; caso contrário, o endereço de destino como acima. |
|
A porta de destino NAT traduzida se o NAT for aplicado; caso contrário, a porta de destino como acima. |
|
A regra NAT de origem aplicada à sessão (se houver). Se o NAT estático também estiver configurado e aplicado à sessão e se a tradução do endereço fonte ocorrer, este campo mostrará o nome de regra NAT estático.* |
|
A regra de NAT de destino aplicada à sessão (se houver). Se o NAT estático também estiver configurado e aplicado à sessão e se a tradução do endereço de destino ocorrer, este campo mostrará o nome de regra NAT estático.* |
|
O ID de protocolo do pacote que criou a sessão. |
|
O nome da política que permitiu a criação da sessão. |
|
A identificação da sessão de 32 bits. |
|
O número de pacotes enviados pelo cliente relacionados a esta sessão. |
|
O número de bytes de dados enviados pelo cliente relacionados a esta sessão. |
|
O número de pacotes enviados pelo servidor relacionados a esta sessão. |
|
O número de bytes de dados enviados pelo servidor relacionados a esta sessão. |
|
A sessão total passou do tempo da permissão para fechar, dado em segundos. |
|
Durante a criação da sessão, você pode definir a razão da sessão como A sessão se encerra com o motivo |
|
A sessão foi encerrada por um pacote de redefinição de TCP enviado pelo cliente. |
|
A sessão foi encerrada por um pacote de redefinição de TCP enviado a ele a partir do servidor. |
|
A FIN recebeu de ambos os lados. |
|
Resposta recebida para uma solicitação de pacote (por exemplo, resposta de perguntas frequentes do ICMP). |
|
Erro de ICMP recebido. |
|
Sessão envelhecida foi alcançada. |
|
Erros de ALG encerraram a sessão (por exemplo, o limite máximo de servidor de acesso remoto (RAS) atingido). |
|
A mensagem de HA encerrou a sessão. |
|
Não havia tráfego para a sessão antes do tempo de saída de idade configurado ser alcançado. |
|
A autenticação falhou. |
|
O IDP encerrou a sessão por causa de um erro interno do módulo de segurança (SM). |
|
A falha no proxy SYN encerrou a sessão. |
|
Motivo para falha na alocação de sessão menor, precisa liberar a sessão original. |
|
Sessão dos pais encerrada. |
|
Sessão liberada por uma CLI . |
|
Resposta do CP NACK recebida. |
|
A exclusão da CP ACK encerrou a sessão. |
|
Política correspondente marcada para exclusão. |
|
Sessão encerrada por causa da exclusão da sessão de encaminhamento. |
|
Sessão encerrada porque a rota multicast mudou. |
|
O primeiro caminho é redirecionado e a sessão é recriada. |
|
A SPU recebeu uma mensagem ACK do ponto central, mas não recebeu o recurso DIP. Portanto, este pacote é descartado e a sessão está fechada. |
|
Sessão encerrada por todos os outros motivos (por exemplo, o pim reg tun precisava ser atualizado). |
|
Erros de criação de modelos de aprovação do IKE. |
|
A sessão é excluída porque a sessão de modelo de passagem do IKE não tem filhos. |
|
A sessão pendente foi encerrada porque o tempo de folga chegou ao estado pendente. |
|
Sessão encerrada por motivos desconhecidos. |
* Observe que algumas sessões podem ter o destino e o NAT de origem aplicados e as informações registradas. |
|
Field |
Description |
|---|---|
|
Endereço IP de origem do pacote que tentou criar a sessão. |
|
Porta de origem do pacote que tentou criar a sessão. |
|
Endereço IP de destino do pacote que tentou criar a sessão. |
|
Porta de destino do pacote que tentou criar a sessão. |
|
Aplicativo que o pacote tentou atravessar. |
|
O ID de protocolo do pacote que tentou criar a sessão. |
|
Do tipo ICMP, se o pacote negado for configurado por ICMP; caso contrário, este campo será 0. |
|
O nome da política que negou a criação da sessão. |
Extensões de tratamento de erros
Entender a detecção de falhas do gerente de chassi FPC e aprimoramentos no tratamento de erros
O Junos OS Routing Engine e o recurso de detecção e gerenciamento de erros de microkernel nos dispositivos SRX5400, SRX5600 e SRX5800 permitem que o Mecanismo de Roteamento e o ukernel acumulem e armazenem o histórico de todas as atividades de erro e contadores relatados para vários níveis de gravidade. Você pode configurar como os erros são tratados e especificar os níveis de gravidade e as ações a serem executadas quando um erro é detectado e um limiar é atingido. Você pode gerar e exibir relatórios para erros encontrados com base em informações armazenadas.
A partir do Junos OS Release 15.1X49-D30 e do Junos OS Release 17.3R1, são fornecidos aprimoramentos de detecção de erros que detectam erros adicionais em IOCs e SPCs e fornecem gerenciamento aprimorado de erros. Essa implementação estende a detecção e o gerenciamento de erros abordados no show chassis fpc error tópico.
Esse recurso não é suportado no Routing Engine versão 1.
- Tratamento de erros em IOCs e SPCs
- Detecção e gerenciamento de erros
- Processos de detecção de erros
- Integração com cluster de chassi
- Detecção, relatórios e gerenciamento de wedges
Tratamento de erros em IOCs e SPCs
Começando pelo Junos OS Release 15.1-X49-D50 e o Junos OS Release 17.3R1, os aprimoramentos no gerenciamento de erros são suportados em placas de E/S (IOCs) e placas de processamento de serviços (SPCs) IOC2 e IOC3. Algumas funções de aprimoramento são particulares para o IOC2 e o IOC3 ou os FPCs SPC2, e as diferenças são chamadas neste tópico.
Detecção e gerenciamento de erros
O gerenciamento de erros implica:
Detectando um erro.
O Junos OS monitora o estado do componente do chassi para detectar um conjunto de condições de erro. Um erro detectado pode pertencer a um dos níveis de gravidade de erro pré-configurados:
Fatal
Principais
Menor
Identificando a ação a tomar.
Quando ocorre um erro, o sistema identifica a ação a ser tomada com base no nível de gravidade do erro e nos limites definidos e atendidos.
Um FPC mantém um conjunto de contadores de erros para cada nível de gravidade de erro. Um contra-conjunto de erros consiste em um contador cumulativo em todos os erros e contadores para erros e tipos individuais. São essas informações armazenadas no Mecanismo de Roteamento. Cada contador de ocorrências está associado a um limiar de ocorrência de erro. Existem dois níveis limiares: um baseado no tipo e outro na gravidade.
Executando a ação.
Para esses aprimoramentos, as ações pré-configuradas que você pode direcionar o dispositivo a tomar quando a contagem de ocorrências de erro do Mecanismo de Roteamento para um determinado nível de segurança atingir o limiar configurado são:
Redefinir
Offline
Alarme
Estado de get
Log
Tome cuidado ao definir as ações de tratamento de falhas para placas SPC2 na linha SRX5000 de dispositivos. Considere que, se você definir a ação de manuseio de falhas em uma placa SPC2 para offline ou redefinir, quando a placa for retirada offline ou a reinicialização ocorrer, o daemon do chassi (chassi) reinicializará todas as suas placas FPC, tanto SPCs quanto IOCs — ou seja, todo o chassi será reinicializado.
Processos de detecção de erros
Com esses aprimoramentos, os seguintes processos de detecção de erros são habilitados e suportados:
Gerenciamento de erros na versão 2 do Mecanismo de Roteamento.
Gerenciamento de erros em módulos ukernel em placas SPC2.
Gerenciamento de erros nas placas IOC2 e IOC3.
O motorista verifica a detecção de erros de caminho de dados das condições da cunha.
Nota:A detecção de condição de wedge para o driver Trinity Offload Engine é suportada apenas em placas SPC2. Ou seja, não é suportado nas placas IOC2 e IOC3.
Detecção de wedge para loopback de host.
Nota:A detecção de condição de wedge para loopback de host é suportada apenas em placas SPC2. Ou seja, não é suportado nas placas IOC2 e IOC3.
Detecção de erro de malha do Gerente de Chassis.
Controle detecções de erros de caminho nas placas IOC2 e IOC3.
Integração com cluster de chassi
Em um ambiente de cluster de chassi, quando um alarme é levantado pela primeira vez por causa de um erro grave ou fatal, um switchover do Grupo de Redundância 1 (RG1) é acionado. Este é o comportamento padrão em dispositivos da Série SRX, e ele permanece inalterado. No entanto, com esses aprimoramentos, o alarme é adicionado à lista de ação padrão de tratamento de falhas por um erro fatal. Adicionar um alarme à lista de tratamento de falhas padrão permite que o alarme do chassi acione o switchover RG1 assim que o erro fatal for detectado.
Detecção, relatórios e gerenciamento de wedges
Uma condição de wedge é causada por um erro que bloqueia o tráfego de rede.
Esse recurso detecta vários tipos de condições de wedge. Ela:
Determina se a enlace é transitória ou irreversível.
Registra as condições de wedge em estatísticas e syslogs.
Alerta os administradores de rede para falhas irreversíveis, levantando um alarme de chassi no mecanismo de roteamento.
Verifica se as seguintes detecções de erro de datapath estão habilitadas para as placas IOC2, IOC3 e SPC2:
Detecção de wedge para driver XM
Detecção de cunhas para o driver LU
Detecção de wedge para driver XL
Detecção de wedge para driver TOE (somente SPC2)
Detecção de wedge para loopback de host (somente SPC2)
Todas as condições de wedge de datapath são detectadas e relatadas em 5 segundos. Cada erro detectando registros de módulos e relata o estado e o histórico de suas condições de wedge identificáveis.