Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Políticas de segurança de monitoramento e resolução de problemas

O monitoramento oferece uma apresentação em tempo real de dados significativos que representam o estado das atividades de acesso em uma rede. Esse insight permite que você interprete e efetue facilmente as condições operacionais. A solução de problemas fornece orientação contextual para resolver os problemas de acesso em redes. Em seguida, você pode resolver as preocupações do usuário e fornecer resolução em tempo hábil.

Entendendo os alarmes de segurança

Os alarmes são acionados quando os pacotes são descartados por causa de uma violação da política. Uma violação de política ocorre quando um pacote corresponde a uma política de rejeição ou negação. Um alarme de violação de política é gerado quando o sistema monitora qualquer um dos seguintes eventos auditados:

  • Número de violações de políticas por um identificador de rede de origem em um período especificado

  • Número de violações de políticas a um identificador de rede de destino em um período especificado

  • Número de violações de políticas a um aplicativo em um período especificado

  • Regra de política ou grupo de violações de regras dentro de um período especificado

Existem quatro tipos de alarmes correspondentes a esses quatro eventos. Os alarmes são baseados em IP de origem, IP de destino, aplicativo e política.

Quando um pacote encontra uma política de rejeição ou negação, os contadores de violação de políticas para todos os tipos de alarme habilitados são aumentados. Quando qualquer contador atinge o limiar especificado em um período especificado, um alarme é gerado. Após um período especificado, o contador de violação de políticas é reiniciado e reutilizado para iniciar outro ciclo de contagem.

Para visualizar as informações do alarme, execute o show security alarms comando. A contagem de violações e o alarme não persistem nas reinicializações do sistema. Após uma reinicialização, a contagem de violações é redefinida para zero e o alarme é liberado da fila de alarme.

Depois de tomar as medidas apropriadas, você pode limpar o alarme. O alarme permanece na fila até você liberá-lo (ou até que você reinicialize o dispositivo). Para limpar o alarme, execute o clear security alarms comando. Depois de limpar o alarme, uma série subsequente de violações da política de fluxo pode fazer com que um novo alarme seja levantado.

Exemplo: gerando um alarme de segurança em resposta a violações de políticas

Este exemplo mostra como configurar o dispositivo para gerar um alarme do sistema quando ocorre uma violação da política. Por padrão, nenhum alarme é levantado quando ocorre uma violação de política.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Neste exemplo, você configura um alarme a ser levantado quando:

  • O tamanho do aplicativo é de 10240 unidades.

  • A violação de IP de origem excede 1000 em 20 segundos.

  • As violações de IP de destino excedem 1000 em 10 segundos.

  • A violação da correspondência de políticas excede 100, com um tamanho de 100 unidades.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar alarmes de violação de políticas:

  1. Habilite alarmes de segurança.

  2. Especifique se um alarme deve ser levantado quando uma violação de aplicativo ocorre.

  3. Especifique se um alarme deve ser levantado quando ocorre uma violação de IP de origem.

  4. Especifique se um alarme deve ser levantado quando ocorre uma violação de IP de destino.

  5. Especifique se um alarme deve ser levantado quando ocorre uma violação da correspondência de políticas.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security alarms comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar se a configuração está funcionando corretamente, a partir do modo operacional, entre no show security alarms comando.

Políticas de segurança correspondentes

O show security match-policies comando permite que você solucione problemas de tráfego usando os critérios de correspondência: porta de origem, porta de destino, endereço IP de origem, endereço IP de destino e protocolo. Por exemplo, se o seu tráfego não estiver passando porque uma política apropriada não está configurada ou os critérios de correspondência estiverem incorretos, o show security match-policies comando permite que você trabalhe offline e identifique onde o problema realmente existe. Ele usa o mecanismo de busca para identificar o problema e, portanto, permite que você use a política de correspondência apropriada para o tráfego.

A opção result-count especifica quantas políticas exibir. A primeira política habilitada na lista é a política que é aplicada a todo o tráfego correspondente. Outras políticas abaixo são "sombreadas" pela primeira vez e nunca são encontradas combinando tráfego.

Nota:

O show security match-policies comando é aplicável apenas às políticas de segurança; As políticas de IDP não são suportadas.

Exemplo 1: mostrar políticas de correspondência de segurança

Exemplo 2: Usando a opção de contagem de resultados

Por padrão, a lista de saída contém a política que será aplicada ao tráfego com as características especificadas. Para listar mais de uma política que corresponda aos critérios, use a opção result-count . A primeira política listada é sempre a política que será aplicada ao tráfego correspondente. Se o result-count valor for de 2 a 16, a saída inclui todas as políticas que correspondam aos critérios especificados result-count. Todas as políticas listadas após a primeira são "sombreadas" pela primeira política e nunca são aplicadas à correspondência de tráfego.

Use essa opção para testar o posicionamento de uma nova política ou solucionar problemas de uma política que não é aplicada como esperado para um tráfego específico.

No exemplo a seguir, os critérios de tráfego correspondem a duas políticas. A primeira política listada contém p1a ação aplicada ao tráfego. A política p15 é sombreada pela primeira política, e sua ação, portanto, não será aplicada à correspondência de tráfego.

Contagem de acertos da política de rastreamento

Use o show security policies hit-count comando para exibir a taxa de utilidade das políticas de segurança de acordo com o número de acessos que eles recebem. Você pode usar esse recurso para determinar quais políticas estão sendo usadas no dispositivo e com que frequência elas são usadas. Dependendo das opções de comando escolhidas, o número de acertos pode ser listado sem uma ordem ou classificado em ordem ascendente ou descendente, podendo ser restringido ao número de acertos que caem acima ou abaixo de uma contagem específica ou dentro de um intervalo. Os dados são mostrados para todas as zonas associadas às políticas ou zonas nomeadas.

Verificando o uso de memória em dispositivos da Série SRX

Você pode isolar problemas de memória comparando os valores de memória antes e depois das configurações da política.

A memória para entidades de fluxo, como políticas, zonas ou endereços em SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 e dispositivos SRX5800 (dependendo da versão do Junos OS em sua instalação) é alocada dinamicamente. No entanto, certas práticas podem ajudar a monitorar o uso atual de memória no dispositivo e otimizar parâmetros para dimensionar melhor a configuração do sistema, especialmente durante a implementação de políticas.

Para verificar o uso da memória:

  • Use o comando para verificar o uso geral da show chassis routing-engine memória do mecanismo de roteamento (RE). A saída a seguir deste comando mostra a utilização da memória em 39 por cento:

  • Use o show system processes extensive comando para obter informações sobre os processos em execução no Mecanismo de Roteamento.

    Use a opção find nsd no show system processes extensive comando para ver o uso direto no Daemon de Segurança de Rede (NSD) com sua memória total em uso como 10 megabytes e utilização de CPU de 0 por cento.

  • Verifique o tamanho do arquivo de configuração. Reserve seu arquivo de configuração com um nome único antes de sair da CLI. Em seguida, insira o ls -1 filename comando do prompt de shell na shell de nível UNIX para verificar o tamanho do arquivo conforme mostrado na saída de amostra a seguir:

Monitore as estatísticas da política de segurança

Propósito

Monitore e registre tráfego que o Junos OS permite ou nega com base em políticas previamente configuradas.

Ação

Para monitorar o tráfego, habilite a contagem e as opções de log.

Contagem:Configuráveis em uma política individual. Se a contagem for habilitada, são coletadas estatísticas para sessões que entram no dispositivo para uma determinada política e para o número de pacotes e bytes que passam pelo dispositivo em ambas as direções para uma determinada política. Para contagens (apenas para pacotes e bytes), você pode especificar que alarmes são gerados sempre que o tráfego exceder os limites especificados. Veja contagem (Políticas de segurança).

Log—O recurso de registro pode ser habilitado com políticas de segurança durante a inicialização de sessão (sessão init) ou encerramento da sessão (encerramento da sessão). Veja log (Políticas de segurança).

  • Para visualizar logs de conexões negadas, habilite o log na sessão.

  • Para registrar sessões após a conclusão/demolição, habilite o log no fechamento da sessão.

Nota:

O log de sessão é habilitado em tempo real no código de fluxo que afeta o desempenho do usuário. Se o fechamento da sessão e a intenção de sessão estiverem habilitados, o desempenho será ainda mais degradado em comparação com a habilitação apenas para a sessão .

Para obter mais informações sobre as informações coletadas para logs de sessão, veja informações fornecidas nas entradas de log de sessão para gateways de serviços da Série SRX.

Verificação de políticas de sombra

Verificando todas as políticas de sombra

Propósito

Verifique todas as políticas que acompanham uma ou mais políticas.

Ação

A partir do modo operacional, insira os seguintes comandos:

  • Para sistemas lógicos, entre no show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name comando.

  • Para políticas globais, entre no show security shadow-policies logical-system lsys-name global comando.

Significado

A saída exibe a lista de todas as políticas que acompanham outras políticas. Neste exemplo, a política P1 acompanha as políticas P3 e P4 e as políticas P2 sombras da política P5.

Verificar se uma política sombreia uma ou mais políticas

Propósito

Verifique se uma determinada política acompanha uma ou mais políticas posicionadas após ela.

Ação

A partir do modo operacional, insira os seguintes comandos:

  • Para sistemas lógicos, entre no show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-name comando.

  • Para políticas globais, entre no show security shadow-policies logical-system lsys-name global policy policy-name comando.

Significado

A saída exibe todas as políticas que são sombreadas pela determinada política. Neste exemplo, a política P1 acompanha as políticas P3 e P4.

Verificar se uma política é sombreada por uma ou mais políticas

Propósito

Verifique se uma determinada política está sombreada por uma ou mais posições antes dela.

Ação

A partir do modo operacional, insira os seguintes comandos:

  • Para sistemas lógicos, entre no show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-name reverse comando.

  • Para políticas globais, entre no show security shadow-policies logical-system lsys-name global policy policy-name reverse comando.

Significado

A saída exibe a determinada política sombreada por uma ou mais políticas. Neste exemplo, a política P4 é sombreada pela política P1.

Resolução de problemas de políticas de segurança

Sincronização de políticas entre mecanismo de roteamento e mecanismo de encaminhamento de pacotes

Problema

Descrição

As políticas de segurança são armazenadas no mecanismo de roteamento e no mecanismo de encaminhamento de pacotes. As políticas de segurança são empurradas do mecanismo de roteamento para o mecanismo de encaminhamento de pacotes quando você confirma configurações. Se as políticas de segurança no mecanismo de roteamento estiverem fora de sincronia com o Mecanismo de encaminhamento de pacotes, o comprometimento de uma configuração falha. Os arquivos de despejo de núcleo podem ser gerados se o commit for tentado repetidamente. A desincronizá-lo pode ser devido a:

  • Uma mensagem de política do mecanismo de roteamento para o mecanismo de encaminhamento de pacotes é perdida em trânsito.

  • Um erro com o mecanismo de roteamento, como um UID de política reutilizado.

Ambiente

As políticas no mecanismo de roteamento e mecanismo de encaminhamento de pacotes devem estar em sincronia para que a configuração seja comprometida. No entanto, em determinadas circunstâncias, as políticas no mecanismo de roteamento e no mecanismo de encaminhamento de pacotes podem estar fora de sincronia, o que faz com que o compromisso fracasse.

Sintomas

Quando as configurações de políticas são modificadas e as políticas estão fora de sincronia, a mensagem de erro a seguir é exibida - error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.

Solução

Use o show security policies checksum comando para exibir o valor do checkum da política de segurança e use o request security policies resync comando para sincronizar a configuração das políticas de segurança no Mecanismo de Roteamento e mecanismo de encaminhamento de pacotes, se as políticas de segurança estiverem fora de sincronia.

Verificando uma falha no compromisso da política de segurança

Problema

Descrição

A maioria das falhas de configuração de políticas ocorrem durante um compromisso ou tempo de execução.

As falhas de confirmação são relatadas diretamente na CLI quando você executa a verificação de confirmação de comando CLI no modo de configuração. Esses erros são erros de configuração e você não pode confirmar a configuração sem corrigir esses erros.

Solução

Para corrigir esses erros, faça o seguinte:

  1. Analise seus dados de configuração.

  2. Abra o arquivo /var/log/nsd_chk_only. Este arquivo é sobreescrito cada vez que você realiza uma verificação de confirmação e contém informações detalhadas de falha.

Confirmar o compromisso de uma política de segurança

Problema

Descrição

Ao realizar um compromisso de configuração de política, se você notar que o comportamento do sistema está incorreto, use as seguintes etapas para solucionar este problema:

Solução

  1. Comandos de exibição operacional — Execute os comandos operacionais para políticas de segurança e verifique se as informações mostradas na saída são consistentes com o que você esperava. Se não, a configuração precisa ser alterada adequadamente.

  2. Traceoptions — Defina o traceoptions comando em sua configuração de política. As bandeiras sob essa hierarquia podem ser selecionadas de acordo com a análise do usuário da show saída de comando. Se você não puder determinar qual bandeira usar, a opção all de bandeira pode ser usada para capturar todos os logs de rastreamento.

Você também pode configurar um nome de arquivo opcional para capturar os logs.

Se você especificou um nome de arquivo nas opções de rastreamento, você pode procurar no /var/log/<filename> para o arquivo de log verificar se algum erro foi relatado no arquivo. (Se você não especificou um nome de arquivo, o nome de arquivo padrão é eventd.) As mensagens de erro indicam o local da falha e o motivo apropriado.

Após a configuração das opções de rastreamento, você deve reacomodar a mudança de configuração que causou o comportamento incorreto do sistema.

Busca de políticas de depuração

Problema

Descrição

Quando você tem a configuração correta, mas algum tráfego foi incorreto ou permitido, você pode ativar a lookup bandeira nas traceoptions de políticas de segurança. A lookup bandeira registra os vestígios relacionados à busca no arquivo de rastreamento.

Solução

Sincronização de alta disponibilidade (HA) do cache de resolução de nomes de endereços

O processo de segurança de rede (NSD) é reiniciado quando o sistema reinicializa, o failover de HA acontece ou se o processo falha. Durante esse período, se houver um grande número de endereços de nome de domínio configurados nas polícias de segurança, os firewalls da Série SRX tentam enviar solicitações ao servidor DNS para que todos os endereços IP sejam resolvidos. Uma grande quantidade de recursos do sistema é consumida quando um grande número de consultas e respostas de DNS são trocados. Assim, os firewalls da Série SRX não conseguem obter uma resposta do servidor DNS e o endereço de um nome de host em uma entrada de livro de endereços pode não ser resolvido corretamente. Isso pode fazer com que o tráfego caia, pois nenhuma política de segurança ou correspondência de sessão é encontrada. O novo aprimoramento nos firewalls da Série SRX resolve esse problema ao analisar os resultados da consulta de DNS em um arquivo de cache DNS local e sincronizar periodicamente o arquivo de cache DNS do nó primário de HA para nó de backup ha. Os arquivos de cache DNS armazenam endereços IP, nome de domínio e valores de TTL. Após o failover da HA, o nó de backup anterior torna-se um nó primário. Como todos os resultados de cache de DNS estão disponíveis em novo nó primário, o processamento de políticas de segurança continua e o tráfego de passagem é permitido de acordo com as regras da política.

A partir do Junos OS Release 19.3R1, a memória de cache DNS da política é sincronizada em um arquivo de cache DNS local no nó ativo de HA e é copiada para o nó de backup HA para suprimir consultas de DNS ou respostas durante a reinicialização do NSD.

As seguintes etapas são realizadas para que a sincronização ocorra:

  1. A memória de cache DNS da política é sincronizada em um arquivo de cache DNS de política local localizado no caminho /var/db/policy_dns_cache a cada 30 segundos se o conteúdo de memória de cache DNS de política tiver mudado durante este período.

  2. O arquivo de cache DNS local é sincronizado do nó principal de HA para nó de backup HA imediatamente após o arquivo de cache DNS local ter sido atualizado na Etapa 1.

A sincronização inclui o seguinte conteúdo:

  • Nome do domínio

  • Lista de endereços IPv4 e seu TTL (tempo de vida)

  • Lista de endereços IPv6 e seu TTL

Quando o NSD é reiniciado, ele lê e analisa o arquivo de cache DNS local e importa todas as entradas de cache na memória. A sincronização garante que as consultas de DNS sejam suprimidas durante a reinicialização do NSD. O NSD reinicia o novo nó primário durante o failover de HA à medida que os endereços IP resolvidos para nomes de domínio já existem na memória de cache DNS ao ler as configurações das políticas. Portanto, um novo tráfego de passagem é permitido de acordo com a política de segurança após o failover da HA, pois todos os endereços IP resolvidos para nomes de domínio existem dentro de políticas no mecanismo de roteamento e mecanismo de encaminhamento de pacotes de novos nós primários.