Monitoramento e solução de problemas de políticas de Segurança
O monitoramento fornece uma apresentação em tempo real de dados significativos que representam o estado das atividades de acesso em uma rede. Esse insight permite que você interprete e efetue facilmente as condições operacionais. A solução de problemas fornece orientação contextual para resolver os problemas de acesso em redes. Em seguida, você pode abordar as preocupações do usuário e fornecer uma solução em tempo hábil.
Entendendo os Alarmes de Segurança
Os alarmes são acionados quando os pacotes são descartados devido a uma violação de política. Uma violação de política ocorre quando um pacote corresponde a uma política de rejeição ou negação. Um alarme de violação de política é gerado quando o sistema monitora qualquer um dos seguintes eventos auditados:
Número de violações de política por um identificador de rede de origem em um período especificado
Número de violações de política para um identificador de rede de destino em um período especificado
Número de violações de política em um aplicativo em um período especificado
Violações de regra de política ou grupo de regras em um período especificado
Existem quatro tipos de alarmes correspondentes a esses quatro eventos. Os alarmes são baseados no IP de origem, IP de destino, aplicativo e política.
Quando um pacote encontra uma política de rejeição ou negação, os contadores de violação de política para todos os tipos de alarme habilitados são aumentados. Quando qualquer contador atinge o limite especificado dentro de um período especificado, um alarme é gerado. Após um período especificado, o contador de violação de política é redefinido e reutilizado para iniciar outro ciclo de contagem.
Para visualizar as informações de alarme, execute o show security alarms comando. A contagem de violações e o alarme não persistem entre as reinicializações do sistema. Após uma reinicialização, a contagem de violações é zerada e o alarme é apagado da fila de alarmes.
Depois de tomar as medidas apropriadas, você pode limpar o alarme. O alarme permanece na fila até que você o limpe (ou até que você reinicie o dispositivo). Para limpar o alarme, execute o clear security alarms comando. Depois de limpar o alarme, uma série subsequente de violações da política de fluxo pode fazer com que um novo alarme seja acionado.
Veja também
Exemplo: Gerando um Alarme de Segurança em Resposta a Violações de Política
Este exemplo mostra como configurar o dispositivo para gerar um alarme do sistema quando ocorre uma violação de política. Por padrão, nenhum alarme é acionado quando ocorre uma violação de política.
Requerimentos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, você configura um alarme para ser acionado quando:
O tamanho do aplicativo é de 10240 unidades.
A violação de IP de origem excede 1000 em 20 segundos.
As violações de IP de destino excedem 1000 em 10 segundos.
A violação de correspondência de política excede 100, com um tamanho de 100 unidades.
Configuração
Tramitação processual
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no [edit] nível de hierarquia e, em seguida, entre commit no modo de configuração.
set security alarms potential-violation policy application size 10240 set security alarms potential-violation policy source-ip threshold 1000 duration 20 set security alarms potential-violation policy destination-ip threshold 1000 duration 10 set security alarms potential-violation policy policy-match threshold 100 size 100
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI.
Para configurar alarmes de violação de política:
Ative alarmes de segurança.
[edit] user@host# edit security alarms
Especifique que um alarme deve ser acionado quando ocorrer uma violação do aplicativo.
[edit security alarms potential-violation policy] user@host# set application size 10240
Especifique que um alarme deve ser acionado quando ocorrer uma violação de IP de origem.
[edit security alarms potential-violation policy] user@host# set source-ip threshold 1000 duration 20
Especifique que um alarme deve ser acionado quando ocorrer uma violação de IP de destino.
[edit security alarms potential-violation policy] user@host# set destination-ip threshold 1000 duration 10
Especifique que um alarme deve ser gerado quando ocorrer uma violação de correspondência de política.
[edit security alarms potential-violation policy] user@host# set policy-match threshold 100 size 100
Resultados
No modo de configuração, confirme sua configuração digitando o show security alarms comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
policy {
source-ip {
threshold 1000;
duration 20;
}
destination-ip {
threshold 1000;
duration 10;
}
application {
size 10240;
}
policy-match {
threshold 100;
size 100;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, no modo operacional, insira o show security alarms comando.
Políticas de Segurança correspondentes
O show security match-policies comando permite solucionar problemas de tráfego usando os critérios de correspondência: porta de origem, porta de destino, endereço IP de origem, endereço IP de destino e protocolo. Por exemplo, se o tráfego não estiver passando porque uma política apropriada não está configurada ou os critérios de correspondência estão incorretos, o show security match-policies comando permite que você trabalhe offline e identifique onde o problema realmente existe. Ele usa o mecanismo de pesquisa para identificar o problema e, portanto, permite que você use a política de correspondência apropriada para o tráfego.
A result-count opção especifica quantas políticas exibir. A primeira política habilitada na lista é a política aplicada a todo o tráfego correspondente. Outras políticas abaixo dela são "sombreadas" pela primeira e nunca são encontradas pelo tráfego correspondente.
O show security match-policies comando é aplicável somente a políticas de segurança; Não há suporte para políticas de IDP.
Exemplo 1: mostrar políticas de correspondência de segurança
user@host> show security match-policies from-zone z1 to-zone z2 source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1 destination-port 21 protocol tcp
Policy: p1, action-type: permit, State: enabled, Index: 4
Sequence number: 1
From zone: z1, To zone: z2
Source addresses:
a2: 203.0.113.1/25
a3: 10.10.10.1/32
Destination addresses:
d2: 203.0.113.129/25
d3: 192.0.2.1/24
Application: junos-ftp
IP protocol: tcp, ALG: ftp, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [21-21]
Exemplo 2: Usando a opção de contagem de resultados
Por padrão, a lista de saída contém a política que será aplicada ao tráfego com as características especificadas. Para listar mais de uma política que corresponda aos critérios, use a result-count opção. A primeira política listada é sempre a política que será aplicada ao tráfego correspondente. Se o result-count valor for de 2 a 16, a saída incluirá todas as políticas que correspondem aos critérios até o . result-count Todas as políticas listadas após a primeira são "sombreadas" pela primeira política e nunca são aplicadas ao tráfego correspondente.
Use essa opção para testar o posicionamento de uma nova política ou para solucionar problemas de uma política que não é aplicada conforme o esperado para um tráfego específico.
No exemplo a seguir, os critérios de tráfego correspondem a duas políticas. A primeira política listada, p1, contém a ação aplicada ao tráfego. A política p15 é sombreada pela primeira política e sua ação, portanto, não será aplicada ao tráfego correspondente.
user@host> show security match-policies from-zone zone-A to-zone zone-B source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1004 destination-port 80 protocol tcp result-count 5
Policy: p1, action-type: permit, State: enabled, Index: 4
Sequence number: 1
From zone: zone-A, To zone: zone-B
Source addresses:
sa1: 10.10.0.0/16
Destination addresses:
da5: 192.0.2.0/24
Application: any
IP protocol: 1, ALG: 0, Inactivity timeout: 0
Source port range: [1000-1030]
Destination port range: [80-80]
Policy: p15, action-type: deny, State: enabled, Index: 18
Sequence number: 15
From zone: zone-A, To zone: zone-B
Source addresses:
sa11: 10.10.10.1/32
Destination addresses:
da15: 192.0.2.5/24
Application: any
IP protocol: 1, ALG: 0, Inactivity timeout: 0
Source port range: [1000-1030]
Destination port range: [80-80]
Veja também
Contagens de ocorrências da política de rastreamento
Use o show security policies hit-count comando para exibir a taxa de utilidade das políticas de segurança de acordo com o número de ocorrências recebidas. Você pode usar esse recurso para determinar quais políticas estão sendo usadas no dispositivo e com que frequência elas são usadas. Dependendo das opções de comando escolhidas, o número de ocorrências pode ser listado sem uma ordem ou classificado em ordem crescente ou decrescente, e podem ser restritos ao número de ocorrências que ficam acima ou abaixo de uma contagem específica ou dentro de um intervalo. Os dados são mostrados para todas as zonas associadas às políticas ou zonas nomeadas.
Verificando o uso de memória
Você pode isolar problemas de memória comparando valores de memória antes e depois das configurações de política.
Determinadas práticas podem ajudar a monitorar o uso atual de memória no dispositivo e otimizar parâmetros para dimensionar melhor a configuração do sistema, especialmente durante a implementação da política.
Para verificar o uso de memória:
Use o comando para verificar o
show chassis routing-engineuso geral da memória do Mecanismo de Roteamento (RE). A seguinte saída desse comando mostra a utilização da memória em 39%:user@host#
show chassis routing-engineRouting Engine status: Slot 0: Current state Master Election priority Master (default) DRAM 1024 MB Memory utilization 39 percent CPU utilization: User 0 percent Background 0 percent Kernel 2 percent Interrupt 0 percent Idle 97 percent Model RE-PPC-1200-A Start time 2011-07-09 19:19:49 PDT Uptime 37 days, 15 hours, 44 minutes, 13 seconds Last reboot reason 0x3:power cycle/failure watchdog Load averages: 1 minute 5 minute 15 minute 0.22 0.16 0.07Use o
show system processes extensivecomando para adquirir informações sobre os processos em execução no Mecanismo de Roteamento.Use a
find nsdopção no comando para ver oshow system processes extensiveuso direto no Network Segurança Daemon (NSD) com sua memória total em uso como 10 megabytes e utilização da CPU de 0 por cento.user@host# show system processes extensive | find nsd 1182 root 1 96 0 10976K 5676K select 2:08 0.00% nsd 1191 root 4 4 0 8724K 3764K select 1:57 0.00% slbd 1169 root 1 96 0 8096K 3520K select 1:51 0.00% jsrpd 1200 root 1 4 0 0K 16K peer_s 1:10 0.00% peer proxy 1144 root 1 96 0 9616K 3528K select 1:08 0.00% lacpd 1138 root 1 96 0 6488K 2932K select 1:02 0.00% ppmd 1130 root 1 96 0 7204K 2208K select 1:02 0.00% craftd 1163 root 1 96 0 16928K 5188K select 0:58 0.00% cosd 1196 root 1 4 0 0K 16K peer_s 0:54 0.00% peer proxy 47 root 1 -16 0 0K 16K sdflus 0:54 0.00% softdepflush 1151 root 1 96 0 15516K 9580K select 0:53 0.00% appidd 900 root 1 96 0 5984K 2876K select 0:41 0.00% eventd
Verifique o tamanho do arquivo de configuração. Salve seu arquivo de configuração com um nome exclusivo antes de sair da CLI. Em seguida, insira o
ls -1 filenamecomando do prompt do shell no shell de nível UNIX para verificar o tamanho do arquivo, conforme mostrado na seguinte saída de exemplo:user@host> start shell % ls -l config -rw-r--r-- 1 remote staff 12681 Feb 15 00:43 config
Veja também
Monitorar estatísticas da política de Segurança
Finalidade
Monitore e registre o tráfego que o Junos OS permite ou nega com base em políticas configuradas anteriormente.
Ação
Para monitorar o tráfego, habilite as opções de contagem e log.
Contagem—Configurável em uma política individual. Se a contagem estiver habilitada, as estatísticas serão coletadas para sessões que entram no dispositivo para uma determinada política e para o número de pacotes e bytes que passam pelo dispositivo em ambas as direções para uma determinada política. Para contagens (apenas para pacotes e bytes), você pode especificar que os alarmes sejam gerados sempre que o tráfego exceder os limites especificados. Consulte count (Políticas de Segurança).
Registro—O recurso de registro pode ser habilitado com políticas de segurança durante o estágio de inicialização da sessão (session-init) ou fechamento da sessão (session-close). Consulte log (Políticas de Segurança).
Para exibir logs de conexões negadas, habilite log on session-init.
Para registrar sessões após sua conclusão/desmontagem, ative o fechamento da sessão.
O log de sessão é habilitado em tempo real no código de fluxo, o que afeta o desempenho do usuário. Se o fechamento da sessão e o início da sessão estiverem ativados, o desempenho será ainda mais prejudicado em comparação com a ativação apenas do início da sessão .
Para obter detalhes sobre as informações coletadas para logs de sessão, consulte Informações fornecidas em entradas de log de sessão para gateways de serviços da Série SRX.
Verificando políticas de sombra
- Verificando todas as políticas de sombra
- A verificação de uma política obscurece uma ou mais políticas
- Verificar se uma política é sombreada por uma ou mais políticas
Verificando todas as políticas de sombra
Finalidade
Verifique todas as políticas que sombreiam uma ou mais políticas.
Ação
No modo operacional, insira os seguintes comandos:
Para sistemas lógicos, insira o
show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-namecomando.Para políticas globais, insira o
show security shadow-policies logical-system lsys-name globalcomando.
root@host> show security shadow-policies from-zone zone-a to-zone zone-b
Policies Shadowed policies
P1 P3
P1 P4
P2 P5
Significado
A saída exibe a lista de todas as políticas que sombreiam outras políticas. Neste exemplo, a política P1 sombreia as políticas P3 e P4 e a política P2 sombreia a política P5.
A verificação de uma política obscurece uma ou mais políticas
Finalidade
Verifique se uma determinada política sombreia uma ou mais políticas posicionadas depois dela.
Ação
No modo operacional, insira os seguintes comandos:
Para sistemas lógicos, insira o
show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-namecomando.Para políticas globais, insira o
show security shadow-policies logical-system lsys-name global policy policy-namecomando.
root@host> show security shadow-policies from-zone zone-a to-zone zone-b policy P1
Policies Shadowed policies
P1 P3
P1 P4
Significado
A saída exibe todas as políticas que são sombreadas pela política fornecida. Neste exemplo, a política P1 sombreia as políticas P3 e P4.
Verificar se uma política é sombreada por uma ou mais políticas
Finalidade
Verifique se uma determinada política está sombreada por uma ou mais posicionadas antes dela.
Ação
No modo operacional, insira os seguintes comandos:
Para sistemas lógicos, insira o
show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-name reversecomando.Para políticas globais, insira o
show security shadow-policies logical-system lsys-name global policy policy-name reversecomando.
root@host> show security shadow-policies from-zone zone-a to-zone zone-b policy P4 reverse
Policies Shadowed policies
P1 P4
Significado
A saída exibe a política fornecida sombreada por uma ou mais políticas. Neste exemplo, a política P4 é sombreada pela política P1.
Solucionar problemas de políticas de Segurança
- Políticas de Sincronização entre o Mecanismo de Roteamento e o Mecanismo de Encaminhamento de Pacotes
- Verificar uma falha de confirmação de política de segurança
- Verificar uma confirmação de política de Segurança
- Pesquisa de política de depuração
Políticas de Sincronização entre o Mecanismo de Roteamento e o Mecanismo de Encaminhamento de Pacotes
Problema
Descrição
As políticas de Segurança são armazenadas no mecanismo de roteamento e no mecanismo de encaminhamento de pacotes. As políticas de Segurança são enviadas do Mecanismo de Roteamento para o Mecanismo de Encaminhamento de Pacotes quando você confirma as configurações. Se as políticas de segurança no Mecanismo de Roteamento estiverem fora de sincronia com o Mecanismo de Encaminhamento de Pacotes, a confirmação de uma configuração falhará. Os arquivos de despejo de memória podem ser gerados se a confirmação for tentada repetidamente. A falta de sincronia pode ser devido a:
Uma mensagem de política do Mecanismo de Roteamento para o Mecanismo de Encaminhamento de Pacotes é perdida em trânsito.
Um erro com o mecanismo de roteamento, como um UID de política reutilizado.
Meio Ambiente
As políticas no Mecanismo de Roteamento e no Mecanismo de Encaminhamento de Pacotes devem estar em sincronia para que a configuração seja confirmada. No entanto, em determinadas circunstâncias, as políticas no Mecanismo de Roteamento e no Mecanismo de Encaminhamento de Pacotes podem estar fora de sincronia, o que faz com que a confirmação falhe.
Sintomas
Quando as configurações de política são modificadas e as políticas estão fora de sincronia, a seguinte mensagem de erro é exibida: error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.
Solução
Use o show security policies checksum comando para exibir o valor da soma de verificação da política de segurança e use o request security policies resync comando para sincronizar a configuração das políticas de segurança no Mecanismo de Roteamento e no Mecanismo de Encaminhamento de Pacotes, se as políticas de segurança estiverem fora de sincronia.
Verificar uma falha de confirmação de política de segurança
Problema
Descrição
A maioria das falhas de configuração de política ocorre durante uma confirmação ou tempo de execução.
As falhas de confirmação são relatadas diretamente na CLI quando você executa o comando CLI commit-check no modo de configuração. Esses erros são erros de configuração e você não pode confirmar a configuração sem corrigi-los.
Solução
Para corrigir esses erros, faça o seguinte:
Revise seus dados de configuração.
Abra o arquivo /var/log/nsd_chk_only. Esse arquivo é substituído sempre que você executa uma verificação de confirmação e contém informações detalhadas sobre falha.
Verificar uma confirmação de política de Segurança
Problema
Descrição
Ao executar uma confirmação de configuração de política, se você perceber que o comportamento do sistema está incorreto, use as seguintes etapas para solucionar esse problema:
Solução
Comandos de exibição operacionais — Execute os comandos operacionais para políticas de segurança e verifique se as informações mostradas na saída são consistentes com o que você esperava. Caso contrário, a configuração precisa ser alterada adequadamente.
Traceoptions — Defina o comando na configuração da
traceoptionspolítica. Os sinalizadores nessa hierarquia podem ser selecionados de acordo com a análise do usuário da saída doshowcomando. Se você não puder determinar qual sinalizador usar, a opçãoallde sinalizador poderá ser usada para capturar todos os logs de rastreamento.user@host#
set security policies traceoptions <flag all>
Você também pode configurar um nome de arquivo opcional para capturar os logs.
user@host# set security policies traceoptions <filename>
Se você especificou um nome de arquivo nas opções de rastreamento, poderá procurar no arquivo de log /var/log/<filename> para verificar se algum erro foi relatado no arquivo. (Se você não especificou um nome de arquivo, o nome de arquivo padrão é eventd.) As mensagens de erro indicam o local da falha e o motivo apropriado.
Depois de configurar as opções de rastreamento, você deve confirmar novamente a mudança de configuração que causou o comportamento incorreto do sistema.
Pesquisa de política de depuração
Problema
Descrição
Quando você tem a configuração correta, mas algum tráfego foi descartado ou permitido incorretamente, é possível habilitar o lookup sinalizador nas políticas de segurança traceoptions. O lookup sinalizador registra os rastreamentos relacionados à pesquisa no arquivo de rastreamento.
Solução
user@host# set security policies traceoptions <flag lookup>
Sincronização de alta disponibilidade (HA) do cache de resolução de nome de endereço
O processo de segurança de rede (NSD) é reiniciado quando o sistema é reinicializado, ocorre failover de HA ou se o processo falha. Durante esse tempo, se houver um grande número de endereços de nome de domínio configurados nas políticas de segurança, os firewalls SRX tentarão enviar solicitações ao servidor DNS para obter todos os endereços IP resolvidos. Uma grande quantidade de recursos do sistema é consumida quando um grande número de consultas e respostas DNS é trocado. Assim, os firewalls SRX não conseguem obter uma resposta do servidor DNS e o endereço de um nome de host em uma entrada do catálogo de endereços pode não ser resolvido corretamente. Isso pode fazer com que o tráfego caia, pois nenhuma política de segurança ou correspondência de sessão é encontrada. O novo aprimoramento nos firewalls SRX resolve esse problema armazenando em cache os resultados da consulta DNS em um arquivo de cache DNS local e sincronizando periodicamente o arquivo de cache DNS do nó primário de HA para o nó de backup de HA. Os arquivos de cache DNS armazenam endereços IP, nome de domínio e valores TTL. Após o failover de HA, o nó de backup anterior se torna o nó primário. Como todos os resultados do cache DNS estão disponíveis no novo nó primário, o processamento da política de segurança continua e o tráfego de passagem é permitido de acordo com as regras da política.
A partir do Junos OS Release 19.3R1, a memória cache DNS da política é sincronizada em um arquivo de cache DNS local no nó ativo do HA e é copiada para o nó de backup do HA para suprimir consultas ou respostas DNS durante a reinicialização do NSD.
As seguintes etapas são executadas para que a sincronização ocorra:
A memória de cache DNS da política é sincronizada em um arquivo de cache DNS de política local localizado no caminho /var/db/policy_dns_cache a cada 30 segundos se o conteúdo da memória de cache DNS da política tiver sido alterado durante esse período.
O arquivo de cache DNS local é sincronizado do nó primário de HA para o nó de backup de HA imediatamente após o arquivo de cache DNS local ter sido atualizado na Etapa 1.
A sincronização inclui o seguinte conteúdo:
-
Nome de domínio
-
Lista de endereços IPv4 e seu TTL (vida útil)
-
Lista de endereços IPv6 e seu TTL
Quando o NSD é reiniciado, ele lê e analisa o arquivo de cache DNS local e importa todas as entradas de cache para a memória. A sincronização garante que as consultas DNS sejam suprimidas durante uma reinicialização do NSD. O NSD é reiniciado em um novo nó primário durante o failover de HA, pois os endereços IP resolvidos para nomes de domínio já existem na memória cache DNS ao ler as configurações de políticas. Portanto, o novo tráfego de passagem é permitido de acordo com a política de segurança após o failover de HA porque todos os endereços IP resolvidos para nomes de domínio existem dentro de políticas no Mecanismo de Roteamento e no Mecanismo de Encaminhamento de Pacotes do novo nó primário.
Comportamento de uso de memória específico da plataforma
Use o Explorador de Recursos para confirmar o suporte à plataforma e à versão para recursos específicos.
Use a tabela a seguir para analisar o comportamento específico da sua plataforma:
| Plataforma |
Diferença |
|---|---|
| Série SRX |
|