Políticas de segurança de monitoramento e resolução de problemas
O monitoramento oferece uma apresentação em tempo real de dados significativos que representam o estado das atividades de acesso em uma rede. Esse insight permite que você interprete e efetue facilmente as condições operacionais. A solução de problemas fornece orientação contextual para resolver os problemas de acesso em redes. Em seguida, você pode resolver as preocupações do usuário e fornecer resolução em tempo hábil.
Entendendo os alarmes de segurança
Os alarmes são acionados quando os pacotes são descartados por causa de uma violação da política. Uma violação de política ocorre quando um pacote corresponde a uma política de rejeição ou negação. Um alarme de violação de política é gerado quando o sistema monitora qualquer um dos seguintes eventos auditados:
Número de violações de políticas por um identificador de rede de origem em um período especificado
Número de violações de políticas a um identificador de rede de destino em um período especificado
Número de violações de políticas a um aplicativo em um período especificado
Regra de política ou grupo de violações de regras dentro de um período especificado
Existem quatro tipos de alarmes correspondentes a esses quatro eventos. Os alarmes são baseados em IP de origem, IP de destino, aplicativo e política.
Quando um pacote encontra uma política de rejeição ou negação, os contadores de violação de políticas para todos os tipos de alarme habilitados são aumentados. Quando qualquer contador atinge o limiar especificado em um período especificado, um alarme é gerado. Após um período especificado, o contador de violação de políticas é reiniciado e reutilizado para iniciar outro ciclo de contagem.
Para visualizar as informações do alarme, execute o show security alarms
comando. A contagem de violações e o alarme não persistem nas reinicializações do sistema. Após uma reinicialização, a contagem de violações é redefinida para zero e o alarme é liberado da fila de alarme.
Depois de tomar as medidas apropriadas, você pode limpar o alarme. O alarme permanece na fila até você liberá-lo (ou até que você reinicialize o dispositivo). Para limpar o alarme, execute o clear security alarms
comando. Depois de limpar o alarme, uma série subsequente de violações da política de fluxo pode fazer com que um novo alarme seja levantado.
Veja também
Exemplo: gerando um alarme de segurança em resposta a violações de políticas
Este exemplo mostra como configurar o dispositivo para gerar um alarme do sistema quando ocorre uma violação da política. Por padrão, nenhum alarme é levantado quando ocorre uma violação de política.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, você configura um alarme a ser levantado quando:
O tamanho do aplicativo é de 10240 unidades.
A violação de IP de origem excede 1000 em 20 segundos.
As violações de IP de destino excedem 1000 em 10 segundos.
A violação da correspondência de políticas excede 100, com um tamanho de 100 unidades.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security alarms potential-violation policy application size 10240 set security alarms potential-violation policy source-ip threshold 1000 duration 20 set security alarms potential-violation policy destination-ip threshold 1000 duration 10 set security alarms potential-violation policy policy-match threshold 100 size 100
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar alarmes de violação de políticas:
Habilite alarmes de segurança.
[edit] user@host# edit security alarms
Especifique se um alarme deve ser levantado quando uma violação de aplicativo ocorre.
[edit security alarms potential-violation policy] user@host# set application size 10240
Especifique se um alarme deve ser levantado quando ocorre uma violação de IP de origem.
[edit security alarms potential-violation policy] user@host# set source-ip threshold 1000 duration 20
Especifique se um alarme deve ser levantado quando ocorre uma violação de IP de destino.
[edit security alarms potential-violation policy] user@host# set destination-ip threshold 1000 duration 10
Especifique se um alarme deve ser levantado quando ocorre uma violação da correspondência de políticas.
[edit security alarms potential-violation policy] user@host# set policy-match threshold 100 size 100
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security alarms
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
policy { source-ip { threshold 1000; duration 20; } destination-ip { threshold 1000; duration 10; } application { size 10240; } policy-match { threshold 100; size 100; } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, a partir do modo operacional, entre no show security alarms
comando.
Políticas de segurança correspondentes
O show security match-policies
comando permite que você solucione problemas de tráfego usando os critérios de correspondência: porta de origem, porta de destino, endereço IP de origem, endereço IP de destino e protocolo. Por exemplo, se o seu tráfego não estiver passando porque uma política apropriada não está configurada ou os critérios de correspondência estiverem incorretos, o show security match-policies
comando permite que você trabalhe offline e identifique onde o problema realmente existe. Ele usa o mecanismo de busca para identificar o problema e, portanto, permite que você use a política de correspondência apropriada para o tráfego.
A opção result-count
especifica quantas políticas exibir. A primeira política habilitada na lista é a política que é aplicada a todo o tráfego correspondente. Outras políticas abaixo são "sombreadas" pela primeira vez e nunca são encontradas combinando tráfego.
O show security match-policies
comando é aplicável apenas às políticas de segurança; As políticas de IDP não são suportadas.
Exemplo 1: mostrar políticas de correspondência de segurança
user@host> show security match-policies from-zone z1 to-zone z2 source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1 destination-port 21 protocol tcp Policy: p1, action-type: permit, State: enabled, Index: 4 Sequence number: 1 From zone: z1, To zone: z2 Source addresses: a2: 203.0.113.1/25 a3: 10.10.10.1/32 Destination addresses: d2: 203.0.113.129/25 d3: 192.0.2.1/24 Application: junos-ftp IP protocol: tcp, ALG: ftp, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [21-21]
Exemplo 2: Usando a opção de contagem de resultados
Por padrão, a lista de saída contém a política que será aplicada ao tráfego com as características especificadas. Para listar mais de uma política que corresponda aos critérios, use a opção result-count
. A primeira política listada é sempre a política que será aplicada ao tráfego correspondente. Se o result-count
valor for de 2 a 16, a saída inclui todas as políticas que correspondam aos critérios especificados result-count
. Todas as políticas listadas após a primeira são "sombreadas" pela primeira política e nunca são aplicadas à correspondência de tráfego.
Use essa opção para testar o posicionamento de uma nova política ou solucionar problemas de uma política que não é aplicada como esperado para um tráfego específico.
No exemplo a seguir, os critérios de tráfego correspondem a duas políticas. A primeira política listada contém p1
a ação aplicada ao tráfego. A política p15
é sombreada pela primeira política, e sua ação, portanto, não será aplicada à correspondência de tráfego.
user@host> show security match-policies from-zone zone-A to-zone zone-B source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1004 destination-port 80 protocol tcp result-count 5 Policy: p1, action-type: permit, State: enabled, Index: 4 Sequence number: 1 From zone: zone-A, To zone: zone-B Source addresses: sa1: 10.10.0.0/16 Destination addresses: da5: 192.0.2.0/24 Application: any IP protocol: 1, ALG: 0, Inactivity timeout: 0 Source port range: [1000-1030] Destination port range: [80-80] Policy: p15, action-type: deny, State: enabled, Index: 18 Sequence number: 15 From zone: zone-A, To zone: zone-B Source addresses: sa11: 10.10.10.1/32 Destination addresses: da15: 192.0.2.5/24 Application: any IP protocol: 1, ALG: 0, Inactivity timeout: 0 Source port range: [1000-1030] Destination port range: [80-80]
Veja também
Contagem de acertos da política de rastreamento
Use o show security policies hit-count
comando para exibir a taxa de utilidade das políticas de segurança de acordo com o número de acessos que eles recebem. Você pode usar esse recurso para determinar quais políticas estão sendo usadas no dispositivo e com que frequência elas são usadas. Dependendo das opções de comando escolhidas, o número de acertos pode ser listado sem uma ordem ou classificado em ordem ascendente ou descendente, podendo ser restringido ao número de acertos que caem acima ou abaixo de uma contagem específica ou dentro de um intervalo. Os dados são mostrados para todas as zonas associadas às políticas ou zonas nomeadas.
Verificando o uso de memória em dispositivos da Série SRX
Você pode isolar problemas de memória comparando os valores de memória antes e depois das configurações da política.
A memória para entidades de fluxo, como políticas, zonas ou endereços em SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 e dispositivos SRX5800 (dependendo da versão do Junos OS em sua instalação) é alocada dinamicamente. No entanto, certas práticas podem ajudar a monitorar o uso atual de memória no dispositivo e otimizar parâmetros para dimensionar melhor a configuração do sistema, especialmente durante a implementação de políticas.
Para verificar o uso da memória:
Use o comando para verificar o uso geral da
show chassis routing-engine
memória do mecanismo de roteamento (RE). A saída a seguir deste comando mostra a utilização da memória em 39 por cento:user@host#
show chassis routing-engine
Routing Engine status: Slot 0: Current state Master Election priority Master (default) DRAM 1024 MB Memory utilization 39 percent CPU utilization: User 0 percent Background 0 percent Kernel 2 percent Interrupt 0 percent Idle 97 percent Model RE-PPC-1200-A Start time 2011-07-09 19:19:49 PDT Uptime 37 days, 15 hours, 44 minutes, 13 seconds Last reboot reason 0x3:power cycle/failure watchdog Load averages: 1 minute 5 minute 15 minute 0.22 0.16 0.07Use o
show system processes extensive
comando para obter informações sobre os processos em execução no Mecanismo de Roteamento.Use a opção
find nsd
noshow system processes extensive
comando para ver o uso direto no Daemon de Segurança de Rede (NSD) com sua memória total em uso como 10 megabytes e utilização de CPU de 0 por cento.user@host# show system processes extensive | find nsd 1182 root 1 96 0 10976K 5676K select 2:08 0.00% nsd 1191 root 4 4 0 8724K 3764K select 1:57 0.00% slbd 1169 root 1 96 0 8096K 3520K select 1:51 0.00% jsrpd 1200 root 1 4 0 0K 16K peer_s 1:10 0.00% peer proxy 1144 root 1 96 0 9616K 3528K select 1:08 0.00% lacpd 1138 root 1 96 0 6488K 2932K select 1:02 0.00% ppmd 1130 root 1 96 0 7204K 2208K select 1:02 0.00% craftd 1163 root 1 96 0 16928K 5188K select 0:58 0.00% cosd 1196 root 1 4 0 0K 16K peer_s 0:54 0.00% peer proxy 47 root 1 -16 0 0K 16K sdflus 0:54 0.00% softdepflush 1151 root 1 96 0 15516K 9580K select 0:53 0.00% appidd 900 root 1 96 0 5984K 2876K select 0:41 0.00% eventd
Verifique o tamanho do arquivo de configuração. Reserve seu arquivo de configuração com um nome único antes de sair da CLI. Em seguida, insira o
ls -1 filename
comando do prompt de shell na shell de nível UNIX para verificar o tamanho do arquivo conforme mostrado na saída de amostra a seguir:user@host> start shell % ls -l config -rw-r--r-- 1 remote staff 12681 Feb 15 00:43 config
Veja também
Monitore as estatísticas da política de segurança
Propósito
Monitore e registre tráfego que o Junos OS permite ou nega com base em políticas previamente configuradas.
Ação
Para monitorar o tráfego, habilite a contagem e as opções de log.
Contagem:Configuráveis em uma política individual. Se a contagem for habilitada, são coletadas estatísticas para sessões que entram no dispositivo para uma determinada política e para o número de pacotes e bytes que passam pelo dispositivo em ambas as direções para uma determinada política. Para contagens (apenas para pacotes e bytes), você pode especificar que alarmes são gerados sempre que o tráfego exceder os limites especificados. Veja contagem (Políticas de segurança).
Log—O recurso de registro pode ser habilitado com políticas de segurança durante a inicialização de sessão (sessão init) ou encerramento da sessão (encerramento da sessão). Veja log (Políticas de segurança).
Para visualizar logs de conexões negadas, habilite o log na sessão.
Para registrar sessões após a conclusão/demolição, habilite o log no fechamento da sessão.
O log de sessão é habilitado em tempo real no código de fluxo que afeta o desempenho do usuário. Se o fechamento da sessão e a intenção de sessão estiverem habilitados, o desempenho será ainda mais degradado em comparação com a habilitação apenas para a sessão .
Para obter mais informações sobre as informações coletadas para logs de sessão, veja informações fornecidas nas entradas de log de sessão para gateways de serviços da Série SRX.
Verificação de políticas de sombra
- Verificando todas as políticas de sombra
- Verificar se uma política sombreia uma ou mais políticas
- Verificar se uma política é sombreada por uma ou mais políticas
Verificando todas as políticas de sombra
Propósito
Verifique todas as políticas que acompanham uma ou mais políticas.
Ação
A partir do modo operacional, insira os seguintes comandos:
Para sistemas lógicos, entre no
show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name
comando.Para políticas globais, entre no
show security shadow-policies logical-system lsys-name global
comando.
root@host> show security shadow-policies from-zone zone-a to-zone zone-b Policies Shadowed policies P1 P3 P1 P4 P2 P5
Significado
A saída exibe a lista de todas as políticas que acompanham outras políticas. Neste exemplo, a política P1 acompanha as políticas P3 e P4 e as políticas P2 sombras da política P5.
Verificar se uma política sombreia uma ou mais políticas
Propósito
Verifique se uma determinada política acompanha uma ou mais políticas posicionadas após ela.
Ação
A partir do modo operacional, insira os seguintes comandos:
Para sistemas lógicos, entre no
show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-name
comando.Para políticas globais, entre no
show security shadow-policies logical-system lsys-name global policy policy-name
comando.
root@host> show security shadow-policies from-zone zone-a to-zone zone-b policy P1 Policies Shadowed policies P1 P3 P1 P4
Significado
A saída exibe todas as políticas que são sombreadas pela determinada política. Neste exemplo, a política P1 acompanha as políticas P3 e P4.
Verificar se uma política é sombreada por uma ou mais políticas
Propósito
Verifique se uma determinada política está sombreada por uma ou mais posições antes dela.
Ação
A partir do modo operacional, insira os seguintes comandos:
Para sistemas lógicos, entre no
show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-name reverse
comando.Para políticas globais, entre no
show security shadow-policies logical-system lsys-name global policy policy-name reverse
comando.
root@host> show security shadow-policies from-zone zone-a to-zone zone-b policy P4 reverse Policies Shadowed policies P1 P4
Significado
A saída exibe a determinada política sombreada por uma ou mais políticas. Neste exemplo, a política P4 é sombreada pela política P1.
Resolução de problemas de políticas de segurança
- Sincronização de políticas entre mecanismo de roteamento e mecanismo de encaminhamento de pacotes
- Verificando uma falha no compromisso da política de segurança
- Confirmar o compromisso de uma política de segurança
- Busca de políticas de depuração
Sincronização de políticas entre mecanismo de roteamento e mecanismo de encaminhamento de pacotes
Problema
Descrição
As políticas de segurança são armazenadas no mecanismo de roteamento e no mecanismo de encaminhamento de pacotes. As políticas de segurança são empurradas do mecanismo de roteamento para o mecanismo de encaminhamento de pacotes quando você confirma configurações. Se as políticas de segurança no mecanismo de roteamento estiverem fora de sincronia com o Mecanismo de encaminhamento de pacotes, o comprometimento de uma configuração falha. Os arquivos de despejo de núcleo podem ser gerados se o commit for tentado repetidamente. A desincronizá-lo pode ser devido a:
Uma mensagem de política do mecanismo de roteamento para o mecanismo de encaminhamento de pacotes é perdida em trânsito.
Um erro com o mecanismo de roteamento, como um UID de política reutilizado.
Ambiente
As políticas no mecanismo de roteamento e mecanismo de encaminhamento de pacotes devem estar em sincronia para que a configuração seja comprometida. No entanto, em determinadas circunstâncias, as políticas no mecanismo de roteamento e no mecanismo de encaminhamento de pacotes podem estar fora de sincronia, o que faz com que o compromisso fracasse.
Sintomas
Quando as configurações de políticas são modificadas e as políticas estão fora de sincronia, a mensagem de erro a seguir é exibida - error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.
Solução
Use o show security policies checksum
comando para exibir o valor do checkum da política de segurança e use o request security policies resync
comando para sincronizar a configuração das políticas de segurança no Mecanismo de Roteamento e mecanismo de encaminhamento de pacotes, se as políticas de segurança estiverem fora de sincronia.
Veja também
Verificando uma falha no compromisso da política de segurança
Problema
Descrição
A maioria das falhas de configuração de políticas ocorrem durante um compromisso ou tempo de execução.
As falhas de confirmação são relatadas diretamente na CLI quando você executa a verificação de confirmação de comando CLI no modo de configuração. Esses erros são erros de configuração e você não pode confirmar a configuração sem corrigir esses erros.
Solução
Para corrigir esses erros, faça o seguinte:
Analise seus dados de configuração.
Abra o arquivo /var/log/nsd_chk_only. Este arquivo é sobreescrito cada vez que você realiza uma verificação de confirmação e contém informações detalhadas de falha.
Confirmar o compromisso de uma política de segurança
Problema
Descrição
Ao realizar um compromisso de configuração de política, se você notar que o comportamento do sistema está incorreto, use as seguintes etapas para solucionar este problema:
Solução
Comandos de exibição operacional — Execute os comandos operacionais para políticas de segurança e verifique se as informações mostradas na saída são consistentes com o que você esperava. Se não, a configuração precisa ser alterada adequadamente.
Traceoptions — Defina o
traceoptions
comando em sua configuração de política. As bandeiras sob essa hierarquia podem ser selecionadas de acordo com a análise do usuário dashow
saída de comando. Se você não puder determinar qual bandeira usar, a opçãoall
de bandeira pode ser usada para capturar todos os logs de rastreamento.user@host#
set security policies traceoptions <flag all>
Você também pode configurar um nome de arquivo opcional para capturar os logs.
user@host# set security policies traceoptions <filename>
Se você especificou um nome de arquivo nas opções de rastreamento, você pode procurar no /var/log/<filename> para o arquivo de log verificar se algum erro foi relatado no arquivo. (Se você não especificou um nome de arquivo, o nome de arquivo padrão é eventd.) As mensagens de erro indicam o local da falha e o motivo apropriado.
Após a configuração das opções de rastreamento, você deve reacomodar a mudança de configuração que causou o comportamento incorreto do sistema.
Busca de políticas de depuração
Problema
Descrição
Quando você tem a configuração correta, mas algum tráfego foi incorreto ou permitido, você pode ativar a lookup
bandeira nas traceoptions de políticas de segurança. A lookup
bandeira registra os vestígios relacionados à busca no arquivo de rastreamento.
Solução
user@host# set security policies traceoptions <flag lookup>
Sincronização de alta disponibilidade (HA) do cache de resolução de nomes de endereços
O processo de segurança de rede (NSD) é reiniciado quando o sistema reinicializa, o failover de HA acontece ou se o processo falha. Durante esse período, se houver um grande número de endereços de nome de domínio configurados nas polícias de segurança, os firewalls da Série SRX tentam enviar solicitações ao servidor DNS para que todos os endereços IP sejam resolvidos. Uma grande quantidade de recursos do sistema é consumida quando um grande número de consultas e respostas de DNS são trocados. Assim, os firewalls da Série SRX não conseguem obter uma resposta do servidor DNS e o endereço de um nome de host em uma entrada de livro de endereços pode não ser resolvido corretamente. Isso pode fazer com que o tráfego caia, pois nenhuma política de segurança ou correspondência de sessão é encontrada. O novo aprimoramento nos firewalls da Série SRX resolve esse problema ao analisar os resultados da consulta de DNS em um arquivo de cache DNS local e sincronizar periodicamente o arquivo de cache DNS do nó primário de HA para nó de backup ha. Os arquivos de cache DNS armazenam endereços IP, nome de domínio e valores de TTL. Após o failover da HA, o nó de backup anterior torna-se um nó primário. Como todos os resultados de cache de DNS estão disponíveis em novo nó primário, o processamento de políticas de segurança continua e o tráfego de passagem é permitido de acordo com as regras da política.
A partir do Junos OS Release 19.3R1, a memória de cache DNS da política é sincronizada em um arquivo de cache DNS local no nó ativo de HA e é copiada para o nó de backup HA para suprimir consultas de DNS ou respostas durante a reinicialização do NSD.
As seguintes etapas são realizadas para que a sincronização ocorra:
A memória de cache DNS da política é sincronizada em um arquivo de cache DNS de política local localizado no caminho /var/db/policy_dns_cache a cada 30 segundos se o conteúdo de memória de cache DNS de política tiver mudado durante este período.
O arquivo de cache DNS local é sincronizado do nó principal de HA para nó de backup HA imediatamente após o arquivo de cache DNS local ter sido atualizado na Etapa 1.
A sincronização inclui o seguinte conteúdo:
Nome do domínio
Lista de endereços IPv4 e seu TTL (tempo de vida)
Lista de endereços IPv6 e seu TTL
Quando o NSD é reiniciado, ele lê e analisa o arquivo de cache DNS local e importa todas as entradas de cache na memória. A sincronização garante que as consultas de DNS sejam suprimidas durante a reinicialização do NSD. O NSD reinicia o novo nó primário durante o failover de HA à medida que os endereços IP resolvidos para nomes de domínio já existem na memória de cache DNS ao ler as configurações das políticas. Portanto, um novo tráfego de passagem é permitido de acordo com a política de segurança após o failover da HA, pois todos os endereços IP resolvidos para nomes de domínio existem dentro de políticas no mecanismo de roteamento e mecanismo de encaminhamento de pacotes de novos nós primários.