VPN 报警、审计和事件
SUMMARY 阅读本主题,了解各种类型的 Junos OS 报警、日志和事件。
Junos OS 记录各种事件、维护日志并触发与您在设备上执行的操作相关的警报。虽然 VPN 监控方法为您的 VPN 提供了一种主动监控技术,但警报、事件和审计会提供记录的信息来分析故障原因。 您可能会在创建隧道之前和之后注意到这些故障。
VPN 报警和审计
您可以使用 Junos OS 生成的告警来分析和了解 VPN 相关故障的原因。
VPN 警报表示配置的 VPN 处于可能需要用户干预才能解决的状态。当设备在监控审核事件时报告 故障时,你将看到警报。事件是在特定时间点发生的事件,而警报是故障状态的指示。
监控 告警和事件时,请注意以下几点:
-
请确保在设备初始设置期间使用命令启用
[set security log cache]
安全事件日志记录。有关更多详细信息,请参阅缓存(安全日志)。 -
Junos OS 支持 SRX300、SRX320、SRX340、SRX345、SRX550HM 和 SRX1500 防火墙以及 vSRX 虚拟防火墙上的安全事件日志记录。
-
每个管理员都有一组基于角色(如审核管理员、加密管理员、IDS 管理员和安全管理员)的独特权限。其他管理员在授权管理员启用安全事件日志记录后无法修改该日志记录。
当系统监控以下任何审核事件时,VPN 故障会触发警报:
-
身份验证失败 — 您可以将设备配置为在数据包身份验证失败次数达到指定阈值时生成系统警报。
-
加密和解密失败 - 您可以将设备配置为在加密或解密失败次数超过指定阈值时生成系统告警。
-
IKE 第 1 阶段和 IKE 第 2 阶段故障 — Junos OS 在 IKE 第 1 阶段协商期间建立互联网密钥交换 (IKE) 安全关联 (SA)。安全关联保护 IKE 第 2 阶段协商。您可以将设备配置为在 IKE 第 1 阶段或 IKE 第 2 阶段故障次数超过指定限制时生成系统告警。
-
自检失败 — 设备开机或重新启动后,Junos OS 会在设备上运行一些测试,以验证安全软件的实施情况。 自检确保加密算法的正确性。Junos-FIPS 映像在设备开机后自动执行自检,并持续运行测试以生成密钥对。在国内映像或 FIPS 映像中,您可以将自检配置为根据定义的计划、按需运行或在密钥生成后立即运行。 您还可以将设备配置为在自检失败时生成系统告警。
-
IDP 流策略攻击 — 您可以使用入侵检测和防御 (IDP) 策略对网络流量实施各种攻击检测和防御技术。您可以将设备配置为在发生 IDP 流策略冲突时生成系统警报。
-
重放攻击 — 重放攻击是一种网络攻击,攻击者恶意或欺诈性地重复或延迟有效的数据传输事件。您可以将设备配置为在发生重放攻击时生成系统告警。
Junos OS 生成系统日志消息(也称为 系统日志消息)以记录设备上发生的事件。在以下情况下,您会注意到系统日志消息:
-
对称密钥生成失败
-
非对称密钥生成失败
-
手动密钥分配失败
-
自动密钥分配失败
-
密钥销毁失败
-
密钥处理和存储失败
-
数据加密或解密失败
-
签名失败
-
密钥协议失败
-
加密哈希失败
-
IKE 故障
-
对收到的数据包进行身份验证失败
-
由于填充内容无效而导致的解密错误
-
从远程 VPN 对等设备接收的证书的备用主题字段中指定的长度不匹配
Junos OS 会根据系统日志消息触发告警。虽然 Junos OS 会记录每个故障,但只有在达到阈值时才会生成警报。要查看告警信息,请运行 show security alarms
命令。违规计数和警报不会在系统重新启动后持续存在。重新启动后,违规计数将重置为零,并且警报将从警报队列中清除。警报将一直保留在队列中,直到您重新启动设备或在执行相应操作后清除警报为止。 要清除警报,请运行 clear security alarms
命令。
另请参阅
VPN 隧道事件
VPN 隧道启动后,Junos OS 会跟踪与隧道关闭问题和协商失败相关的隧道状态。Junos OS 还会 跟踪 成功的事件,例如成功的 IPsec 安全关联 协商、IPsec 重新生成密钥和 IKE 安全关联 重新生成密钥。我们使用术语 隧道事件 来指代这些失败和成功事件。
对于第 1 阶段和第 2 阶段,Junos OS 使用 iked 或 kmd 进程跟踪给定隧道的协商事件,以及外部进程(如 authd 或 pkid)中发生的事件。当隧道事件多次发生时,设备仅保留一个条目,其中包含更新的时间和事件发生的次数。
Junos OS 总共跟踪 16 个事件 — 第 1 阶段为 8 个事件,第 2 阶段为 8 个事件。
某些事件可能会再次发生并填满事件内存,从而导致重要事件被删除。为避免覆盖,除非隧道关闭,否则设备不会存储事件。 下面列出了其中一些事件:
-
IPsec 安全关联的生存期(以千字节为单位)已过期。
-
IPsec 安全关联的 硬生存期已过期。
-
IPsec 安全关联清除为从对等方接收的相应删除有效负载。
-
清除了未使用的冗余备份 IPsec 安全关联 对。
-
IPsec 安全关联 已清除,因为相应的 IKE 安全关联 已删除。
Junos OS 动态创建和移除 AutoVPN 隧道。因此, 与这些隧道对应的隧道事件的生存期很短。并非所有隧道事件都与隧道相关联,但是,您可以使用它们进行调试。
配置 VPN 告警
在此任务中,您将了解如何查看和清除 SRX 系列防火墙上的警报。
示例:配置 声音警报 通知
此示例说明如何配置设备以在发生新的安全事件时生成系统警报蜂鸣声。默认情况下,警报听不见。SRX300、SRX320、SRX340、SRX345、SRX550HM 和 SRX1500 设备以及 vSRX 虚拟防火墙实例支持此功能。
要求
配置此功能之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将设置要生成的声音哔哔声以响应安全警报。
配置
程序
分步过程
要设置声音闹钟:
启用安全警报。
[edit] user@host# edit security alarms
指定您希望收到安全警报的通知,并发出哔哔声。
[edit security alarms] user@host# set audible
如果完成设备配置,请提交配置。
[edit security alarms] user@host# commit
验证
要验证配置是否正常工作,请输入 show security alarms detail
命令。
示例:配置 安全警报 生成
此示例说明如何配置设备以在发生潜在违规时生成系统警报。默认情况下,发生潜在违规时不会引发警报。SRX300、SRX320、SRX340、SRX345、SRX550HM 和 SRX1500 设备以及 vSRX 虚拟防火墙实例支持此功能。
要求
配置此功能之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将配置在以下情况下引发的警报:
身份验证失败的次数超过 6。
加密自检失败。
非加密自检失败。
密钥生成自检失败。
加密失败次数超过 10 次。
解密失败次数超过 1。
IKE 第 1 阶段故障数超过 10 次。
IKE 第 2 阶段失败的次数超过 1。
发生重放攻击。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit]
层级的 CLI 中,然后从配置模式进入 commit
。
set security alarms potential-violation authentication 6 set security alarms potential-violation cryptographic-self-test set security alarms potential-violation non-cryptographic-self-test set security alarms potential-violation key-generation-self-test set security alarms potential-violation encryption-failures threshold 10 set security alarms potential-violation decryption-failures threshold 1 set security alarms potential-violation ike-phase1-failures threshold 10 set security alarms potential-violation ike-phase2-failures threshold 1 set security alarms potential-violation replay-attacks
分步过程
下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要配置警报以响应潜在的违规行为,请执行以下操作:
启用安全警报。
[edit] user@host# edit security alarms
指定在发生身份验证失败时应引发警报。
[edit security alarms potential-violation] user@host# set authentication 6
指定在发生加密自检失败时应引发警报。
[edit security alarms potential-violation] user@host# set cryptographic-self-test
指定在发生非加密自检失败时应引发警报。
[edit security alarms potential-violation] user@host# set non-cryptographic-self-test
指定在发生密钥生成自检失败时应引发警报。
[edit security alarms potential-violation] user@host# set key-generation-self-test
指定在发生加密故障时应引发警报。
[edit security alarms potential-violation] user@host# set encryption-failures threshold 10
指定在发生解密失败时应引发警报。
[edit security alarms potential-violation] user@host# set decryption-failures threshold 1
指定在发生 IKE 第 1 阶段故障时应引发警报。
[edit security alarms potential-violation] user@host# set ike-phase1-failures threshold 10
指定在发生 IKE 第 2 阶段故障时应引发警报。
[edit security alarms potential-violation] user@host# set ike-phase2-failures threshold 1
指定在发生重播攻击时应引发警报。
[edit security alarms potential-violation] user@host# set replay-attacks
结果
在配置模式下,输入 show security alarms
命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
potential-violation { authentication 6; cryptographic-self-test; decryption-failures { threshold 1; } encryption-failures { threshold 10; } ike-phase1-failures { threshold 10; } ike-phase2-failures { threshold 1; } key-generation-self-test; non-cryptographic-self-test; replay-attacks; }
如果完成设备配置,请从配置模式输入 commit
。
验证
要确认配置工作正常,请在操作模式下输入 show security alarms
命令。