Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Überwachung des VPN-Datenverkehrs

Die VPN-Überwachung ermöglicht es Ihnen, die Erreichbarkeit von Peer-Geräten zu bestimmen, indem Sie Internet Control Message Protocol (ICMP)-Anforderungen an die Peers senden.

Verstehen von VPN-Alarmen und -Überwachung

Konfigurieren Sie den folgenden Befehl, um die Protokollierung von Sicherheitsereignis bei der ersten Einrichtung des Geräts zu ermöglichen. Diese Funktion wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM- und SRX1500- vSRX unterstützt.

set security log cache

Die Administratoren (Überwachung, Verschlüsselung, IDS und Sicherheit) können die Konfiguration der Protokollierung von Sicherheitsereignis nicht ändern, wenn der oben genannte Befehl konfiguriert ist und jede Administratorrolle so konfiguriert ist, dass sie über eine eigene, eindeutige Gruppe von Berechtigungen außer allen anderen administrativen Rollen verfügen.

Alarme werden durch einen VPN-Fehler ausgelöst. Es wird ein VPN-Alarm erzeugt, wenn das System eines der folgenden überwachten Ereignisse überwacht:

  • Authentication failures—Sie können das Gerät so konfigurieren, dass ein Systemalarm generiert wird, wenn die Paketauthentifizierungsfehler eine bestimmte Anzahl erreichen.

  • Encryption and decryption failures— Sie können das Gerät so konfigurieren, dass ein Systemalarm generiert wird, wenn Verschlüsselungs- oder Entschlüsselungsfehler eine bestimmte Anzahl übersteigen.

  • IKE Phase 1 and IKE Phase 2 failures—Internet Key Exchange (IKE) Aus verhandlungen über Phase 1 werden verwendet, um IKE Sicherheitszuordnungen (SAs) zu erstellen. Diese Sicherheitsbehörden schützen die IKE Phase-2-Verhandlungen. Sie können das Gerät so konfigurieren, dass ein Systemalarm generiert wird, wenn IKE Phase 1 oder IKE Phase 2-Ausfälle eine angegebene Anzahl übersteigen.

  • Self-test failuresSelbsttests sind Tests, bei denen ein Gerät beim Netzstart oder Beim Neustart ausgeführt wird, um zu prüfen, ob Sicherheitssoftware richtig auf Ihrem Gerät implementiert ist.

    Selbsttests gewährleisten die Richtigkeit von Kryptographiealgorithmen. Das Junos-FIPS-Image führt automatisch beim Einfahren selbst Tests und kontinuierlich für die Schlüsselpaare aus. Bei Images auf dem inländischen oder auf FIPS-Markt können Selbsttests nach einem definierten Zeitplan, auf Abruf oder unmittelbar nach der Schlüsselgenerierung konfiguriert werden.

    Sie können das Gerät so konfigurieren, dass bei Einem Selbsttestfehler ein Systemalarm generiert wird.

  • IDP flow policy attacks— Eine Richtlinie zur Eindringungserkennung und -verhinderung (IDP) ermöglicht Ihnen die Durchsetzung verschiedener Techniken zur Erkennung und Verhinderung von Angriffen im Netzwerkdatenverkehr. Sie können das Gerät so konfigurieren, dass ein Systemalarm generiert wird, wenn IDP bei Datenstrom-Richtlinienverstößen auftreten.

  • Replay attacks— Ein Replay-Angriff ist ein Netzwerkangriff, bei dem eine gültige Datenübertragung in betrügerischer Absicht wiederholt oder wiederholt wird. Sie können das Gerät so konfigurieren, dass bei einem Replay-Angriff ein Systemalarm generiert wird.

Die Syslog-Nachrichten sind in den folgenden Fällen enthalten:

  • Fehlerhafte symmetrische Schlüsselgenerierung

  • Fehlgeschlagene asymmetrische Schlüsselgenerierung

  • Fehlgeschlagene manuelle Schlüsselverteilung

  • Fehlgeschlagene automatisierte Schlüsselverteilung

  • Fehlgeschlagene Schlüsselvernichtung

  • Fehlgeschlagene Schlüsselverarbeitung und -speicherung

  • Fehlgeschlagene Datenübertragung oder -entschlüsselung

  • Fehlgeschlagene Signatur

  • Fehlgeschlagene Schlüsselvereinbarung

  • Fehlgeschlagenes Kryptographie-Hashing

  • IKE Fehler

  • Fehlgeschlagene Authentifizierung der empfangenen Pakete

  • Entschlüsselungsfehler aufgrund ungültiger Padding-Inhalte

  • Mismatch in der im alternativen Betrefffeld des Zertifikats angegebenen Länge, die von einem Remote-VPN-Peer-Gerät empfangen wurde.

Alarme werden basierend auf syslog-Meldungen ausgelöst. Jeder Fehler wird protokolliert, aber ein Alarm wird erst generiert, wenn ein Schwellenwert erreicht wird.

Führen Sie den Befehl aus, um die Alarminformationen show security alarms anzeigen zu können. Die Anzahl der Verstöße und der Alarm bestehen bei System-Neustarts nicht. Nach einem Neustart wird der Verstoß auf Null zurückgesetzt und der Alarm wird aus der Alarmwarteschlange gelöscht.

Nachdem entsprechende Maßnahmen ergriffen wurden, können Sie den Alarm löschen. Der Alarm bleibt in der Warteschlange, bis Sie ihn löschen (oder bis Sie das Gerät neu starten). Führen Sie den Befehl aus, um Den Alarm zu clear security alarms löschen.

Grundlegende Informationen zur VPN-Überwachung

Die VPN-Überwachung verwendet ICMP-Echoanfragen (oder Pings),um zu bestimmen, ob ein VPN-Tunnel verfügbar ist. Wenn die VPN-Überwachung aktiviert ist, sendet das Sicherheitsgerät Pings durch den VPN-Tunnel an das Peer-Gateway oder an ein bestimmtes Ziel am anderen Ende des Tunnels. Pings werden standardmäßig in Intervallen von 10 Sekunden und bis zu 10 Aufeinanderfolgenden gesendet. Wenn nach 10 aufeinanderfolgenden Pings keine Antwort erhalten wird, wird das VPN als geschlossen und die IPsec-Sicherheitszuordnung (SA)wird genehmigt.

Die VPN-Überwachung wird für ein bestimmtes VPN aktiviert, indem die vpn-monitor Option auf der [ ] edit security ipsec vpn vpn-name Hierarchieebene konfiguriert wird. Die IP-Adresse des Peer-Gateways ist das Standardziel. Sie können jedoch eine andere Ziel-IP-Adresse (z. B. einen Server) am anderen Ende des Tunnels angeben. Der lokale Tunnelendpunkt ist die Standard-Quellschnittstelle, aber Sie können einen anderen Schnittstellennamen angeben.

Die VPN-Überwachung eines extern verbundenen Geräts (z. B. eines PCs) wird auf anderen, sicheren SRX5400, SRX5600- und SRX5800 nicht unterstützt. Das Ziel für die VPN-Überwachung muss eine lokale Schnittstelle auf dem Gerät SRX5400, SRX5600 oder SRX5800 sein.

Die VPN-Überwachungsoption sendet Pings nur, wenn ausgehender Datenverkehr und kein eingehender Datenverkehr optimized durch den VPN-Tunnel vor sich geht. Wenn eingehender Datenverkehr durch den VPN-Tunnel kommt, berücksichtigt das Sicherheitsgerät den Tunnel als aktiv und sendet keine Pings an den Peer. Die Konfiguration der Option kann Ressourcen auf dem Sicherheitsgerät speichern, da Pings nur gesendet werden, wenn die Peer-Lebensader optimized bestimmt werden muss. Das Senden von Pings kann auch teure Backup-Links aktivieren, die andernfalls nicht verwendet werden würden.

Sie können das Intervall, in dem Pings gesendet werden, sowie die Anzahl der aufeinanderfolgenden Pings konfigurieren, die ohne eine Antwort gesendet werden, bevor das VPN als geschlossen angesehen wird. Diese werden mit den Optionen interval bzw. der threshold [ ] edit security ipsec vpn-monitor-options Hierarchieebene konfiguriert.

Die VPN-Überwachung kann in einigen VPN-Umgebungen zu Tunnel-Flapping führen, wenn Ping-Pakete nicht vom Peer basierend auf der Quell- oder Ziel-IP-Adresse des Pakets akzeptiert werden.

Grundlegende Informationen zur IPsec-Datenpath-Überprüfung

Überblick

Standardmäßig basiert der Status der im Punkt-zu-Punkt-Modus konfigurierten Secure Tunnel (St0)-Schnittstellen in routenbasierten VPNs auf dem Status des VPN-Tunnels. Bald nachdem die IPsec-SICHERHEITSzuordnung festgelegt wurde, werden Routen, die mit der ST0-Schnittstelle verbunden sind, in der Junos OS installiert. In bestimmten Netzwerktopologien wie dem Standort einer Transit-Firewall zwischen den VPN-Tunnel-Endpunkten kann IPsec-Datenverkehr, der aktive Routen für einen etablierten VPN-Tunnel auf der St0-Schnittstelle verwendet, von der Transit-Firewall blockiert werden. Dies kann zu Datenverkehrsverlusten führen.

Wenn Sie die IPsec-Datenpath-Überprüfung aktivieren, wird die ST0-Schnittstelle erst aktiviert, wenn die Datenpath-Funktion geprüft wurde. Die Überprüfung wird mit der Anweisung für set security ipsec vpn vpn-name vpn-monitor verify-path routenbasierte, Standort-zu-Standort- und dynamische Endpunkt-VPN-Tunnel konfiguriert.

Wenn vor dem Peer NAT Endpunkt ein Gerät befindet, wird die IP-Adresse des Peer-Tunnel-Endpunkts in die IP-Adresse des NAT übersetzt. Damit die ICMP-Anforderung zur VPN-Überwachung den Peer-Tunnel-Endpunkt erreichen soll, müssen Sie explizit die ursprüngliche, nicht übertragene IP-Adresse des Peer Tunnel-Endpunkts hinter dem NAT angeben. Das wird mit der Konfiguration set security ipsec vpn vpn-name vpn-monitor verify-path destination-ip konfiguriert.

Beginnend im Junos OS Release 15.1X49-D120 können Sie die Größe des Pakets konfigurieren, das zur Überprüfung einer IPsec-Datenpath-Prüfung verwendet wird, bevor die Schnittstelle st0 gestartet wird. Verwenden Sie die set security ipsec vpn vpn-name vpn-monitor verify-path packet-size Konfiguration. Die konfigurierbare Paketgröße bewegt sich zwischen 64 und 1350 Bytes. standardmäßig 64 Byte.

Vorbehalte

Die Für den VPN-Überwachungsbetrieb konfigurierte Quellschnittstelle und Ziel-IP-Adressen haben keine Auswirkungen auf die IPsec-Datenpath-Überprüfung. Die Quelle für die ICMP-Anforderungen in der IPsec-Datenpath-Überprüfung ist das lokale Tunnelendpunkt.

Wenn Sie die IPsec-Datenpath-Überprüfung aktivieren, wird die VPN-Überwachung automatisch aktiviert und verwendet, nachdem die st0-Schnittstelle eingerichtet wurde. Wir empfehlen, die optimierte Option für den VPN-Monitor mit dem Befehl zu konfigurieren, wenn set security ipsec vpn vpn-name vpn-monitor optimized Sie die IPsec-Datenpath-Überprüfung aktivieren.

Wenn ein Chassis Cluster-Failover während der IPsec-Datenpath-Überprüfung erfolgt, startet der neue aktive Knoten die Überprüfung erneut. Die ST0-Schnittstelle wird erst aktiviert, wenn die Überprüfung erfolgreich ist.

Für IPsec SA-Rekeys wird keine IPsec-Datapath-Überprüfung ausgeführt, da der St0-Schnittstellenstatus nicht für Rekeys geändert wird.

Die IPsec-Überprüfung der Datenpath-Funktion wird an st0-Schnittstellen, die im Point-to-Multipoint-Modus konfiguriert sind und mit AutoVPN, Auto Discovery VPN und mehreren Datenverkehrs-Selektoren verwendet werden, nicht unterstützt. VPN-Überwachung und IPsec-Datenpath-Überprüfung unterstützen keine IPv6-Adressen, daher kann die IPsec-Datenpath-Überprüfung nicht mit IPv6-Tunneln verwendet werden.

Grundlegende Informationen zu den globalen SPI- und VPN-Überwachungsfunktionen

Sie können den effizienten Betrieb Ihres VPN mithilfe der folgenden globalen VPN-Funktionen überwachen und pflegen:

  • SPI: Peers in einer Sicherheitszuordnung (Security Association, SA) können unsynchronisiert werden, wenn einer der Peers ausfällt. Wenn beispielsweise ein Peer neu gestartet wird, wird möglicherweise ein falscher Sicherheitsparameter-Index (SPI) gesendet. Sie können es dem Gerät ermöglichen, ein solches Ereignis zu erkennen und die Peers neu zusynchronisieren, indem Sie die schlechte SPI-Antwortfunktion konfigurieren.

  • VPN-Überwachung: Sie können die globale VPN-Überwachungsfunktion verwenden, um regelmäßig IcMP-Anforderungen (Internet Control Message Protocol) an den Peer zu senden, um zu bestimmen, ob der Peer erreichbar ist.

Grundlegende Informationen zur VPN-Überwachung und DPD

VPN-Überwachung und Dead Peer Detection (DPD) sind Funktionen, die auf Geräten der SRX-Serie verfügbar sind, um die Verfügbarkeit von VPN-Peer-Geräten zu überprüfen. In diesem Abschnitt werden Betrieb und Konfiguration dieser Funktionen verglichen.

Das Gerät der SRX-Serie reagiert auf VON VPN-Peers gesendete DPD-Nachrichten, auch wenn die DPD auf dem Gerät nicht konfiguriert ist. Sie können das Gerät der SRX-Serie so konfigurieren, dass DPD-Nachrichten an VPN-Peers initiiert werden. Sie können auch die DPD- und VPN-Überwachung so konfigurieren, dass sie gleichzeitig auf demselben Gerät der SRX-Serie ausgeführt wird. Die Anzahl der Peers, die mit beiden Methoden überwacht werden können, wird jedoch reduziert.

Die VPN-Überwachung ist ein Junos OS-Mechanismus, der nur Phase-2-Sicherheitszuordnungen (SAs) überwacht. Die VPN-Überwachung wird je nach VPN aktiviert, mit der Anweisung vpn-monitor auf der [ ] edit security ipsec vpn vpn-name Hierarchieebene. Ziel-IP und Quellschnittstelle müssen angegeben werden. Diese Option ermöglicht es dem Gerät, Datenverkehrsmuster als Beweis für optimized die Peer-Lebensadern zu verwenden. ICMP-Anforderungen werden verdrängt.

VPN-Überwachungsoptionen werden mit der vpn-monitor-options Anweisung auf der [ ] edit security ipsec Hierarchieebene konfiguriert. Diese Optionen gelten für alle VPNs, für die die VPN-Überwachung aktiviert ist. Die konfigurierbaren Optionen umfassen das Intervall, in dem ICMP-Anforderungen an den Peer gesendet werden (Standard 10 Sekunden) und die Anzahl der aufeinanderfolgenden ICMP-Anforderungen, die gesendet werden, ohne eine Antwort zu erhalten, bevor der Peer als nicht erreichbar angesehen wird (Standard: 10 Anfragen in Folge).

DPD ist eine Implementierung von RFC 3706, A Traffic-Based Method of Detecting Dead Internet Key Exchange (IKE) Peers. Sie wird auf Der Netzwerkebene IKE überwacht den Peer-Datenverkehr basierend sowohl auf IKE als auch auf der IPsec-Datenverkehrsaktivität.

DPD wird auf einem einzelnen Gateway IKE mit der Anweisung dead-peer-detection auf der [ ] edit security ike gateway gateway-name Hierarchieebene konfiguriert. Sie können die DPD-Betriebsmodi konfigurieren. Der standardmäßige (optimierte) Modus sendet DPD-Nachrichten an den Peer, wenn innerhalb eines konfigurierten Intervalls kein eingehender IKE- oder IPsec-Datenverkehr verfügbar ist, nachdem das lokale Gerät ausgehende Pakete an den Peer sendet. Weitere konfigurierbare Optionen sind das Intervall, in dem DPD-Nachrichten an den Peer gesendet werden (Standardmäßig 10 Sekunden) und die Anzahl der aufeinanderfolgenden DPD-Nachrichten, die gesendet werden, ohne eine Antwort zu erhalten, bevor der Peer als nicht verfügbar gilt (Standard sind fünf aufeinanderfolgende Anforderungen).

Verstehen von Dead Peer Detection

Dead Peer Detection (DPD) ist eine Methode, mit der Netzwerkgeräte die aktuelle Existenz und Verfügbarkeit anderer Peer-Geräte überprüfen.

Sie können die DPD als Alternative zur VPN-Überwachung verwenden. Die VPN-Überwachung gilt für einzelne IPSec-VPNs, während DPD nur in einem einzelnen Kontext IKE Gateway konfiguriert wird.

Ein Gerät führt die DPD-Verifizierung durch, indem es verschlüsselte IKE Phase 1-Benachrichtigungs payloads (R-U-THERE-Nachrichten) an einen Peer sendet und auf DPD-Bestätigungen (R-U-THERE-ACK-Nachrichten) vom Peer wartet. Das Gerät sendet eine R-U-THERE-Nachricht nur, wenn es während eines angegebenen DPD-Intervalls keinen Datenverkehr vom Peer empfangen hat. Wenn das Gerät in diesem Intervall eine R-U-THERE-ACK-Nachricht vom Peer empfängt, wird der Peer für lebend. Wenn das Gerät Datenverkehr im Tunnel vom Peer empfängt, setzt es seinen R-U-THERE-Nachrichtenzähler für diesen Tunnel zurück und startet so ein neues Intervall. Wenn das Gerät während des Intervalls keine R-U-THERE-ACK-Nachricht erhält, wird der Peer für tot erachtet. Wenn das Gerät den Status eines Peer-Geräts ändert und tot ist, entfernt das Gerät die Sicherheitszuordnung von Phase 1 und alle Phase-2-SAs für diesen Peer.

Die folgenden DPD-Modi werden auf den Geräten der SRX-Serie unterstützt:

  • Optimiert: R-U-THERE-Nachrichten werden ausgelöst, wenn innerhalb eines konfigurierten Intervalls kein eingehender IKE- oder IPsec-Datenverkehr besteht, nachdem das Gerät ausgehende Pakete an den Peer sendet. Das ist der Standardmodus.

  • Probe-Leerlauf: R-U-THERE-Nachrichten werden ausgelöst, wenn kein ein- oder ausgehender Datenverkehr IKE bzw. IPsec-Datenverkehr in einem konfigurierten Intervall vorliegt. R-U-THERE-Nachrichten werden regelmäßig an den Peer gesendet, bis Datenverkehrsaktivitäten durchgeführt werden. Dieser Modus erleichtert die frühzeitige Erkennung eines heruntergefahrenen Peer und stellt den Tunnel für den Datenverkehr zur Verfügung.

    Wenn mehrere Datenverkehrs-Selektoren für ein VPN konfiguriert sind, können mehrere Tunnel für dasselbe Sicherheitszuordnungs-Gateway IKE werden. In diesem Szenario löst der Nicht-Test-Tunnelmodus R-U-THERE-Nachrichten aus, die gesendet werden, wenn ein mit der IKE SA verknüpfter Tunnel nicht mehr verfügbar ist. Es kann jedoch Datenverkehr in einem anderen Tunnel für dasselbe IKE SA geben.

  • Immer senden: R-U-THERE-Nachrichten werden in konfigurierten Intervals gesendet, unabhängig von der Datenverkehrsaktivität zwischen den Peers.

    Wir empfehlen, den Nicht-Test-Tunnelmodus anstelle des Modus always-send zu verwenden.

DPD-Timer sind aktiv, sobald die Phase 1-Sicherheitszuordnung festgelegt wurde. Das DPD-Verhalten ist sowohl bei IKEv1- als auch IKEv2-Protokollen gleich.

Sie können die folgenden DPD-Parameter konfigurieren:

  • Der Intervallparameter gibt die Zeitzeit an (ausgedrückt in Sekunden), in der das Gerät auf den Datenverkehr seines Peers wartet, bevor es eine R-U-THERE-Nachricht sendet. Das Standardintervall beträgt 10 Sekunden. Der zulässige Parameterbereich, in dem die R-U-THERE-Nachrichten an das Peer-Gerät gesendet werden, beginnt mit Junos OS Release 15.1X49-D130 und wird von 10 bis 60 Sekunden auf 2 Sekunden bis 60 Sekunden reduziert. Wenn der DPD-Intervallparameter unter 10 Sekunden festgelegt wird, sollte der Schwellenwert mindestens 3 liegen.

  • Der Grenzwert gibt die maximale Anzahl an Zeiten an, in der die R-U-THERE-Nachricht ohne eine Antwort des Peers gesendet werden kann, bevor der Peer tot ist. Die Standardanzahl der Übertragungen liegt fünf Mal, und es liegt ein zulässiger Bereich von 1 bis 5 erneuten Datenübertragungen vor.

Beachten Sie die folgenden Überlegungen vor der Konfiguration der DPD:

  • Wenn einem vorhandenen Gateway mit aktiven Tunneln eine DPD-Konfiguration hinzugefügt wird, werden R-U-THERE-Nachrichten gestartet, ohne die Phasen 1 oder 2-Sicherheitsas zu löschen.

  • Wenn eine DPD-Konfiguration von einem vorhandenen Gateway mit aktiven Tunneln gelöscht wird, werden R-U-THERE-Nachrichten für die Tunnel beendet. IKE und IPsec-SAs sind nicht betroffen.

  • Durch Ändern beliebiger DPD-Konfigurationsoptionen wie Modus, Intervall oder Grenzwerte wird der DPD-Vorgang aktualisiert, ohne dass Phase 1- oder Phase 2-Sicherheitsas überschritten werden.

  • Wenn das IKE-Gateway mit einer DPD- und VPN-Überwachung konfiguriert ist, die Option zum Einrichten von Tunneln jedoch nicht sofort konfiguriert ist, initiiert DPD keine Aushandlung nach Phase 1. Bei der Konfiguration von DPD muss die Option zum Einrichten von Tunneln sofort auch konfiguriert werden, um die St0-Schnittstelle zu deaktivieren, wenn keine Phase 1- und Phase 2-SAs verfügbar sind.

  • Wenn das IKE-Gateway mit mehreren Peer-IP-Adressen und DPD konfiguriert ist, die Phase 1-Sicherheitszuordnung jedoch nicht zur ersten Peer-IP-Adresse festgelegt wird, wird mit der nächsten Peer-IP-Adresse eine Phase 1-Sicherheitszuordnung versucht. DIE DPD ist erst aktiv, nachdem eine Phase 1-Sicherheitszuordnung eingerichtet wurde.

  • Wenn das IKE-Gateway mit mehreren Peer-IP-Adressen und DPD konfiguriert ist, die DPD jedoch mit der IP-Adresse des aktuellen Peers ausfällt, werden die Phasen-1- und Phase-2-SAs genehmigt und ein Failover zur nächsten Peer-IP-Adresse wird ausgelöst.

  • Bei gleichzeitigen Aus verhandlungen kann mehr als eine Phase 1- oder Phase 2-Sicherheitszuordnung beim selben Peer existieren. In diesem Fall werden R-U-THERE-Nachrichten an alle Phase-1-SAs gesendet. Wenn die DPD-Antworten nicht für die konfigurierte Anzahl aufeinander folgenden Zeit empfangen wurden, werden die Phase 1-Sicherheitszuordnung und die zugehörige Phase-2-Sicherheitszuordnung (nur für IKEv2) deutlich.

Verstehen von Tunnelereignissen

Wenn ein Netzwerkproblem mit einem VPN in Zusammenhang steht, wird nach dem Tunnel nur der Tunnelstatus verfolgt. Vor der Einrichtung des Tunnels können viele Probleme auftreten. Daher werden nun erfolgreiche Ereignisse wie erfolgreiche IPsec SA-Aushandlung, IPsec-Rekey und IKE SA-Rekeys verfolgt, anstatt nur den Tunnelstatus, Tunnel down-Probleme oder Aushandlungsfehler zu verfolgen. Diese Ereignisse werden als Tunnelereignisse bezeichnet.

In Phase 1 und Phase 2 werden Aushandlungsereignisse für einen bestimmten Tunnel zusammen mit den Ereignissen in externen Daemons wie AUTHD oder PKID nachverfolgt. Wenn ein Tunnelereignis mehrmals auftritt, wird nur ein Eintrag mit der aktualisierten Zeit und der Anzahl der aufgetretenen Ereignisse beibehalten.

Insgesamt werden 16 Veranstaltungen verfolgt: acht Veranstaltungen für Phase 1 und acht Veranstaltungen für Phase 2. Bei einigen Ereignissen kann der Ereignisspeicher erneut auftreten und füllen, was dazu führt, dass wichtige Ereignisse entfernt werden. Zur Vermeidung von Überschreiben wird eine Veranstaltung nur dann gespeichert, wenn ein Tunnel ausgefahren ist.

Die folgenden veranstaltungen fallen unter diese Kategorie:

  • Lebensdauer in KB, die für IPsec SA abgelaufen ist

  • Die harte Lebensdauer von IPsec SA ist abgelaufen

  • IPsec SA löscht Payload, die von Peer empfangen wurde, entsprechende IPsec-Sicherheitszuordnungen löschen

  • Cleared ungenutzte redundante IPsec SA-Paare

  • IPsec-Sicherheitszuordnungen als entsprechende IKE gelöscht

AutoVPN-Tunnel werden dynamisch erstellt und entfernt, und daher sind die diesen Tunneln entsprechenden Tunnelereignisse kurzlebig. Manchmal können diese Tunnelereignisse nicht mit einem Tunnel verknüpft werden, sodass die Systemprotokollierung zum Debuggen verwendet wird.

Beispiel: Einen Audible-Alarm als Benachrichtigung für einen Sicherheitsalarm festlegen

In diesem Beispiel wird gezeigt, wie Sie ein Gerät konfigurieren, um bei einem neuen Sicherheitsereignis einen Systemalarm zu generieren. Standardmäßig sind Alarme nicht hörbar. Diese Funktion wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM- und SRX1500- vSRX unterstützt.

Anforderungen

Vor der Konfiguration dieser Funktion ist keine besondere Konfiguration über die Gerätein initialisierung hinaus erforderlich.

Überblick

In diesem Beispiel stellen Sie einen als Reaktion auf einen Sicherheitsalarm generierten audiblen Alarm ein.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

So legen Sie einen audiblen Alarm fest:

  1. Aktivierung von Sicherheitswarnungen.

  2. Geben Sie an, dass Sie über Sicherheitsalarme mit einem hörbaren Alarm benachrichtigt werden möchten.

  3. Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, commit die Konfiguration.

Überprüfung

Geben Sie den Befehl ein, um sicherzustellen, dass die Konfiguration ordnungsgemäß show security alarms detail funktioniert.

Beispiel: Generieren von Sicherheitswarnungen als Reaktion auf potenzielle Verstöße

In diesem Beispiel wird gezeigt, wie Das Gerät konfiguriert wird, um bei einem möglichen Verstoß einen Systemalarm zu generieren. Standardmäßig wird bei möglichen Verstößen kein Alarm ausgelöst. Diese Funktion wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM- und SRX1500- vSRX unterstützt.

Anforderungen

Vor der Konfiguration dieser Funktion ist keine besondere Konfiguration über die Gerätein initialisierung hinaus erforderlich.

Überblick

In diesem Beispiel konfigurieren Sie einen Alarm, der ausgelöst wird, wenn:

  • Die Anzahl der Authentifizierungsfehler überschreitet 6.

  • Der Verschlüsselungs-Selbsttest schlägt fehl.

  • Der nicht kryptographische Selbsttest schlägt fehl.

  • Der Selbsttest der Schlüsselgenerierung fällt aus.

  • Die Anzahl der Verschlüsselungsfehler liegt über 10.

  • Die Anzahl der Entschlüsselungsfehler ist höher als 1.

  • Die Anzahl der IKE Fehler in Phase 1 ist 10 höher.

  • Die Anzahl der IKE Fehler in Phase 2 ist höher als 1.

  • Es findet ein Replay-Angriff statt.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus im Junos OS CLI Benutzerhandbuch.

So konfigurieren Sie Alarme als Reaktion auf mögliche Verstöße:

  1. Aktivierung von Sicherheitswarnungen.

  2. Geben Sie an, dass bei einem Authentifizierungsfehler ein Alarm ausgelöst werden sollte.

  3. Geben Sie an, dass ein Alarm ausgelöst werden sollte, wenn ein Verschlüsselungsfehler beim Selbsttest auftritt.

  4. Geben Sie an, dass ein Alarm ausgelöst werden sollte, wenn ein nicht kryptographischer Selbsttestfehler auftritt.

  5. Geben Sie an, dass bei Auftreten eines Selbsttestfehlers ein Alarm ausgelöst werden sollte.

  6. Geben Sie an, dass bei einem Verschlüsselungsfehler ein Alarm ausgelöst werden sollte.

  7. Geben Sie an, dass bei einem Entschlüsselungsfehler ein Alarm ausgelöst werden sollte.

  8. Geben Sie an, dass bei einem Fehler in IKE Phase 1 ein Alarm ausgelöst werden sollte.

  9. Geben Sie an, dass bei einem Ausfall IKE Phase 2 ein Alarm ausgelöst werden sollte.

  10. Geben Sie an, dass bei einem Replay-Angriff ein Alarm ausgelöst werden sollte.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security alarms eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.

Überprüfung

Geben Sie den Befehl ein, um zu bestätigen, dass die Konfiguration im Betriebsmodus ordnungsgemäß show security alarms funktioniert.

Release-Verlaufstabelle
Release
Beschreibung
15.1X49-D130
Der zulässige Parameterbereich, in dem die R-U-THERE-Nachrichten an das Peer-Gerät gesendet werden, beginnt mit Junos OS Release 15.1X49-D130 und wird von 10 bis 60 Sekunden auf 2 Sekunden bis 60 Sekunden reduziert. Wenn der DPD-Intervallparameter unter 10 Sekunden festgelegt wird, sollte der Schwellenwert mindestens 3 liegen.
15.1X49-D120
Beginnend im Junos OS Release 15.1X49-D120 können Sie die Größe des Pakets konfigurieren, das zur Überprüfung einer IPsec-Datenpath-Prüfung verwendet wird, bevor die Schnittstelle st0 gestartet wird.