VPN-Alarme, -Audits und -Ereignisse

Mithilfe der von Junos OS generierten Alarme können Sie die Ursache von VPN-bezogenen Ausfällen analysieren und nachvollziehen.

Ein VPN-Alarm ist ein Hinweis darauf, dass sich das konfigurierte VPN in einem Zustand befindet, zu dessen Auflösung möglicherweise ein Benutzereingriff erforderlich ist. Es wird ein Alarm angezeigt, wenn das Gerät während der Überwachung der überwachten Ereignisse einen Fehler meldet . Während ein Ereignis ein Ereignis ist, das zu einem bestimmten Zeitpunkt eintritt, ist ein Alarm ein Hinweis auf den Fehlerzustand.

Beachten Sie bei der Überwachung der Alarme und Ereignissedie folgenden Punkte:

• Stellen Sie sicher, dass Sie die Protokollierung von Sicherheitsereignissen während der Ersteinrichtung des Geräts mit dem [set security log cache] Befehlaktivieren. Weitere Informationen finden Sie unter Cache (Sicherheitsprotokoll).

• Junos OS unterstützt die Protokollierung von Sicherheitsereignissen auf den Firewalls SRX300, SRX320, SRX340, SRX345, SRX550HM und SRX1500 sowie auf den virtuellen vSRX-Firewalls.

• Jeder Administrator verfügt über eindeutige Berechtigungen, die auf den Rollen "Audit-Administrator", "Kryptografie-Administrator", "IDS-Administrator" und "Sicherheits-Administrator" basieren. Die anderen Administratoren können die Protokollierung von Sicherheitsereignissen nicht mehr ändern, nachdem sie vom autorisierten Administrator aktiviert wurde .

Ein VPN-Ausfall löst einen Alarm aus, wenn das System eines der folgenden überwachten Ereignisse überwacht:

• Authentifizierungsfehler:Sie können das Gerät so konfigurieren, dass ein Systemalarm generiert wird, wenn die Anzahl der Paketauthentifizierungsfehler einen bestimmten Schwellenwert erreicht.

• Verschlüsselungs- und Entschlüsselungsfehler:Sie können das Gerät so konfigurieren, dass ein Systemalarm ausgelöst wird, wenn die Anzahl der Verschlüsselungs- oder Entschlüsselungsfehler einen bestimmten Schwellenwert überschreitet.

• IKE-Phase-1- und IKE-Phase-2-Fehler– Junos OS richtet während der IKE-Phase-1-Verhandlungen Internet Key Exchange (IKE)-Sicherheitszuordnungen (SAs) ein. Die Sicherheitsverbände schützen die IKE-Phase-2-Verhandlungen. Sie können das Gerät so konfigurieren, dass ein Systemalarm generiert wird, wenn die Anzahl der IKE-Phase-1- oder IKE-Phase-2-Ausfälle einen bestimmten Grenzwert überschreitet.

• Selbsttestfehler– Nach dem Einschalten oder Neustart eines Geräts führt Junos OS einige Tests auf dem Gerät durch, um die Implementierung der Sicherheitssoftware zu überprüfen. 
Selbsttests stellen die Korrektheit kryptographischer Algorithmen sicher. Das Junos-FIPS-Image führt nach dem Einschalten des Geräts automatisch Selbsttests durch und führt den Test kontinuierlich für die Generierung von Schlüsselpaaren aus. In den inländischen oder FIPS-Images können Sie Selbsttests so konfigurieren, dass sie nach einem definierten Zeitplan, bei Bedarf oder unmittelbar nach der Schlüsselgenerierung ausgeführt werden. Sie können das Gerät auch so konfigurieren, dass ein Systemalarm generiert wird, wenn ein Selbsttest fehlschlägt.

• IDP-Flow-Richtlinienangriffe: Sie verwenden eine Intrusion Detection and Prevention-Richtlinie (IDP), um verschiedene Techniken zur Erkennung und Verhinderung von Angriffen im Netzwerkverkehr durchzusetzen. Sie können das Gerät so konfigurieren, dass ein Systemalarm generiert wird, wenn eine Verletzung der IDP-Datenstromrichtlinie auftritt.

• Replay-Angriffe: Ein Replay-Angriff ist ein Netzwerkangriff, bei dem ein Angreifer böswillig oder betrügerisch ein gültiges Datenübertragungsereignis wiederholt oder verzögert. Sie können das Gerät so konfigurieren, dass es bei einem Replay-Angriff einen Systemalarm generiert.

Junos OS generiert Systemprotokollmeldungen (auch Syslog-Meldungengenannt), um die auf dem Gerät auftretenden Ereignisse aufzuzeichnen. Syslog-Meldungen werden in den folgenden Fällen angezeigt:

• Fehlgeschlagene symmetrische Schlüsselgenerierung

• Fehlgeschlagene asymmetrische Schlüsselgenerierung

• Fehlgeschlagene manuelle Schlüsselverteilung

• Fehlgeschlagene automatische Schlüsselverteilung

• Fehlgeschlagene Schlüsselzerstörung

• Fehlgeschlagene Schlüsselhandhabung und -aufbewahrung

• Fehlgeschlagene Datenver- oder -entschlüsselung

• Fehlgeschlagene Signatur

• Fehlgeschlagene Schlüsselvereinbarung

• Fehlgeschlagenes kryptografisches Hashing

• IKE-Fehler

• Fehlgeschlagene Authentifizierung der empfangenen Pakete

• Entschlüsselungsfehler aufgrund von ungültigem Auffüllinhalt

• Diskrepanz in der Länge, die im Feld "Alternativer Betreff" des Zertifikats angegeben ist, das von einem Remote-VPN-Peer-Gerät empfangen wurde

Junos OS löst Alarme basierend auf den Syslog-Meldungen aus. Junos OS protokolliert zwar jeden Fehler, generiert aber erst dann einen Alarm, wenn der Schwellenwert erreicht ist. Um die Alarminformationen anzuzeigen, führen Sie den show security alarms Befehl aus. Die Anzahl der Verstöße und der Alarm bleiben bei Systemneustarts nicht bestehen. Nach einem Neustart wird die Anzahl der Verstöße auf Null zurückgesetzt, und der Alarm wird aus der Alarmwarteschlange gelöscht. Der Alarm verbleibt in der Warteschlange, bis Sie das Gerät neu starten oder bis Sie den Alarm löschen, nachdem Sie die entsprechenden Aktionen ausgeführt haben. Um den Alarm zu löschen, führen Sie den clear security alarms Befehl aus.

Nachdem ein VPN-Tunnel eingerichtet wurde, verfolgt Junos OS den Tunnelstatus im Zusammenhang mit Tunnelausfällen und fehlgeschlagenenAushandlungen. Junos OS verfolgt auch erfolgreiche Ereignisse wie erfolgreiche IPsec-Sicherheitszuordnungsverhandlungen, IPsec-Neuschlüssel und IKE-Sicherheitszuordnungsschlüssel. Wir verwenden den Begriff Tunnelereignisse , um uns auf diese Fehler- und Erfolgsereignisse zu beziehen.

In Phase 1 und Phase 2 verfolgt Junos OS die Aushandlungsereignisse für einen bestimmten Tunnel mit dem iked- oder kmd-Prozess zusammen mit den Ereignissen, die in externen Prozessen wie authd oder pkid auftreten. Wenn ein Tunnelereignis mehrmals auftritt, verwaltet das Gerät nur einen Eintrag mit der aktualisierten Uhrzeit und der Häufigkeit, mit der dieses Ereignis aufgetreten ist.

Insgesamt verfolgt Junos OS 16 Ereignisse – acht Ereignisse für Phase 1 und acht Ereignisse für Phase 2.

Einige Ereignisse können erneut auftreten und den Ereignisspeicher füllen, was dazu führt, dass wichtige Ereignisse entfernt werden. Um ein Überschreiben zu vermeiden, speichert das Gerät ein Ereignis nur, wenn der Tunnel ausgefallen ist. Einige dieser Ereignisse sind unten aufgeführt:

• Die Lebensdauer in Kilobyte ist für die IPsec-Sicherheitszuordnung abgelaufen.

• Die harte Lebensdauer der IPsec-Sicherheitszuordnung ist abgelaufen.

• IPsec-Sicherheitszuordnungen werden als entsprechende vom Peer empfangene Löschnutzlast gelöscht.

• Nicht verwendete redundante Backup-IPsec-Sicherheitszuordnungspaare wurden gelöscht.

• IPsec-Sicherheitszuordnungen wurden gelöscht, da die entsprechende IKE-Sicherheitszuordnung gelöscht wurde.

Junos OS erstellt und entfernt AutoVPN-Tunnel dynamisch. Dies hat zur Folge, dass Tunnelereignisse, die diesen Tunneln entsprechen, nur von kurzer Dauer sind. Nicht alle Tunnelereignisse sind einem Tunnel zugeordnet, Sie können sie jedoch zum Debuggen verwenden.

In diesem Beispiel wird gezeigt, wie ein Gerät so konfiguriert wird, dass beim Auftreten eines neuen Sicherheitsereignisses ein Systemwarnton generiert wird. Standardmäßig sind Alarme nicht hörbar. Diese Funktion wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM- und SRX1500-Geräten und vSRX Virtual Firewall-Instanzen unterstützt.

In diesem Beispiel wird gezeigt, wie das Gerät so konfiguriert wird, dass bei einem potenziellen Verstoß ein Systemalarm generiert wird. Standardmäßig wird kein Alarm ausgelöst, wenn ein potenzieller Verstoß auftritt. Diese Funktion wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM- und SRX1500-Geräten und vSRX Virtual Firewall-Instanzen unterstützt.