Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

Descripción de las alarmas y auditoría de VPN

 

Configure el siguiente comando para activar el registro de sucesos de seguridad durante la configuración inicial del dispositivo. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM y dispositivos e instancias de SRX1500 vSRX.

set security log cache

Los administradores (Auditing, Cryptographic, IDS y Security) no pueden modificar la configuración del registro de sucesos de seguridad si el comando anterior está configurado y cada rol de administrador está configurado para tener un conjunto distinto y único de privilegios, aparte del resto funciones administrativas.

Las alarmas se activan por un error de VPN. Una alarma de VPN se genera cuando el sistema supervisa cualquiera de los siguientes eventos auditados:

  • Authentication failures—Puede configurar el dispositivo para que genere una alarma del sistema cuando los errores de autenticación del paquete alcancen un número especificado.

  • Encryption and decryption failures—Puede configurar el dispositivo para que genere una alarma del sistema cuando los errores de cifrado o descifrado superen un número especificado.

  • IKE Phase 1 and IKE Phase 2 failures—Las negociaciones de Intercambio de claves por red (ICR) fase 1 se utilizan para establecer asociaciones de seguridad ICR (SA). Estas SA protegen las ICR las negociaciones de la fase 2. Puede configurar el dispositivo para generar una alarma del sistema cuando ICR errores de fase 1 o ICR fase 2 superan un número especificado.

  • Self-test failures—Las pruebas automáticas se comprueban de que un dispositivo se ejecuta al encenderse o el reinicio para comprobar si el software de seguridad se ha implementado correctamente en el dispositivo.

    Las pruebas automáticas garantizan la corrección de los algoritmos criptográficos. La imagen Junos-FIPS realiza pruebas automáticas automáticamente durante el encendido y continuamente para la generación de pares de claves. En las imágenes nacionales o FIPS, las pruebas automáticas pueden configurarse para que se realice según una programación definida, a pedido o inmediatamente después de la generación de la clave.

    Puede configurar el dispositivo para que genere una alarma de sistema cuando se produzca un fallo de autocomprobación.

  • IDP flow policy attacks—Una directiva de detección y prevención de intrusiones (IDP) le permite imponer diversas técnicas de detección y prevención de ataques en el tráfico de la red. Puede configurar el dispositivo para que genere una alarma de sistema cuando se produzcan infracciones de políticas de flujo de IDP.

  • Replay attacks—Un ataque de reproducción es un ataque de red en el que una transmisión de datos válida se repite o se retrasa de forma malintencionada o fraudulenta. Puede configurar el dispositivo para que genere una alarma de sistema cuando se produzca un ataque de reproducción.

Los mensajes de syslog se incluyen en los siguientes casos:

  • Generación de claves simétricas fallidas

  • No se pudo generar la clave asimétrica

  • Fallo de distribución de clave manual

  • Se produjo un error de distribución de clave automatizada

  • Fallo en la destrucción de la clave

  • Fallo de manejo y almacenamiento de claves

  • Error de cifrado o descifrado de datos

  • Firma fallida

  • Acuerdo clave con errores

  • Hash criptográfico no superado

  • Error de ICR

  • No se pudo autenticar los paquetes recibidos

  • Error de descifrado debido a un contenido no válido de relleno

  • No coinciden en la longitud especificada en el campo de sujeto alternativo del certificado recibido de un dispositivo VPN peer remoto.

Las alarmas se generan según los mensajes syslog. Todos los fallos se registran, pero sólo se genera una alarma cuando se alcanza un umbral.

Para ver la información de la alarma, show security alarms ejecute el comando. El recuento de infracciones y la alarma no persisten entre los reinicios del sistema. Después de un reinicio, el recuento de infracciones se restablece en cero y la alarma se borra de la cola de alarma.

Después de haber tomado las medidas adecuadas, puede borrar la alarma. La alarma permanece en la cola hasta que la borre (o hasta que reinicie el dispositivo). Para borrar la alarma, ejecute el clear security alarms comando.

Temas relacionados