Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Configurer Syslog sur TLS

Découvrez comment configurer votre équipement pour transporter les messages de journal système (également appelés messages syslog) en toute sécurité via le protocole TLS (couche transport Security).

Journaux du plan de contrôle

Control plane logs, also called system logs, include events that occur on the routing platform. The system sends control plane events to the eventd process on the Routing Engine, which then handles the events by using Junos OS policies, by generating system log messages, or by doing both. You can choose to send control plane logs to a file, user terminal, routing platform console, or remote machine. To generate control plane logs, use the syslog statement at the [system] hierarchy level.

Exemple : Configurer Syslog sur TLS

Cet exemple montre comment configurer un équipement Juniper Networks pour transporter les messages syslog (journaux du plan de contrôle) en toute sécurité via TLS.

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Junos OS version 21.2R1 ou ultérieure

  • Junos OS Evolved version 23.4R1 ou ultérieure

  • Périphérique exécutant Junos OS ou Junos OS Evolved (client syslog)

  • Serveur Syslog

Présentation

Vous utilisez le protocole TLS pour permettre le transport sécurisé des messages de journal système (journaux de plan de contrôle) du client syslog au serveur syslog. TLS utilise des certificats pour authentifier et chiffrer la communication.

  • Authentification du serveur (ou TLS unidirectionnel) : le client vérifie l’identité du serveur et approuve le serveur.
  • Authentification mutuelle : le serveur et le client se font mutuellement confiance.

Vous pouvez choisir l’authentification du serveur ou l’authentification mutuelle en fonction de votre réseau. Pour accéder rapidement à l’information dont vous avez besoin, cliquez sur les liens du tableau 1.

Tableau 1 : Modes d’authentification TLS

Mode d’authentification

Procédure

Section où se trouvent les informations

Authentification du serveur

Configurer l’infrastructure à clé publique

Configurer l’appareil

Authentification du serveur

Configuration

Dans l’exemple suivant, nous utilisons le protocole TLS pour transporter en toute sécurité les messages syslog (journaux du plan de contrôle) de l’équipement Juniper vers le serveur syslog distant. La figure 1 illustre la topologie de base utilisée dans cet exemple.

Figure 1 : Syslog sur TLSSyslog sur TLS
Présentation de la configuration de l’infrastructure à clé publique (PKI)

Pour configurer l’infrastructure à clé publique sur l’appareil :

  1. Créez un profil d’autorité de certification (CA) et associez un identifiant d’autorité de certification au profil d’autorité de certification. Voir l’exemple : Configuration d’un profil d’autorité de certification.
  2. (Facultatif) Créez un contrôle de révocation pour spécifier une méthode de validation du certificat. Vous pouvez utiliser les listes de révocation de certificats (CRL) ou l’OCSP (Online Certificate Status Protocol). Reportez-vous à la section Révocation de certificat.
  3. (Facultatif) Créez un groupe d’autorités de certification approuvées et ajoutez le profil d’autorité de certification au groupe approuvé. Reportez-vous à la section Configuration d’un groupe d’autorités de certification approuvées.
  4. Chargez le certificat de l’autorité de certification sur l’appareil. Vous pouvez charger le certificat manuellement. Voir l’exemple : Chargement manuel de l’autorité de certification et des certificats locaux. En fonction de votre environnement de déploiement, vous pouvez utiliser le protocole CMPv2 (Certificate Management Protocol version 2) ou le protocole SCEP (Simple Certificate Enrollment Protocol) pour l’inscription de certificats en ligne. Reportez-vous aux sections Inscription d’un certificat d’autorité de certification en ligne à l’aide de SCEP et Comprendre l’inscription de certificats avec CMPv2.
  5. (Facultatif pour l’authentification mutuelle) Chargez le certificat local sur l’appareil. Vous pouvez charger le certificat local manuellement. En fonction de votre environnement de déploiement, vous pouvez utiliser CMPv2 ou SCEP pour l’inscription de certificats en ligne. Reportez-vous aux sections Inscription d’un certificat local en ligne à l’aide de SCEP et Présentation de l’inscription de certificat avec CMPv2.
  6. Vérifiez que les certificats sont correctement chargés. Utilisez la commande request security pki ca-certificate verify pour vérifier si le certificat de l’autorité de certification a été chargé correctement. Utilisez la commande request security pki local-certificate verify pour vérifier que le certificat local a été chargé correctement.
Configurer l’authentification du serveur sur votre appareil
Procédure étape par étape

La procédure suivante vous demande de naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, consultez Utilisation de l’éditeur CLI en mode Configuration.

Pour configurer l’appareil :

  1. Spécifiez le serveur syslog qui reçoit les messages du journal système. Vous pouvez spécifier l’adresse IP du serveur syslog ou un nom d’hôte complet. Dans cet exemple, utilisez 10.102.70.233 comme adresse IP du serveur syslog.

  2. Spécifiez le numéro de port du serveur syslog.

  3. Spécifiez le protocole de transport syslog de l’unité. Dans cet exemple, utilisez TLS comme protocole de transport.

  4. Spécifiez le nom du groupe d’autorités de certification de confiance ou le nom du profil d’autorité de certification à utiliser. Dans cet exemple, utilisez example-ca comme profil d’autorité de certification.

  5. Configurez l’appareil pour qu’il envoie tous les messages de journal.

  6. Validez la configuration.

Résultats

En mode configuration, confirmez votre configuration à l’aide de la show system syslog commande.

Vérification

Pour vérifier que la configuration fonctionne correctement, entrez la show log commande sur le serveur syslog.

Voir également

Journaux du plan de données

Data plane logs, also called security logs, include security events that are handled inside the data plane. Security logs can be in text or binary format, and you can save them locally (event mode) or configure your device to send the logs to an external server (stream mode). You require binary format for stream mode. We recommend binary format to conserve log space in event mode.

Exemple : Configurer le protocole TLS Syslog sur les pare-feu SRX Series

Cet exemple montre comment configurer le protocole syslog TLS (couche transport security) sur les pare-feu SRX Series pour recevoir des événements syslog chiffrés des périphériques réseau prenant en charge le transfert d’événements syslog TLS.

Conditions préalables

Avant de commencer, activez les fonctionnalités de vérification et de chiffrement ou de déchiffrement des certificats du serveur.

Présentation

Le protocole syslog TLS permet à une source de journal de recevoir des événements syslog chiffrés à partir d’équipements réseau prenant en charge le transfert d’événements syslog TLS. La source du journal crée un port d’écoute pour les événements syslog TLS entrants et génère un fichier de certificat pour les périphériques réseau.

Dans cet exemple, vous configurez un collecteur syslog associé à un profil SSL-I. Chaque profil SSL-I permet à l’utilisateur de spécifier des éléments tels que la suite de chiffrement préférée et les certificats d’autorité de certification de confiance. Vous pouvez configurer plusieurs profils SSL-I et associer les profils à différents serveurs collecteurs.

Configuration

Procédure
Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.

Pour configurer le protocole syslog TLS :

  1. Définissez le mode de journalisation sur streaming.

  2. Spécifiez le format du journal du système structuré (sd-syslog) pour la journalisation des messages de sécurité à distance.

  3. Définissez le numéro de l’interface source de l’hôte.

  4. Spécifiez TLS comme protocole de transport du journal de sécurité à utiliser pour consigner les données.

  5. Spécifiez le nom du profil TLS.

  6. Définissez le flux de journaux pour qu’il utilise le format syslog structuré pour l’envoi des journaux au serveur 1.

  7. Définissez la catégorie de journalisation du serveur 1 sur tous.

  8. Spécifiez les paramètres de l’hôte du serveur en saisissant le nom du serveur ou l’adresse IP.

  9. Définissez la version du protocole pour le profil d’accès d’initiation SSL.

  10. Attachez tous les groupes de profils d’autorité de certification au profil d’initiation SSL à utiliser lors de la demande d’un certificat à l’homologue.

  11. Configurez le profil d’accès d’initiation SSL pour ignorer l’échec de l’authentification du serveur.

Résultats

En mode configuration, vérifiez votre configuration à l’aide de la show security log commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, entrez la show log commande sur le serveur syslog.