Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

VPN のアラームと監査について

 

デバイスの初期設定時にセキュリティイベントロギングを有効にするには、次のコマンドを設定します。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM、および SRX1500 デバイスと vSRX インスタンスでサポートされています。

set security log cache

管理者 (監査、暗号化、IDS、およびセキュリティ) では、上記のコマンドが設定されていて、各管理者の役割が他のすべての環境とは異なる個別の権限セットを持つように設定されている場合、セキュリティイベントロギングの構成を変更することはできません。管理上の役割

アラームは、VPN の障害によってトリガーされます。次の監査イベントのいずれかをシステムで監視すると、VPN アラームが生成されます。

  • Authentication failures—パケット認証の失敗が指定した数に達したときにシステムアラームを生成するように、デバイスを設定できます。

  • Encryption and decryption failures—暗号化または暗号解読の失敗が指定した数を超えた場合にシステムアラームを生成するようにデバイスを設定できます。

  • IKE Phase 1 and IKE Phase 2 failures—インターネット鍵交換 (IKE) フェーズ1ネゴシエーションは、IKE のセキュリティーアソシエーション (Sa) を確立するために使用されます。これらの SAs は IKE フェーズ2ネゴシエーションを保護します。IKE フェーズ1または IKE フェーズ2の障害が特定の数値を超えた場合にシステムアラームを生成するようにデバイスを設定できます。

  • Self-test failures—セルフテストは、デバイスが電源投入時に動作することをテストするか、再起動して、デバイスにセキュリティソフトウェアが正しく実装されているかどうかを確認します。

    自己テストによって、暗号化アルゴリズムの正確性が保証されます。Junos FIPS イメージは、電源投入時にセルフテストを自動で実行し、継続的にキーペアの生成を行います。国内または FIPS のどちらの画像でも、セルフテストは、必要に応じて、定義されたスケジュールに従って、またはキー生成の直後に実行されるように設定できます。

    セルフテストエラーが発生したときにシステムアラームを生成するようにデバイスを設定できます。

  • IDP flow policy attacks—侵入検出および防御 (IDP) ポリシーを使用すると、ネットワークトラフィックに対してさまざまな攻撃検知および防御手法を適用できます。デバイスを設定して、IDP フローポリシー違反が発生したときにシステムアラームを生成することができます。

  • Replay attacks—リプレイ攻撃とは、有効なデータ伝送が故意または不正に繰り返しまたは遅延されているネットワーク攻撃です。再生攻撃が発生したときにシステムアラームを生成するようにデバイスを設定できます。

Syslog メッセージは、次のような場合に表示されます。

  • 対称鍵生成に失敗

  • 失敗した非対称キーの生成

  • 手動でのキー配信に失敗

  • キー配信の自動化に失敗

  • キー破棄の失敗

  • 失敗したキー処理とストレージ

  • データの暗号化または暗号解読の失敗

  • 失敗した署名

  • キー契約の失敗

  • 暗号化ハッシュの失敗

  • IKE の障害

  • 受信パケットの認証に失敗

  • 埋め込みコンテンツが無効なため、解読エラーが発生しています

  • リモート VPN ピアデバイスから受信した証明書の代替サブジェクトフィールドで指定された長さと一致しません。

アラームは syslog メッセージに基づいて発生します。すべての障害がログに記録されますが、しきい値に達した場合にのみアラームが生成されます。

アラーム情報を表示するには、 show security alarmsコマンドを実行します。違反カウントとアラームは、システムの再起動時には持続しません。再起動後、違反カウントは0にリセットされ、アラームがアラームキューからクリアします。

適切なアクションを実行したら、アラームを消去できます。アラームは、消去されるまで (またはデバイスを再起動するまで) キューに残ります。アラームを消去するには、 clear security alarmsコマンドを実行します。