Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN トラフィックの監視

VPN の監視によって、インターネット制御メッセージプロトコル (ICMP) 要求をピアに送信することで、ピアデバイスの到達可能性を判断できます。

VPN のアラームと監査について

デバイスの初期設定時にセキュリティイベントロギングを有効にするには、次のコマンドを設定します。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM、および SRX1500 デバイスと vSRX インスタンスでサポートされています。

set security log cache

管理者 (監査、暗号化、IDS、およびセキュリティ) では、上記のコマンドが設定されていて、各管理者の役割が他のすべての環境とは異なる個別の権限セットを持つように設定されている場合、セキュリティイベントロギングの構成を変更することはできません。管理上の役割

アラームは、VPN の障害によってトリガーされます。次の監査イベントのいずれかをシステムで監視すると、VPN アラームが生成されます。

  • Authentication failures:パケット認証エラーが指定された数に達したときにシステム アラームを生成するデバイスを設定できます。

  • Encryption and decryption failures—暗号化または暗号化解除の障害が指定した数を超えた場合に、システム アラームを生成するデバイスを設定できます。

  • IKE Phase 1 and IKE Phase 2 failures—インターネット鍵交換(IKE)フェーズ 1 ネゴシエーションを使用して、IKE セキュリティ アソシエーション(SA)を確立します。これらの SAs は IKE フェーズ2ネゴシエーションを保護します。IKE フェーズ1または IKE フェーズ2の障害が特定の数値を超えた場合にシステムアラームを生成するようにデバイスを設定できます。

  • Self-test failures:自己テストとは、デバイスの電源オンまたは再起動時にデバイスが実行され、セキュリティ ソフトウェアがデバイスに正しく実装されているかどうかを確認するテストです。

    自己テストによって、暗号化アルゴリズムの正確性が保証されます。Junos FIPS イメージは、電源投入時にセルフテストを自動で実行し、継続的にキーペアの生成を行います。国内または FIPS のどちらの画像でも、セルフテストは、必要に応じて、定義されたスケジュールに従って、またはキー生成の直後に実行されるように設定できます。

    セルフテストエラーが発生したときにシステムアラームを生成するようにデバイスを設定できます。

  • IDP flow policy attacks:侵入検出および防御(IDP)ポリシーにより、ネットワーク トラフィックに対してさまざまな攻撃検知および防御テクニックを適用できます。デバイスを設定して、IDP フローポリシー違反が発生したときにシステムアラームを生成することができます。

  • Replay attacks—リプレイ攻撃とは、有効なデータ送信が悪意を持って繰り返したり、不正に繰り返したり遅延したりするネットワーク攻撃です。再生攻撃が発生したときにシステムアラームを生成するようにデバイスを設定できます。

Syslog メッセージは、次のような場合に表示されます。

  • 対称鍵生成に失敗

  • 失敗した非対称キーの生成

  • 手動でのキー配信に失敗

  • キー配信の自動化に失敗

  • キー破棄の失敗

  • 失敗したキー処理とストレージ

  • データの暗号化または暗号解読の失敗

  • 失敗した署名

  • キー契約の失敗

  • 暗号化ハッシュの失敗

  • IKE の障害

  • 受信パケットの認証に失敗

  • 埋め込みコンテンツが無効なため、解読エラーが発生しています

  • リモート VPN ピアデバイスから受信した証明書の代替サブジェクトフィールドで指定された長さと一致しません。

アラームは syslog メッセージに基づいて発生します。すべての障害がログに記録されますが、しきい値に達した場合にのみアラームが生成されます。

アラーム情報を表示するには、 show security alarmsコマンドを実行します。違反カウントとアラームは、システムの再起動時には持続しません。再起動後、違反カウントは0にリセットされ、アラームがアラームキューからクリアします。

適切なアクションを実行したら、アラームを消去できます。アラームは、消去されるまで (またはデバイスを再起動するまで) キューに残ります。アラームを消去するには、 clear security alarmsコマンドを実行します。

VPN の監視について

VPN の監視では、 ICMPエコー要求 (またはping) を使用して、vpn トンネルが稼働しているかどうかを判断します。VPN 監視が有効になっている場合、セキュリティデバイスは VPN トンネルを介してピアゲートウェイに、またはトンネルの相手側で指定された宛先に ping を送信します。Ping はデフォルトで10秒間隔で送信され、最大10回まで連続しています。10回の ping で応答が受信されなかった場合、VPN はダウンしていると見なされ、IPsec セキュリティーアソシエーション (SA) はクリアされます。

VPN 監視は、[ vpn-monitoredit security ipsec vpn vpn-name] 階層レベルでオプションを構成することで、指定された vpn に対して有効になります。ピア ゲートウェイの IP アドレスはデフォルトの宛先です。ただし、トンネルのもう一方の端で別の宛先 IP アドレス(サーバーなど)を指定できます。ローカルトンネルエンドポイントはデフォルトの送信元インターフェイスですが、別のインターフェイス名を指定することもできます。

外部接続デバイス (PC など) の VPN 監視は、SRX5400、SRX5600、SRX5800 デバイスではサポートされていません。VPN 監視の宛先は、SRX5400、SRX5600、または SRX5800 デバイスのローカルインターフェイスである必要があります。

VPN 監視optimizedオプションは、送信トラフィックがあり、vpn トンネルを通過する受信トラフィックがない場合にのみ ping を送信します。VPN トンネルを通過する受信トラフィックがある場合、セキュリティデバイスはトンネルがアクティブになっているものとみなし、そのピアに対して ping を送信しません。ピアのoptimized liveliness を特定する必要がある場合にのみ ping が送信されるため、オプションを設定することで、セキュリティデバイスにリソースを節約できます。Ping を送信すると、コストのかからないバックアップリンクをアクティブにすることもできます。

Ping を送信する間隔と、VPN がダウンしていると見なされる前に応答がない連続した ping の数を設定できます。これらは、それぞれ [ intervaledit security ipsec vpn-monitor-options] threshold階層レベルでオプションを使用して設定されています。

VPN 監視では、パケットの送信元または宛先の IP アドレスに基づいて ping パケットがピアによって受信されない場合、一部の VPN 環境でトンネル フラッピングが発生する可能性があります。

IPsec Datapath の検証について

概要

デフォルトでは、ルートベースの Vpn においてポイントツーポイントモードで構成されたセキュアトンネル (st0) インターフェイスの状態は、VPN トンネルの状態に基づいています。IPsec SA が確立されるとすぐに、st0 インターフェイスに関連付けられたルートが、Junos OS 転送テーブルにインストールされます。VPN トンネルエンドポイント間で通過するファイアウォールがどこにあるかなどの特定のネットワークトポロジでは、st0 インターフェイス上で確立された VPN トンネルのアクティブルートを使用する IPsec データトラフィックは、通過ファイアウォールによってブロックすることがあります。これにより、トラフィックロスが発生する可能性があります。

IPsec datapath 検証を有効にした場合、st0 インターフェイスは、datapath が検証されるまで起動されず、アクティブになりません。この検証は、ルートベースset security ipsec vpn vpn-name vpn-monitor verify-path 、サイト間、動的エンドポイント VPN トンネルを説明するステートメントで構成されています。

ピアトンネルエンドポイントの正面に NAT デバイスがある場合は、ピアトンネルエンドポイントの IP アドレスが NAT デバイスの IP アドレスに変換されます。VPN モニターの ICMP 要求がピアトンネルエンドポイントに到達するには、NAT デバイスの背後にあるピアトンネルエンドポイントの、トランスレートされていない元の IP アドレスを明示的に指定する必要があります。これはset security ipsec vpn vpn-name vpn-monitor verify-path destination-ip構成で構成されています。

Junos OS Release 15.1 X49-D120 では、IPsec datapath の検証に使用されるパケットのサイズを設定してから、 st0インターフェイスを構築できます。set security ipsec vpn vpn-name vpn-monitor verify-path packet-size構成を使用します。設定可能なパケットサイズの範囲は、64 ~ 1350 バイトです。デフォルトは64バイトです。

VPN モニターの動作に対して設定できる送信元インターフェイスと宛先 IP アドレスは、IPsec datapath の検証には影響を与えません。IPsec datapath 検証における ICMP 要求の送信元は、ローカルトンネルエンドポイントです。

IPsec datapath 検証を有効にすると、VPN の監視が自動的にアクティブ化され、st0 インターフェイスが起動した後に使用されます。IPsec datapath の検証を有効にするたびに、 set security ipsec vpn vpn-name vpn-monitor optimized VPN monitor の最適化されたオプションをコマンドで設定することをお勧めします。

IPsec の datapath 検証中にシャーシのクラスターフェイルオーバーが発生した場合、新しいアクティブなノードが再び検証を開始します。St0 インターフェイスは、検証が成功するまでアクティブ化されません。

St0 のインターフェイスの状態が datapath によって変更されることはないため、IPsec SA のダウンステータスでは IPsec を使用した認証は実行されません。

IPsec datapath の検証は、自動 Vpn、自動検出 VPN、および複数のトラフィックセレクターとともに使用される、point-to-point モードで構成された st0 インターフェイスではサポートされていません。VPN 監視と IPsec datapath の検証は、IPv6 アドレスをサポートしていないため、IPv6 トンネルで IPsec datapath 検証を使用することはできません。

グローバル SPI および VPN 監視機能について

以下のグローバル VPN 機能を使用して、VPN の効率的な運用を監視し、維持することができます。

  • SPI:SA(セキュリティ アソシエーション)内のピアは、ピアの 1 つで障害が発生すると同期されません。たとえば、いずれかのピアが再起動すると、正しくないセキュリティーパラメータインデックス (SPI) が送信される場合があります。このようなイベントをデバイスで検知して、無効な SPI 応答機能を構成することによって、ピアを再同期することができます。

  • VPN 監視:グローバル VPN 監視機能を使用して、インターネット制御メッセージ プロトコル(ICMP)要求を定期的にピアに送信して、ピアに到達可能かどうかを確認できます。

VPN 監視と DPD について

VPN の監視と dead ピア検知 (DPD) は、VPN ピアデバイスの可用性を確認するために SRX シリーズデバイスで利用可能な機能です。このセクションでは、これらの機能の運用と設定を比較します。

SRX シリーズデバイスは、DPD がデバイス上で構成されていない場合でも、VPN ピアから送信された DPD メッセージに応答します。SRX シリーズデバイスを構成して、VPN ピアへの DPD メッセージを開始することができます。また、DPD と VPN 監視機能を設定して同じ SRX シリーズデバイス上で同時に動作させることもできます。ただし、どちらの方法でも監視できるピア数は少なくなっています。

VPN 監視は、フェーズ2セキュリティーアソシエーション (Sa) のみを監視する Junos OS メカニズムです。Vpn の監視は、[ vpn-monitoredit security ipsec vpn vpn-name] 階層レベルのステートメントを使用して、vpn ベースで有効にします。宛先 IP とソースインターフェイスを指定する必要があります。このoptimizedオプションは、デバイスがピア liveliness の証拠としてトラフィックパターンを使用できるようにします。ICMP 要求は抑制されます。

VPN 監視オプションは、[ vpn-monitor-optionsedit security ipsec] 階層レベルのステートメントで構成されています。これらのオプションは、VPN 監視が有効になっているすべての Vpn に適用されます。設定可能なオプションには、ICMP 要求がピアに送信される間隔、デフォルトは10秒、ピアへの応答なしに送信された連続した ICMP 要求の数が含まれています (デフォルトは 10)。連続したリクエスト)。

DPD は RFC 3706、 A Traffic-Based Method of Detect Dead インターネット鍵交換(IKE ピア)の実装です。IKE レベルで動作し、IKE と IPsec の両方のトラフィック活動に基づいてピアを監視します。

DPD は、個々の IKE ゲートウェイで、[ dead-peer-detectionedit security ike gateway gateway-name] 階層レベルのステートメントとともに構成されています。DPD モードの動作を設定できます。デフォルト (最適化) モードでは、送信パケットをピアに送信した後、設定された間隔内に受信 IKE または IPsec トラフィックがない場合、DPD メッセージがピアに送信されます。その他の構成可能なオプションとしては、DPD メッセージがピアに送信される間隔 (デフォルトは10秒) と、ピアが利用できないと見なされるまでに応答を受信しない連続した DPD メッセージの数が挙げられます (デフォルトは5連続したリクエスト)。

Dead ピア検出について

デッドピア検知 (DPD) は、ネットワークデバイスが、他のピアデバイスの現在の存在と可用性を検証するために使用する方法です。

DPD は、VPN 監視の代わりとして使用できます。VPN の監視は、個々の IPsec VPN に適用されますが、DPD は個別の IKE ゲートウェイコンテキストでのみ構成されています。

デバイスは、暗号化された IKE フェーズ1通知ペイロード (R-U) のメッセージをピアに送信し、ピアからの DPD 肯定応答 (R&d メッセージ) を待機することで、DPD 検証を実行します。デバイスは、指定された DPD 間隔でピアからのトラフィックを受信していない場合にのみ、D-u-n-s メッセージを送信します。デバイスがこの期間中にピアから取得した R&d メッセージを受信した場合、ピアが動作していると見なされます。デバイスがピアからトンネル上のトラフィックを受信すると、そのトンネルをリセットして、新しい間隔を開始します。デバイスが、その間隔で R2 の ACK メッセージを受信しなかった場合は、ピア dead と見なされます。デバイスがピアデバイスのステータスを変更すると、そのデバイスは、そのピアのフェーズ1セキュリティーアソシエーション (SA) とすべてのフェーズ 2 Sa を削除します。

SRX シリーズデバイスでは、以下の DPD モードがサポートされています。

  • 最適化: R-U-THERE メッセージは、デバイスがピアに送信パケットを送信した後、設定した間隔で受信 IKE または IPsec トラフィックがない場合にトリガーされます。これはデフォルトのモードです。

  • アイドル トンネルのプローブ — R-U-THERE メッセージは、設定した間隔内に受信/送信トラフィックIKEまたは IPsec トラフィックがない場合にトリガーされます。R-U: トラフィックアクティビティが発生するまで、定期的にメッセージがピアに送信されます。このモードは、ダウンしたピアを早期検知し、データトラフィックにトンネルを提供するのに役立ちます。

    VPN に複数のトラフィックセレクターが設定されている場合は、同一 IKE SA に複数のトンネルを確立できます。このシナリオでは、probe アイドルトンネルモードによって、R-U-同じ IKE SA のトラフィックが他のトンネルに存在する場合でも、IKE SA に関連付けられたトンネルがアイドル状態になった場合に、メッセージが送信されます。

  • 常時送信 — R-U-THERE メッセージは、ピア間のトラフィック アクティビティに関係なく、設定された間隔で送信されます。

    このalways-sendモードの代わりに、probe idle トンネルモードを使用することをお勧めします。

DPD タイマーは、フェーズ 1 SA が確立されるとすぐにアクティブになります。DPD 動作は、IKEv1 と IKEv2 の両方のプロトコルで同じです。

以下の DPD パラメーターを設定できます。

  • Interval パラメーターでは、デバイスがピアからのトラフィックを待機してから R U のメッセージを送信するまでの時間を秒単位で指定します。デフォルトの間隔は10秒です。Junos OS リリース 15.1 X49-D130 では、がピアデバイスに送信したメッセージがある許容間隔パラメーター範囲は、10 ~ 60 秒から60秒までに短縮されます。DPD interval パラメーターが10秒未満に設定されている場合、最小しきい値パラメーターは3にする必要があります。

  • Threshold パラメーターは、ピアの死んだことを考慮する前に、ピアからの応答なしに、R-U を送信する最大回数を指定します。デフォルトの伝送数は5回ですが、1 ~ 5 個の再試行を指定できます。

DPD を設定する前に、以下の点に注意してください。

  • DPD 設定をアクティブなトンネルとともに既存のゲートウェイに追加すると、R-U: フェーズ1またはフェーズ 2 SAs をクリアせずにメッセージを開始します。

  • DPD 設定がアクティブなトンネルとともに既存のゲートウェイから削除されると、R-U-トンネル用のメッセージが停止します。IKE と IPsec Sa は影響を受けません。

  • モード、インターバル、しきい値などの DPD 設定オプションを変更すると、フェーズ1またはフェーズ 2 Sa を消去せずに DPD オペレーションが更新されます。

  • IKE ゲートウェイが DPD および VPN 監視用に設定されているにもかかわらず、トンネルを即座に確立するオプションが構成されていない場合、DPD はフェーズ1ネゴシエーションを開始しません。DPD が設定されている場合、位相1およびフェーズ 2 Sa がないときに st0 インターフェイスを切断するには、[すぐにトンネルを確立する] オプションも同時に設定する必要があります。

  • IKE ゲートウェイが複数のピア IP アドレスと DPD で構成されている場合は、第1の SA を最初のピア IP アドレスに確立できないため、次のピア IP アドレスでフェーズ 1 SA が試行されます。DPD は、フェーズ 1 SA が確立された後にのみアクティブになります。

  • IKE ゲートウェイが複数のピア IP アドレスと DPD で設定されているのに DPD が現在のピアの IP アドレスで失敗すると、フェーズ 1 およびフェーズ 2 の SA が消去され、次のピア IP アドレスへのフェイルオーバーがトリガーされます。

  • 同時ネゴシエーションのために、同一のピアに複数のフェーズ1またはフェーズ 2 SA が存在できます。この場合、R-U-すべてのフェーズ 1 SAs でメッセージが送信されます。設定された回数だけ DPD 応答を受信できないと、フェーズ 1 SA と関連フェーズ 2 SA (IKEv2 のみ) がクリアされます。

トンネルイベントについて

VPN に関連するネットワークの問題が発生した場合、トンネルが起動した後、トンネルのステータスのみが追跡されます。トンネルが登場する前に多くの問題が発生する可能性があります。そのため、トンネルのステータス、トンネルダウンの問題、ネゴシエーションの失敗のみを追跡するのではなく、成功した IPsec SA ネゴシエーション、IPsec キー更新、IKE SA への移動などの正常なイベントが追跡されるようになりました。これらのイベントはトンネルイベントと呼ばれます。

フェーズ1およびフェーズ2では、特定のトンネルのネゴシエーションイベントが、AUTHD や PKID などの外部デーモンで発生するイベントとともに追跡されます。トンネルイベントが複数回発生した場合、更新時刻とイベント発生回数で1つのエントリのみが保持されます。

全体的に16個のイベントが追跡されます。フェーズ1およびフェーズ2の8つのイベントに対応する8つのイベント。イベントによっては、イベントメモリが再発していっぱいになり、重要なイベントが削除される場合があります。上書きを回避するために、イベントは、トンネルがダウンしなければ格納されません。

このカテゴリーには、以下の特別なイベントが含まれています。

  • IPsec SA の有効期間 (キロバイト)

  • IPsec SA の Hard lifetime が期限切れ

  • ピアから受信した IPsec SA 削除ペイロード (対応する IPsec Sa クリア)

  • 未使用の冗長バックアップ IPsec SA ペアをクリア

  • IPsec Sa は、対応する IKE SA が削除されたことでクリア

自動 Vpn トンネルが自動的に作成され、動的に削除されるため、これらのトンネルに対応するトンネルイベントは短時間で存続します。場合によっては、これらのトンネルイベントをトンネルに関連付けることができないため、代わりにシステムログを使用してデバッグする必要があります。

例:セキュリティアラームの通知としての可聴警告を設定する

この例では、新しいセキュリティイベントが発生したときにシステム警告ビープ音を生成するようにデバイスを設定する方法を示します。デフォルトではアラームは聞こえません。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM、および SRX1500 デバイスと vSRX インスタンスでサポートされています。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定は不要です。

概要

この例では、セキュリティアラームへの応答として発生するビープ音を設定しています。

構成

手順

順を追った手順

可聴アラームを設定するには、次のようにします。

  1. セキュリティアラームを有効にします。

  2. ビープ音でセキュリティーアラームを通知することを指定します。

  3. デバイスの設定が完了したら、構成をコミットします。

検証

構成が正常に機能していることをshow security alarms detail確認するには、コマンドを入力します。

例:潜在的な違反に対してセキュリティアラームを生成する

この例では、侵害が発生した場合にシステムアラームを生成するようにデバイスを設定する方法を示します。デフォルトでは、違反が発生した場合、アラームは発生しません。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM、および SRX1500 デバイスと vSRX インスタンスでサポートされています。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定は不要です。

概要

この例では、アラームは次のように設定されています。

  • 認証エラーの数が6を超えています。

  • 暗号化の自己テストが失敗します。

  • 非暗号化セルフテストで問題が発生。

  • キー生成のセルフテストに失敗。

  • 暗号化の失敗数は10を超えています。

  • 暗号化解除エラーの数が1を超えています。

  • IKE フェーズ1の失敗数は10を超えています。

  • IKE 段階2の障害数が1を超えています。

  • リプレイ攻撃が発生します。

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディターの Junos OS CLI 使用 」を 参照してください

潜在的な違反に応じてアラームを設定するには、以下のようにします。

  1. セキュリティアラームを有効にします。

  2. 認証が失敗したときにアラームを発生させるように指定します。

  3. 暗号のセルフテストが失敗したときにアラームを発生させるように指定します。

  4. 非暗号セルフテストが失敗したときにアラームを発生させることを指定します。

  5. キー生成のセルフテストエラーが発生したときにアラームを発生させるように指定します。

  6. 暗号化の障害が発生したときにアラームを発生させるように指定します。

  7. 解読エラーが発生したときにアラームを発生させるように指定します。

  8. IKE フェーズ1の障害が発生したときにアラームを発生させることを指定します。

  9. IKE フェーズ2障害が発生した場合にアラームを発生させることを指定します。

  10. リプレイ攻撃が発生したときにアラームを発生させることを指定します。

結果

設定モードから、 show security alarmsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認するには、 show security alarms運用モードからコマンドを入力します。

リリース履歴テーブル
リリース
説明
15.1X49-D130
Junos OS リリース 15.1 X49-D130 では、がピアデバイスに送信したメッセージがある許容間隔パラメーター範囲は、10 ~ 60 秒から60秒までに短縮されます。DPD interval パラメーターが10秒未満に設定されている場合、最小しきい値パラメーターは3にする必要があります。
15.1X49-D120
Junos OS Release 15.1 X49-D120 では、IPsec datapath の検証に使用されるパケットのサイズを設定してから、 st0インターフェイスを構築できます。