Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN アラーム、監査、イベント

SUMMARY このトピックでは、さまざまなタイプの Junos OSアラーム 、ログ、イベントについて説明します。

Junos OS は、さまざまなイベントを記録し、ログを維持し、デバイスで実行した操作に関連するアラームをトリガーします。VPN 監視方式は VPN のアクティブな監視手法を提供しますが、アラーム、イベント、および監査は、障害の原因を分析するための記録された情報を提供します。 これらの障害は、トンネルの作成前後に発生することがあります。

VPNアラームと監査

Junos OSが生成するアラームを使用して、VPN関連の障害の原因を分析し、理解することができます。

VPN アラームは、設定された VPN が、解決にユーザーの介入を必要とする可能性がある状態であることを示します。監査対象のイベントの監視中にデバイスが障害を報告 すると、アラームが表示されます。イベントは特定の時点で発生するものですが、アラームは障害の状態を示します。

アラームとイベントを監視する際は、以下の点に注意してください。

  • コマンドを使用したデバイスの初期設定時に、セキュリティ イベント ログを有効にしてください。[set security log cache] 詳細については、「 キャッシュ (セキュリティ ログ)」 を参照してください。/documentation/us/en/software/junos/network-mgmt/topics/ref/statement/security-edit-cache-security-log.html

  • Junos OSは、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500ファイアウォールとvSRX仮想ファイアウォールでセキュリティイベントログをサポートします。

  • すべての管理者には、監査管理者、暗号化管理者、IDS 管理者、セキュリティ管理者などのロールに基づいて固有の特権セットがあります。他の管理者は、承認された管理者によってセキュリティ イベント ログを有効にした後は、セキュリティ イベント ログを変更できません。

VPN 障害が発生すると、システムが以下の監査済みイベントのいずれかを監視するときにアラームがトリガーされます。

  • 認証失敗—パケット認証失敗数が指定したしきい値に達したときにシステム アラームを生成するようにデバイスを設定できます。

  • 暗号化および復号化の失敗:暗号化または復号化の失敗数が指定したしきい値を超えた場合にシステム アラームを生成するようにデバイスを設定できます。

  • IKEフェーズ1およびIKEフェーズ2の障害:Junos OSは、IKEフェーズ1のネゴシエーション中にインターネット鍵交換(IKE)セキュリティアソシエーション(SA)を確立します。セキュリティ アソシエーションは、IKE フェーズ 2 ネゴシエーションを保護します。IKE フェーズ 1 または IKE フェーズ 2 の障害数が指定された制限を超えた場合に、システム アラームを生成するようにデバイスを設定できます。

  • セルフテストの失敗—デバイスの電源投入後または再起動後、Junos OSがデバイス上でいくつかのテストを実行し、セキュリティソフトウェアの実装を検証します。
セルフテストは、暗号化アルゴリズムの正確性を確認します。Junos-FIPSイメージは、デバイスの電源投入後に自動的にセルフテストを実行し、キーペア生成のためにテストを継続的に実行します。国内イメージまたはFIPSイメージでは、定義されたスケジュールに従って、オンデマンドで、または鍵生成直後にセルフテストを実行するように設定できます。 また、セルフテストが失敗した場合にシステム アラームを生成するようにデバイスを設定できます。

  • IDPフローポリシー攻撃:侵入検出および防止(IDP)ポリシーを使用して、ネットワークトラフィックにさまざまな攻撃検出および防止技術を適用します。IDP フローポリシー違反が発生した場合にシステム アラームを生成するようにデバイスを設定できます。

  • リプレイ攻撃 - リプレイ攻撃とは、攻撃者が悪意を持って、または不正に、有効なデータ送信イベントを繰り返したり、遅延させたりするネットワーク攻撃のことです。リプレイ攻撃が発生したときにシステム アラームを生成するようにデバイスを設定できます。

Junos OSは、システムログメッセージ( syslogメッセージとも呼ばれる)を生成し、デバイスで発生するイベントを記録します。以下の場合に syslog メッセージが表示されます。

  • 対称キーの生成に失敗しました

  • 非対称キーの生成に失敗しました

  • 手動鍵配布の失敗

  • 自動鍵配布の失敗

  • キーの破棄の失敗

  • キーの処理と保存の失敗

  • データの暗号化または復号化の失敗

  • 失敗した署名

  • 失敗したキーの合意

  • 暗号化ハッシュの失敗

  • IKE の障害

  • 受信パケットの認証失敗

  • 無効なパディングコンテンツによる復号化エラー

  • リモート VPN ピアデバイスから受信した証明書の代替サブジェクト フィールドで指定された長さの不一致

Junos OSは、syslogメッセージに基づいてアラームをトリガーします。Junos OS はすべての障害をログに記録しますが、しきい値に達した場合にのみアラームを生成します。アラーム情報を表示するには、 コマンドを実行します 。show security alarms違反数とアラームは、システムを再起動しても持続しません。再起動後、違反カウントはゼロにリセットされ、アラームはアラーム キューからクリアされます。アラームは、デバイスを再起動するか、適切なアクションを実行した後にアラームをクリアするまで、キューに残ります。 アラームをクリアするには、 コマンドを実行します 。 clear security alarms

VPN トンネル イベント

VPN トンネルが立ち上がると、Junos OS はトンネル ダウンの問題とネゴシエーションの失敗に関連するトンネル ステータスを追跡します。また、Junos OS は、成功した IPsec セキュリティ アソシエーションのネゴシエーション、IPsec の鍵更新、IKE セキュリティ アソシエーションの鍵更新などの成功したイベントも追跡します。ここでは、これらの失敗イベントと成功イベントを指すために、 トンネル イベント という用語を使用します。

フェーズ 1 およびフェーズ 2 では、Junos OS は、iked プロセスまたは kmd プロセスとの特定のトンネルのネゴシエーション イベントと、authd や pkid などの外部プロセスで発生するイベントを追跡します。トンネル イベントが複数回発生した場合、デバイスは、更新された時刻とそのイベントの発生回数を含む 1 つのエントリのみを維持します。

全体として、Junos OS は 16 のイベント(フェーズ 1 で 8 イベント、フェーズ 2 で 8 イベント)を追跡します。

一部のイベントが再発してイベント メモリがいっぱいになり、重要なイベントが削除される可能性があります。上書きを避けるため、トンネルがダウンしない限り、デバイスはイベントを格納しません。 これらのイベントのいくつかを以下に示します。

  • IPsec セキュリティアソシエーションの期限切れのライフタイム(キロバイト単位)。

  • IPsec セキュリティ アソシエーション のハード ライフタイムが終了しました。

  • IPsec セキュリティ アソシエーションは、ピアから受信した対応する削除ペイロードとしてクリアされます。

  • 未使用の冗長バックアップIPsec セキュリティアソシエーション ペアをクリア。

  • 対応するIKEセキュリティアソシエーションが削除されたため、IPsecセキュリティアソシエーションがクリアされました。

Junos OSは、AutoVPNトンネルを動的に作成および削除します。その結果、 これらのトンネルに対応するトンネル イベントの有効期間は短くなります。すべてのトンネル イベントがトンネルに関連付けられているわけではありませんが、デバッグに使用できます。

VPN アラームの設定

開始する前に、デバイスの初期設定時に次のコマンドを使用して、セキュリティ イベント ログが有効になっていることを確認する必要があります。

詳細については、「 キャッシュ (セキュリティ ログ)」 を参照してください。

このタスクでは、SRXシリーズファイアウォールのアラームを表示およびクリアする方法を説明します。

  1. アラーム情報を表示するには、動作モードで次のコマンドを実行します。

    詳細については 、 show security alarms を参照してください。/documentation/us/en/software/junos/security-policies/topics/ref/command/show-security-alarms.html

  2. アラーム情報をクリアするには、動作モードで次のコマンドを実行します。

    詳細については 、 セキュリティアラームのクリアを参照してください 。/documentation/us/en/software/junos/security-policies/topics/ref/command/clear-security-alarms.html

例:可聴アラート通知を設定する

この例では、新しいセキュリティ イベントが発生したときにシステム アラート ビープ音を生成するようにデバイスを設定する方法を示します。デフォルトでは、アラームは聞こえません。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500デバイスおよびvSRX仮想ファイアウォールインスタンスでサポートされています。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、セキュリティ アラームに応答して生成されるビープ音を設定します。

設定

手順

ステップバイステップでの手順

可聴アラームを設定するには:

  1. セキュリティ アラームを有効にします。

  2. ビープ音でセキュリティ アラームを通知することを指定します。

  3. デバイスの設定が完了したら、設定をコミットします。

検証

設定が正常に機能していることを確認するには、 コマンドを入力します 。show security alarms detail

例:セキュリティ アラーム生成の設定

この例では、潜在的な違反が発生した場合にシステム アラームを生成するようにデバイスを設定する方法を示しています。デフォルトでは、潜在的な違反が発生した場合、アラームは発生しません。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500デバイスおよびvSRX仮想ファイアウォールインスタンスでサポートされています。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、次の場合に発生するアラームを設定します。

  • 認証エラー数が 6 を超えています。

  • 暗号化セルフテストに失敗する。

  • 非暗号化セルフテストは失敗します。

  • 鍵生成のセルフテストが失敗します。

  • 暗号化エラー数が 10 を超えています。

  • 復号化の失敗数が 1 を超えています。

  • IKE フェーズ 1 の障害数が 10 を超えています。

  • IKE フェーズ 2 の障害数が 1 を超えています。

  • リプレイ攻撃が発生します。

設定

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、Junos OS CLI ユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

潜在的な違反に対応してアラームを設定するには:

  1. セキュリティ アラームを有効にします。

  2. 認証失敗時にアラームを発生させるように指定します。

  3. 暗号化セルフテストが失敗した場合にアラームを発生させるように指定します。

  4. 非暗号化セルフテスト障害が発生した場合にアラームを発生させるように指定します。

  5. キー生成のセルフテストが失敗した場合にアラームを発生させるように指定します。

  6. 暗号化の失敗時にアラームを発生させるように指定します。

  7. 復号化の失敗時にアラームを発生させるように指定します。

  8. IKE フェーズ 1 の障害が発生した場合にアラームを発生させるように指定します。

  9. IKE フェーズ 2 の障害が発生した場合にアラームを発生させるように指定します。

  10. リプレイ攻撃が発生したときにアラームを発生させるように指定します。

結果

設定モードから、show security alarmsコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、動作モードから コマンド を入力します。show security alarms