VPN アラーム、監査、イベント

Junos OSが生成するアラームを使用することで、VPN関連の障害の原因を分析し、理解することができます。

VPN アラームは、設定された VPN が、解決にユーザーの介入を必要とする可能性がある状態であることを示します。監査対象のイベントの監視中にデバイスが障害 報告するとアラームが表示されます。イベントは特定の時点で発生するものですが、アラームは障害の状態を示します。

モニタリングに際しては、以下の点に注意してください アラームとイベント。

• [set security log cache] コマンドを使用したデバイスの初期設定時に、セキュリティ イベント ログを有効にしてください。詳細については、「 キャッシュ (セキュリティ ログ)」 を参照してください。

• Junos OSは、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500 ファイアウォールおよびvSRX仮想ファイアウォールでセキュリティイベントログをサポートします。

• すべての管理者は、audit-管理者、cryptographic-管理者、IDS-管理者、security-管理者などのロールに基づいて固有の権限セットを持っています。他の 管理者 は、承認された管理者によって 有効にされた後 セキュリティ イベント ログを変更できません。

VPN 障害が発生すると、システムが以下の監査済みイベントのいずれかを監視するときにアラームがトリガーされます。

• 認証失敗—パケット認証失敗数が指定したしきい値に達したときにシステム アラームを生成するようにデバイスを設定できます。

• 暗号化および復号化の失敗:暗号化または復号化の失敗数が指定したしきい値を超えた場合にシステム アラームを生成するようにデバイスを設定できます。

• IKEフェーズ1およびIKEフェーズ2の障害:Junos OSは、IKEフェーズ1のネゴシエーション中にインターネット鍵交換(IKE)セキュリティアソシエーション(SA)を確立します。セキュリティ アソシエーションは、IKE フェーズ 2 ネゴシエーションを保護します。IKE フェーズ 1 または IKE フェーズ 2 の障害数が指定された制限を超えた場合に、システム アラームを生成するようにデバイスを設定できます。

• セルフテストの失敗—デバイスの電源投入後または再起動後、Junos OSがデバイス上でいくつかのテストを実行し、セキュリティソフトウェアの実装を検証します。
セルフテストは、暗号化アルゴリズムの正確性を確認します。Junos-FIPSイメージは、デバイスの電源投入後に自動的にセルフテストを実行し、キーペア生成のためにテストを継続的に実行します。国内イメージまたはFIPSイメージでは、定義されたスケジュールに従って、オンデマンドで、または鍵生成直後にセルフテストを実行するように設定できます。 また、セルフテストが失敗した場合にシステム アラームを生成するようにデバイスを設定できます。

• IDPフローポリシー攻撃:侵入検出および防止(IDP)ポリシーを使用して、ネットワークトラフィックにさまざまな攻撃検出および防止技術を適用します。IDP フローポリシー違反が発生した場合にシステム アラームを生成するようにデバイスを設定できます。

• リプレイ攻撃 - リプレイ攻撃とは、攻撃者が悪意を持って、または不正に、有効なデータ送信イベントを繰り返したり、遅延させたりするネットワーク攻撃のことです。リプレイ攻撃が発生したときにシステム アラームを生成するようにデバイスを設定できます。

Junos OSは、システムログメッセージ( syslogメッセージとも呼ばれる)を生成し、デバイスで発生するイベントを記録します。以下の場合に syslog メッセージが表示されます。

• 対称キーの生成に失敗しました

• 非対称キーの生成に失敗しました

• 手動鍵配布の失敗

• 自動鍵配布の失敗

• キーの破棄の失敗

• キーの処理と保存の失敗

• データの暗号化または復号化の失敗

• 失敗した署名

• 失敗したキーの合意

• 暗号化ハッシュの失敗

• IKE の障害

• 受信パケットの認証失敗

• 無効なパディングコンテンツによる復号化エラー

• リモート VPN ピアデバイスから受信した証明書の代替サブジェクト フィールドで指定された長さの不一致

Junos OSは、syslogメッセージに基づいてアラームをトリガーします。Junos OS はすべての障害をログに記録しますが、しきい値に達した場合にのみアラームを生成します。アラーム情報を表示するには、 show security alarms コマンドを実行します。違反数とアラームは、システムを再起動しても持続しません。再起動後、違反カウントはゼロにリセットされ、アラームはアラーム キューからクリアされます。アラームは、デバイスを再起動するか、適切なアクションを実行した後にアラームをクリアするまで、キューに残ります。 アラームをクリアするには、 clear security alarms コマンドを実行します。

VPN トンネルが立ち上がると、Junos OS がトンネル ステータスを追跡しますトンネル ダウンの問題およびネゴシエーションの失敗。Junos OS また、成功した IPsec セキュリティ アソシエーションネゴシエーション、IPsec のキー更新、IKE セキュリティ アソシエーションのキー更新などの 成功したイベントも追跡します。ここでは、これらの失敗イベントと成功イベントを指すために、 トンネル イベント という用語を使用します。

フェーズ 1 およびフェーズ 2 では、Junos OS は、iked または kmd プロセス特定のトンネルのネゴシエーション イベントと、外部プロセス authd や pkid などで発生するイベントを追跡します。トンネル イベントが複数回発生した場合、デバイスは、更新された時刻とそのイベントの発生回数を含む 1 つのエントリのみを維持します。

全体として、Junos OS は 16 のイベント(フェーズ 1 で 8 イベント、フェーズ 2 で 8 イベント)を追跡します。

一部のイベントが再発してイベント メモリがいっぱいになり、重要なイベントが削除される可能性があります。上書きを避けるため、トンネルがダウンしない限り、デバイスはイベントを格納しません。 これらのイベントのいくつかを以下に示します。

• IPsec セキュリティ アソシエーションの有効期限が切れた有効期間 (キロバイト)

• IPsec セキュリティ アソシエーション のハード ライフタイムが終了しました。

• IPsec セキュリティ アソシエーションは、ピアから受信した対応する削除ペイロードとしてクリアされます。

• 未使用の冗長バックアップIPsec セキュリティアソシエーション ペアをクリアしました。

• IPsec セキュリティ アソシエーション は、対応する IKE セキュリティ アソシエーション が削除されるとクリアされます。

Junos OSは、AutoVPNトンネルを動的作成および削除します。その結果、これらのトンネルに対応する トンネル イベントの有効期間は短くなります。すべてのトンネル イベントがトンネルに関連付けられているわけではありませんが、デバッグに使用できます。

この例では、新しいセキュリティ イベントが発生したときにシステム アラート ビープ音を生成するようにデバイスを設定する方法を示します。デフォルトでは、アラームは聞こえません。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500デバイスおよびvSRX仮想ファイアウォールインスタンスでサポートされています。

この例では、潜在的な違反が発生した場合にシステム アラームを生成するようにデバイスを設定する方法を示しています。デフォルトでは、潜在的な違反が発生した場合、アラームは発生しません。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500デバイスおよびvSRX仮想ファイアウォールインスタンスでサポートされています。