이 페이지 내용
SSL 프록시 로그
SSL 프록시 로그
SSL 프록시 로그
표 1 에는 SSL 프록시 로그가 표시되어 있습니다.
| Syslog 유형 | 설명 |
|---|---|
| SSL_PROXY_SSL_SESSION_DROP |
세션이 SSL 프록시에 의해 삭제될 때 생성되는 로그입니다. |
| SSL_PROXY_SSL_SESSION_ALLOW |
일부 사소한 오류가 발생한 후에도 SSL 프록시에서 세션을 처리할 때 생성되는 로그입니다. |
| SSL_PROXY_SESSION_IGNORE |
비SSL 세션이 처음에 SSL 세션으로 오인되는 경우 생성되는 로그입니다. |
| SSL_PROXY_SESSION_WHITELIST |
세션이 허용 목록에 추가될 때 생성되는 로그입니다. |
| SSL_PROXY_ERROR |
오류 보고에 사용되는 로그입니다. |
| SSL_PROXY_WARNING |
경고를 보고하는 데 사용되는 로그입니다. |
| SSL_PROXY_INFO |
일반 정보를 보고하는 데 사용되는 로그입니다. |
Junos OS 23.4R1부터 SSL 구성과 관련된 SRX 시리즈 방화벽에서 다음과 같은 새로운 로그 메시지를 지원합니다.
| Syslog 유형 | 묘사 |
|---|---|
| SSL_CONFIG_MEMORY_ALLOCATION_FAILURE |
메모리 할당 실패에 대한 로그 |
| SSL_CONFIG_PROFILE_PROCESS_ERR |
SSL 프로파일 처리 중 오류 발생 |
| SSL_CONFIG_CERT_PROCESS_ERR |
SSL 인증서 처리 중 오류 발생 |
| SSL_GLOBAL_CONFIG_PROCESS_ERR |
SSL 글로벌 구성을 처리하는 중 오류 발생 |
| SSL_CONFIG_PKI_IPC_ERR |
SSL과 PKI 간의 IPC 통신 오류 |
자세한 내용은 Syslog 탐색기를 참조하십시오.
SSL_PROXY_SESSION_WHITELIST 및 SSL_PROXY_INFO 로그를 사용하여 로그인한 URL을 확인할 수 있습니다. 본보기:
For non-whitelisted session – SSL_PROXY_INFO [junos@2636.1.1.1.2.129 logical-system-name="root-logical-system" session-id="17" source-address="5.0.0.1" source-port="57558" destination-address="4.0.0.1" destination-port="10302" nat-source-address="5.0.0.1" nat-source-port="57558" nat-destination-address="4.0.0.1" nat-destination-port="10302" profile-name="ssl-inspect-profile" source-zone-name="trust" source-interface-name="ge-0/0/0.0" destination-zone-name="untrust" destination-interface-name="ge-0/0/1.0" message="NA" sni="www.facebook.com" url-category="NULL"]
For whitelisted session – SSL_PROXY_SESSION_WHITELIST [junos@2636.1.1.1.2.129 logical-system-name="root-logical-system" session-id="18" url="4.0.0.1" source-address="5.0.0.1" source-port="57560" destination-address="4.0.0.1" destination-port="10302" nat-source-address="5.0.0.1" nat-source-port="57560" nat-destination-address="4.0.0.1" nat-destination-port="10302" profile-name="ssl-inspect-profile" source-zone-name="trust" source-interface-name="ge-0/0/0.0" destination-zone-name="untrust" destination-interface-name="ge-0/0/1.0" message="session whitelisted url category match SNI www.youtube.com URL_CATEGORY CATEGORY-1"]
자세한 내용은 시스템 로그 탐색기 를 확인하세요.
모든 로그에는 다음 예제(실제 표시 순서)와 유사한 정보가 포함되어 있습니다.
logical-system-name, session-id, source-ip-address, source-port, destination-ip-address,destination-port, nat-source-ip-address, nat-source-port, nat-destination-ip-address, nat-destination-port, proxy profile name, source-zone-name, source-interface-name, destination-zone-name,destination-interface-name, message
필드에는 message 로그 생성 이유가 포함됩니다. 표 3 에 표시된 세 개의 접두사 중 하나는 메시지의 소스를 식별합니다. 다른 필드는 설명적으로 레이블이 지정됩니다.
| 접두사 | 설명 |
|---|---|
| 체계 |
디바이스와 관련된 오류 또는 SSL 프록시 프로파일의 일부로 수행된 작업으로 인해 생성된 로그. 대부분의 로그가 이 범주에 속합니다. |
| OpenSSL 오류 |
openssl 라이브러리에서 오류가 감지되는 경우 핸드셰이킹 프로세스 중에 생성되는 로그입니다. |
| 인증서 오류 |
인증서에서 오류가 감지된 경우 핸드셰이킹 프로세스 중에 생성되는 로그(x509 관련 오류). |
샘플 로그:
Jun 1 05:11:13 4.0.0.254 junos-ssl-proxy: SSL_PROXY_SSL_SESSION_DROP: lsys:root 23 < 203.0.113.1/35090->192.0.2.1/443> NAT:< 203.0.113.1/35090->192.0.2.1/443> ssl-inspect-profile <untrust:ge-0/0/0.0->trust:ge-0/0/1.0> message:certificate error: self signed certificate
이러한 로그는 SSL 프록시 서비스를 사용하는 다른 모듈에 의해 표시된 세션이 아니라 SSL 프록시에 의해 삭제된 세션을 캡처합니다.
SSL_PROXY_SESSION_WHITELIST 메시지의 경우 허용 목록에 추가된 서버 또는 도메인의 IP 주소를 포함하는 및 뒤에 session-id 추가 host 필드가 포함됩니다.
Jun 1 05:25:36 4.0.0.254 junos-ssl-proxy: SSL_PROXY_SESSION_WHITELIST: lsys:root 24 host:192.0.2.1/443<203.0.113.1/35090->192.0.2.1/443> NAT:< 203.0.113.1/35090->192.0.2.1/443 > ssl-inspect-profile <untrust:ge-0/0/0.0->trust:ge-0/0/1.0> message:system: session whitelisted
SSL 프록시에 대한 디버깅 및 추적 활성화
다음 구성을 설정하여 라우팅 엔진과 패킷 포워딩 엔진 모두에서 디버그 추적을 SSL 프록시에 대해 활성화할 수 있습니다.
user@host# set services ssl traceoptions file file-name
SSL 프록시는 SRX340, SRX345, SRX380, SRX550M, SRX1500, SRX4100, SRX4200, SRX5400, SRX5600, SRX5800 디바이스 및 vSRX 가상 방화벽 인스턴스에서 지원됩니다. 표 4 는 추적 옵션에 대해 지원되는 수준을 보여줍니다.
원인 유형 |
묘사 |
|---|---|
짧다 |
라우팅 엔진 및 패킷 포워딩 엔진 모두에서 오류 추적만 발생합니다. |
세부 |
패킷 포워딩 엔진–핸드셰이크까지의 이벤트 세부 정보만 추적해야 합니다. 라우팅 엔진-커밋과 관련된 추적입니다. 라우팅 엔진의 주기적 추적은 사용할 수 없습니다 |
광대한 |
패킷 포워딩 엔진–데이터 전송 요약을 사용할 수 있습니다. 라우팅 엔진-커밋과 관련된 추적(더 광범위함). 라우팅 엔진의 주기적 추적은 사용할 수 없습니다. |
자세한 |
모든 추적을 사용할 수 있습니다. |
표 5 에는 지원되는 플래그가 표시되어 있습니다.
원인 유형 |
묘사 |
|---|---|
CLI 구성 |
구성 관련 추적만 해당됩니다. |
개시 |
SSL-I 플러그인에서 추적을 사용 가능하게 합니다. |
대리 |
SSL-Proxy-Policy 플러그인에서 추적을 사용 가능하게 하십시오. |
어미 |
SSL-T 플러그인에서 추적을 활성화합니다. |
선택된 프로필 |
설정된 프로필에 대해서만 추적을 enable-flow-tracing 사용하도록 설정합니다. |
SSL 프록시 프로파일에서 로그를 활성화하여 삭제의 근본 원인을 파악할 수 있습니다. 다음은 가장 일반적인 오류 중 일부입니다.
서버 인증 유효성 검사 오류입니다. 신뢰할 수 있는 CA 구성을 확인하여 구성을 확인합니다.
메모리 할당 실패와 같은 시스템 오류입니다.
암호가 일치하지 않습니다.
SSL 버전이 일치하지 않습니다.
SSL 옵션은 지원되지 않습니다.
루트 CA가 만료되었습니다. 새 루트 CA를 로드해야 합니다.
SSL 프록시 프로파일에서 옵션을 활성화 ignore-server-auth-failure 하여 인증서 유효성 검증, 루트 CA 만료 날짜 및 기타 이러한 문제가 무시되도록 할 수 있습니다. 옵션을 활성화한 후 ignore-server-auth-failure 세션을 검사하면 문제가 현지화됩니다.