Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

TLS를 통해 Syslog 구성

SUMMARY Syslog 보안(TLS) 프로토콜을 통해 시스템 로그 메시지(syslog 메시지라고도 하는)를 안전하게 전송하도록 디바이스를 전송 레이어 방법을 알아보습니다.

컨트롤 플레인 로그

Control plane logs, also called system logs, include events that occur on the routing platform. The system sends control plane events to the eventd process on the Routing Engine, which then handles the events by using Junos OS policies, by generating system log messages, or by doing both. You can choose to send control plane logs to a file, user terminal, routing platform console, or remote machine. To generate control plane logs, use the syslog statement at the [system] hierarchy level.

예를 들면 다음과 같습니다. TLS를 통해 Syslog 구성

이 예에서는 TLS를 통해 syslog 주니퍼 네트웍스(컨트롤 플레인 로그)를 전송하도록 디바이스를 구성하는 방법을 보여줍니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • Junos OS Release 21.2 이상

  • syslog Junos OS 실행 디바이스)

  • Syslog 서버

개요

TLS 프로토콜을 사용하여 syslog 클라이언트에서 syslog 서버로 시스템 로그 메시지(컨트롤 플레인 로그)를 안전하게 전달할 수 있습니다. TLS는 인증서를 사용하여 통신을 인증하고 암호화합니다.

  • 서버 인증(또는 단선 TLS)—클라이언트는 서버의 식별을 검증하고 서버를 신뢰합니다.
  • 상호 인증—서버와 클라이언트 모두 서로를 신뢰합니다.

네트워크에 따라 서버 인증 또는 상호 인증 중 하나를 선택할 수 있습니다. 필요한 정보에 빠르게 액세스하려면 표 1의 링크를 클릭하십시오.

표 1: TLS 인증 모드

인증 모드

절차

정보가 있는 섹션

서버 인증

PKI 구성

디바이스 구성

서버 인증

구성

다음 예제에서는 TLS 프로토콜을 사용하여 네트워크 디바이스에서 원격 syslog 서버로 syslog Juniper 메시지(컨트롤 플레인 로그)를 안전하게 전송합니다. 그림 1은 이 예에서 사용된 기본 토폴로지입니다.

그림 1: TLS를 통해 Syslog TLS를 통해 Syslog
PKI(Public Key Infrastructure) 구성 개요

디바이스에서 PKI를 구성하려면 다음을 제공합니다.

  1. 인증 기관(CA(certificate authority)) 프로필을 생성하고 CA(certificate authority) 식별자를 CA(certificate authority). 예제를 참조합니다. CA(certificate authority) 프로파일 구성.
  2. (선택 사항) 해지 검사를 생성하여 증명서 검증 방법을 지정합니다. CRLS(Certificate Revocation list) 또는 OCSP(Online Certificate Status Protocol)를 사용할 수 있습니다. 인증서 취소를 참조합니다.
  3. (선택 사항) 신뢰할 수 있는 CA(certificate authority) 그룹을 생성하고 트러스트 그룹에 CA(certificate authority) 프로필을 추가합니다. 신뢰할 수 있는 CA(certificate authority) 그룹 구성을 참조합니다.
  4. 장비에서 CA(certificate authority) 인증서를 로드합니다. 인증서를 수동으로 로드할 수 있습니다. 예제를 참조합니다. 수동으로 CA(certificate authority) 및 로컬 인증서를 로드합니다. 구축 환경에 따라 CMPv2(Certificate Management Protocol version 2) 또는 SCEP(Simple Certificate Enrollment Protocol)를 사용하여 온라인 인증서 등록을 할 수 있습니다. SCEP를 사용하여 CA(certificate authority) 인증서 등록 및 CMPv2에대한 이해 인증서 등록을 참조하십시오.
  5. (상호 인증을 위한 옵션) 장비에서 로컬 인증서를 로드합니다. 로컬 인증서를 수동으로 로드할 수 있습니다. 구축 환경에 따라 CMPv2 또는 SCEP를 사용하여 온라인 인증서 등록을 할 수 있습니다. SCEP를 사용하여 로컬 인증서 등록 및 CMPv2에대한 이해 인증서 등록을 참조하십시오.
  6. 증명서가 성공적으로 로드된지 검증합니다. request security pki ca-certificate verify 명령어를 사용하여 CA(certificate authority) 인증서가 성공적으로 로드되어 있는지 여부를 검사합니다. 요청 보안 pki 로컬 인증서 검증 명령을 사용하여 로컬 인증서가 성공적으로 로드된지 검증합니다.
장비에서 서버 인증 구성
단계별 절차

다음 절차에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 네트워크의 네트워크 CLI 대한 자세한 내용은 configuration mode에서 CLI Editor 사용 을 참조하십시오.

디바이스 구성:

  1. 시스템 로그 메시지를 수신하는 syslog 서버를 지정합니다. syslog 서버의 IP 주소 또는 완벽하게 자격을 갖춘 호스트 이름을 지정할 수 있습니다. 이 예에서는 10.102.70.233을 syslog 서버의 IP 주소로 사용합니다.

  2. syslog 서버의 포트 번호를 지정합니다.

  3. 디바이스에 대한 syslog 전송 프로토콜을 지정합니다. 이 예에서는 TLS를 전송 프로토콜로 사용합니다.

  4. 신뢰할 수 있는 인증서 기관(CA(certificate authority)) 그룹의 이름을 지정하거나 사용할 CA(certificate authority) 프로파일을 지정합니다. 이 예에서는 example-ca를 CA(certificate authority) 프로필을 예로 들어 보겠습니다.

  5. 디바이스를 구성하여 모든 로그 메시지를 전송합니다.

  6. 구성을 커밋합니다.

결과

구성 모드에서 명령어를 사용하여 구성을 show system syslog 확인

확인

구성이 올바르게 작동하고 있는지 확인하려면 syslog 서버의 명령을 show log 입력합니다.

데이터 플레인 로그

Data plane logs, also called security logs, include security events that are handled inside the data plane. Security logs can be in text or binary format, and you can save them locally (event mode) or configure your device to send the logs to an external server (stream mode). You require binary format for stream mode. We recommend binary format to conserve log space in event mode.

예를 들면 다음과 같습니다. SRX 시리즈 디바이스에서 TLS Syslog 프로토콜 구성

이 예에서는 SRX 시리즈 디바이스에서 TLS(전송 레이어 Security) syslog 프로토콜을 구성하여 TLS syslog 이벤트 포워더를 지원하는 네트워크 장치에서 암호화된 syslog 이벤트를 수신하는 방법을 보여줍니다.

요구 사항

시작하기 전에 서버 인증서 검증 및 암호화 또는 복호화 기능을 활성화하십시오.

개요

TLS syslog 프로토콜은 로그 소스가 TLS syslog 이벤트 포워링을 지원하는 네트워크 장치에서 암호화된 syslog 이벤트를 수신할 수 있습니다. 로그 소스가 듣기 포트를 생성합니다. 수신 TLS syslog 이벤트를 위해 네트워크 디바이스를 위한 인증서 파일을 생성합니다.

이 예에서는 하나의 SSL-I 프로필과 연관된 syslog 수집기 구성. 각 SSL-I 프로필을 통해 사용자는 선호하는 암호 제품군 및 신뢰할 수 있는 인증서와 같은 것을 CA(certificate authority) 수 있습니다. 여러 SSL-I 프로필을 구성하고 프로필을 서로 다른 컬렉터 서버와 연관할 수 있습니다.

구성

절차
CLI 빠른 구성

예제의 이 섹션을 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 브레이크를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 CLI 명령어에 복사하여 붙여넣은 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

TLS syslog 프로토콜을 구성하는 경우:

  1. 스트림을 위해 로그 모드를 설정합니다.

  2. 원격 보안 메시지 로깅을 위해 구조화된 시스템 로그(sd-syslog) 형식을 지정합니다.

  3. 호스트 소스 인터페이스 번호를 설정합니다.

  4. 데이터를 기록하는 데 사용할 보안 로그 전송 프로토콜로 TLS를 지정합니다.

  5. TLS 프로파일 이름을 지정합니다.

  6. 서버 1로 로그를 전송하기 위해 구조화된 syslog 형식을 사용하도록 로그 스트림을 설정합니다.

  7. 서버 1 로깅 범주를 모두 설정합니다.

  8. 서버 이름 또는 IP 주소를 입력하여 서버 호스트 매개변수를 지정합니다.

  9. SSL 시작 액세스 프로파일을 위한 프로토콜 버전 모두를 정의합니다.

  10. 피어에서 CA(certificate authority) 사용할 SSL 시작 프로파일에 모든 CA(certificate authority) 프로파일 그룹을 연결합니다.

  11. 서버 인증 실패를 무시하도록 SSL 시작 액세스 프로파일을 구성합니다.

결과

구성 모드에서 명령어를 사용하여 구성을 show security log 검증합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

구성이 올바르게 작동하고 있는지 확인하려면 syslog 서버의 명령을 show log 입력합니다.