Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN 트래픽 모니터링

VPN 모니터링을 사용하면 ICMP(Internet Control Message Protocol) 요청을 동료에게 전송하여 피어 장치의 도달 능력을 결정할 수 있습니다.

VPN 알람 및 감사 이해

장비의 초기 설정 중에 보안 이벤트 로깅을 지원하도록 다음 명령을 구성합니다. 이 기능은 SRX300, SRX320, SRX340, SRX345, SRX550HM 및 여러 디바이스 및 SRX1500 인스턴스에서 vSRX 지원됩니다.

set security log cache

관리자(감사, 암호화, 침입 탐지 서비스(IDS) 및 보안)는 위 명령이 구성되어 각 관리자 역할이 다른 모든 관리 역할과 분리된 고유의 권한 집합을 하도록 구성된 경우 보안 이벤트 로깅 구성을 수정할 수 없습니다.

VPN 장애로 알람이 트리거됩니다. 시스템에서 다음과 같은 감사된 이벤트를 모니터링할 때 VPN 경보가 생성됩니다.

  • Authentication failures—패킷 인증 장애가 지정된 수에 도달할 때 시스템 경보를 생성하도록 디바이스를 구성할 수 있습니다.

  • Encryption and decryption failures—암호화 또는 복호화 장애가 지정된 수를 초과하는 경우 시스템 경보를 생성하도록 디바이스를 구성할 수 있습니다.

  • IKE Phase 1 and IKE Phase 2 failures—Internet Key Exchange(IKE(Internet Key Exchange)) 1단계 협상은 SAS(IKE(Internet Key Exchange) Security Associations)를 구축하는 데 사용됩니다. 이들 SAS는 2단계 IKE(Internet Key Exchange) 보호합니다. 1단계 또는 2단계 장애가 지정된 수를 IKE(Internet Key Exchange) IKE(Internet Key Exchange) 시스템 경보를 생성하도록 디바이스를 구성할 수 있습니다.

  • Self-test failures—셀프 테스트는 장비가 전원을 ON 또는 재부팅하면 실행되는 테스트로 보안 소프트웨어가 장치에 올바르게 구현인지 여부를 확인합니다.

    셀프 테스트는 암호화 알고리즘의 수정을 보장합니다. Junos-FIPS 이미지는 전원이 실행될 때 자동으로 셀프 테스트를 수행하고 키-페어 생성을 위해 지속적으로 실행됩니다. 국내 또는 FIPS 이미지 중 하나에서, 요구 시 또는 키 생성 직후에 정의된 일정에 따라 셀프 테스트를 구성할 수 있습니다.

    셀프 테스트 장애가 발생하면 디바이스를 구성하여 시스템 경보를 생성할 수 있습니다.

  • IDP flow policy attacks—침입 탐지 및 방지(침입 탐지 및 방지(IDP)) 정책을 통해 네트워크 트래픽에 다양한 공격 탐지 및 방지 기법을 적용할 수 있습니다. 플로우 정책 위반이 발생하면 디바이스를 침입 탐지 및 방지(IDP) 경보를 생성할 수 있습니다.

  • Replay attacks—리플레이 공격은 유효한 데이터 전송이 악의적으로 또는 부정하게 반복되거나 지연되는 네트워크 공격입니다. 리플레이 공격이 발생하면 디바이스를 구성하여 시스템 알람을 생성할 수 있습니다.

syslog 메시지는 다음과 같은 케이스에 포함되어 있습니다.

  • 대칭 키 생성 실패

  • 비대칭 키 생성 실패

  • 수동 키 배포 실패

  • 자동 키 배포에 실패했습니다.

  • 키 파기 실패

  • 키 처리 및 저장 실패

  • 데이터 암호화 또는 복호화 실패

  • 서명 실패

  • 키 계약 실패

  • 암호 해시 실패

  • IKE(Internet Key Exchange) 장애

  • 수신된 패킷의 인증 실패

  • 잘못된 패딩 컨텐트로 인한 복호화 오류

  • 원격 VPN 피어 디바이스에서 수신된 인증서의 대체 subject 필드에 지정된 길이 불일치

syslog 메시지를 기반으로 알람이 발생합니다. 모든 장애가 기록되지만 임계값에 도달한 경우만 경보가 생성됩니다.

알람 정보를 보시다가 명령을 show security alarms 실행합니다. 위반 횟수와 경보는 시스템 재부팅 전반에서 계속 유지되지 않습니다. 재부팅하면 위반 횟수가 0으로 리셋되어 경보 큐에서 경보가 지워지며,

적절한 조치를 취한 후 알람을 지우면 됩니다. 이를 지우거나 디바이스를 재부팅할 때까지 대기열에 알람이 남아 있습니다. 경보를 지우기 위해 명령을 clear security alarms 실행합니다.

VPN 모니터링 이해

VPN 모니터링은 ICMP 에코 요청(또는 핑)을사용하여 VPN 터널이 설정 상태인지 여부를 파악합니다. VPN 모니터링이 활성화되면 보안 장비는 VPN 터널을 통해 피어 게이트웨이 또는 터널의 다른 끝에 있는 특정 목적지로 핑을 전송합니다. 핑은 최대 10회 연속 10초의 간격으로 기본적으로 전송됩니다. 10연속 핑 이후 회신이 수신되지 못하면 VPN이 다운되는 것으로 간주되는 것으로 간주하고IPsec SA(SecurityAssociation)를 지우게 됩니다.

VPN 모니터링은 [ ] 계층 수준에서 옵션을 구성하여 특정 VPN에 vpn-monitoredit security ipsec vpn vpn-name 대해 활성화됩니다. 피어 게이트웨이의 IP 주소는 기본 대상입니다. 그러나 터널의 다른 단말에서 다른 대상 IP 주소(예: 서버)를 지정할 수 있습니다. 로컬 터널 엔드포인트는 기본 소스 인터페이스이지만 다른 인터페이스 이름을 지정할 수 있습니다.

PC와 같이 외부에 연결된 디바이스에 대한 VPN 모니터링은 디바이스, SRX5400, SRX5600 지원되지 SRX5800 있습니다. VPN 모니터링을 위한 대상은 네트워크, SRX5400, SRX5600 장치 상의 로컬 SRX5800 합니다.

VPN 모니터링 옵션은 전송 트래픽이 있을 때만 핑을 전송하며, VPN 터널을 통해 수신 트래픽이 optimized 수신하지 않습니다. VPN 터널을 통해 수신되는 트래픽이 있는 경우 보안 디바이스는 해당 터널이 활성 상태인 것으로 판단하고 피어로 핑을 전송하지 않습니다. 옵션 구성은 피어의 활성화를 결정해야 하는 때만 핑이 전송될 수 있기 때문에 보안 디바이스에서 리소스를 optimized 절약할 수 있습니다. 핑을 전송하면 사용되지 않을 경우 비용이 많이 드는 백업 링크를 활성화할 수 있습니다.

핑이 전송되는 간격과 VPN이 다운되기 전에 회신 없이 전송되는 연속 핑 수를 구성할 수 있습니다. 이들은 각각 [ ] 계층 수준에서 intervalthresholdedit security ipsec vpn-monitor-options 옵션으로 구성됩니다.

VPN 모니터링은 패킷의 소스 또는 대상 IP 주소를 기준으로 피어에서 핑 패킷을 허용하지 않는 경우 일부 VPN 환경에서 터널 플래핑(tunnel flapping)을 일으킬 수 있습니다.

IPsec 데이터 경로 검증 이해

개요

기본적으로 경로 기반 VPN의 점대점(point-to-point) 모드로 구성된 보안 터널(st0) 인터페이스의 상태는 VPN 터널의 상태를 기반으로 합니다. IPsec SA가 설정되면 곧 st0 인터페이스와 연관된 라우트가 Junos OS 테이블에 설치됩니다. VPN 터널 엔드포인트 사이에 전송 방화벽이 위치하는 경우와 같은 특정 네트워크 토폴로지에서 st0 인터페이스의 설정된 VPN 터널에 대해 활성 경로를 사용하는 IPsec 데이터 트래픽은 전송 방화벽에 의해 차단될 수 있습니다. 이로 인해 트래픽이 손실될 수 있습니다.

IPsec 데이터 경로 검증을 활성화하면 데이터 경로가 검증될 때까지 st0 인터페이스가 시작되고 활성화되지 않습니다. 검증은 경로 기반, 사이트 대 사이트 및 동적 엔드포인트 VPN 터널에 대한 set security ipsec vpn vpn-name vpn-monitor verify-path 명령문으로 구성됩니다.

피어 터널 엔드포인트 앞에 네트워크 주소 변환(NAT) 디바이스가 있는 경우 피어 터널 엔드포인트의 IP 주소가 네트워크 주소 변환(NAT). VPN 모니터링 ICMP 요청이 피어 터널 엔드포인트에 도달하려면 디바이스 뒤의 피어 터널 엔드포인트의 원래, 전달되지 않은 IP 주소를 네트워크 주소 변환(NAT) 합니다. 이는 구성을 통해 set security ipsec vpn vpn-name vpn-monitor verify-path destination-ip 구성됩니다.

Junos OS Release 15.1X49-D120 인터페이스가 실행되기 전에 IPsec 데이터 경로(datapath)를 확인하는 데 사용되는 패킷 크기를 구성할 st0 수 있습니다. 구성을 set security ipsec vpn vpn-name vpn-monitor verify-path packet-size 사용 합니다. 구성 가능한 패킷 크기는 64~1350비트 범위, 기본 설정은 64비트입니다.

주의 사항

VPN 모니터링 작동을 위해 구성할 수 있는 소스 인터페이스 및 대상 IP 주소는 IPsec 데이터 경로 검증에 영향을 없습니다. IPsec 데이터 경로 검증에서 ICMP 요청의 소스는 로컬 터널 엔드포인트입니다.

IPsec 데이터 경로 검증을 활성화하면, ST0 인터페이스가 활성화된 후에 VPN 모니터링이 자동으로 활성화되고 사용됩니다. IPsec 데이터 경로 검증을 사용할 때마다 해당 명령어와 함께 VPN 모니터 최적화 set security ipsec vpn vpn-name vpn-monitor optimized 옵션을 구성하는 것이 좋습니다.

섀시 클러스터 장애가 IPsec 데이터 경로 검증 중에 발생하면 새 활성 노드가 다시 검증을 시작합니다. 검증이 성공하기 전까지는 st0 인터페이스가 활성화되지 않습니다.

st0 인터페이스 상태가 리키(rekeys)에 대해 변경되지 않는다는 때문에 IPsec SA 리키(iPsec SA rekeys)에는 IPsec 데이터 경로 검증이 수행되지 않습니다.

IPsec 데이터 경로 검증은 AutoVPN, Auto Discovery VPN 및 여러 트래픽 셀렉터와 함께 사용되는 점대다점(point-to-multipoint) 모드로 구성된 st0 인터페이스에서 지원되지 않습니다. VPN 모니터링 및 IPsec 데이터 경로 검증은 IPv6 주소를 지원하지 않습니다. 따라서 IPsec 데이터 경로 검증은 IPv6 터널과 함께 사용할 수 없습니다.

글로벌 SPI 및 VPN 모니터링 기능 이해

다음과 같은 글로벌 VPN 기능을 사용하여 VPN의 효율적인 운영을 모니터링하고 유지할 수 있습니다.

  • SPI—SA(Security Association)의 피어는 피어 중 하나에 장애가 발생하면 비동기식이 될 수 있습니다. 예를 들어, 피어 중 하나가 재부팅하는 경우 잘못된 SPI(Security 매개 변수 인덱스)를 전송할 수 있습니다. 디바이스가 잘못된 SPI 응답 기능을 구성하여 이러한 이벤트를 감지하고 피어에 재동기할 수 있도록 지원할 수 있습니다.

  • VPN 모니터링—글로벌 VPN 모니터링 기능을 사용하여 동료에게 ICMP(Internet Control Message Protocol) 요청을 주기적으로 전송하여 피어에 도달할 수 있는지 확인할 수 있습니다.

VPN 모니터링 및 DPD 이해

VPN 모니터링 및 DPD(Dead Peer Detection)는 SRX 시리즈 디바이스에서 VPN 피어 디바이스의 가용성을 검증하기 위해 사용할 수 있습니다. 이 섹션에서는 이러한 기능의 작동 및 구성을 비교합니다.

SRX 시리즈 디바이스는 장비에서 DPD가 구성되지 않은 경우에도 VPN 피어가 전송하는 DPD 메시지에 응답합니다. SRX 시리즈 디바이스를 구성하여 VPN 피어에 DPD 메시지를 시작할 수 있습니다. 또한 DPD 및 VPN 모니터링을 구성하여 동일한 SRX 시리즈 디바이스에서 동시에 작동하도록 구성할 수 있습니다. 두 가지 방법으로 모니터링할 수 있는 피어의 수는 줄어듭니다.

VPN 모니터링은 2단계 Junos OS(SAS)만 모니터링하는 기본 메커니즘입니다. VPN 모니터링은 [ 계층 수준]의 명령문을 사용하여 vpn-monitoredit security ipsec vpn vpn-name VPN을 기준으로 활성화됩니다. 대상 IP 및 소스 인터페이스를 지정해야 합니다. 이 옵션을 사용하면 디바이스가 피어 활성화의 증거로 트래픽 패턴을 optimized 사용할 수 있습니다. ICMP 요청은 억제됩니다.

VPN 모니터링 옵션은 [ ] 계층 수준에서 vpn-monitor-optionsedit security ipsec 명령문으로 구성됩니다. 이러한 옵션은 VPN 모니터링이 활성화된 모든 VPN에 적용됩니다. 구성할 수 있는 옵션에는 ICMP 요청이 피어로 전송되는 간격(기본값은 10초임)과 피어가 응답을 수신하지 않고 전송된 연속 ICMP 요청의 수를 포함합니다(기본값은 10연속 요청임).

DPD는 RFC 3706의 구현입니다. 트래픽 기반 탐지 방법인 Internet Key Exchange(IKE(Internet Key Exchange)) 피어. 또한, IKE(Internet Key Exchange) 레벨에서 작동하고 네트워크 및 IPsec 트래픽 활동을 IKE(Internet Key Exchange) 피어를 모니터링합니다.

DPD는 [ ] 계층 IKE(Internet Key Exchange) 있는 개별 dead-peer-detectionedit security ike gateway gateway-name 게이트웨이에서 구성됩니다. DPD 작동 모드를 구성할 수 있습니다. 기본(최적화된) 모드는 로컬 디바이스가 피어로 송신 패킷을 전송한 후 구성된 간격 내에 수신 IKE(Internet Key Exchange) 또는 IPsec 트래픽이 없는 경우 DPD 메시지를 피어로 전송합니다. 기타 구성 가능한 옵션에는 DPD 메시지가 피어로 전송되는 간격(기본값은 10초)과 피어를 사용할 수 없게되기 전에 응답을 받지 않고 전송된 연속 DPD 메시지 수가 포함됩니다(기본적으로는 5개의 연속 요청).

데드 피어 탐지 이해

DPD(Dead Peer Detection)는 네트워크 디바이스가 다른 피어 디바이스의 현재 존재 및 가용성을 확인하기 위해 사용하는 방법입니다.

VPN 모니터링의 대안으로 DPD를 사용할 수 있습니다. VPN 모니터링은 개별 IPsec VPN에 적용되는 반면, DPD는 개별 데이터 게이트웨이 컨텍스트에서 IKE(Internet Key Exchange) 구성됩니다.

장치는 암호화된 1단계 IKE(Internet Key Exchange) 알림 페이로드(R-U-THERE 메시지)를 피어로 전송하고 피어에서 DPD Acknowledgments(R-U-THERE-ACK 메시지)를 대기하여 DPD 검증을 수행합니다. 디바이스는 지정된 DPD 간격 동안 피어로부터 트래픽을 수신하지 않은 경우만 R-U-THERE 메시지를 전송합니다. 디바이스가 이 간격 동안 피어로부터 R-U-THERE-ACK 메시지를 수신하면 피어가 살아 있는 것으로 고려합니다. 디바이스가 피어로부터 터널에서 트래픽을 수신하면 해당 터널에 대한 R-U-THERE 메시지 카운터를 리셋하여 새로운 간격을 시작합니다. 장비가 간격 동안 R-U-THERE-ACK 메시지를 수신하지 않는 경우 피어 데드(peer dead)를 고려합니다. 디바이스가 피어 디바이스의 상태를 변경하면 디바이스는 SA(Phase 1 Security Association)와 해당 피어에 대한 모든 2단계 SA를 제거합니다.

SRX 시리즈 장치에서 지원되는 DPD 모드는 다음과 같습니다.

  • 최적화—디바이스가 피어로 송신 패킷을 보낸 후 구성된 간격 내에 수신 IKE(Internet Key Exchange) 또는 IPsec 트래픽이 없는 경우 R-U-THERE 메시지가 트리거됩니다. 이는 기본 모드입니다.

  • 프로브 유휴 터널—구성된 간격 내에 수신 또는 IKE(Internet Key Exchange) 또는 IPsec 트래픽이 없는 경우 R-U-THERE 메시지가 트리거됩니다. R-U-THERE 메시지는 트래픽 활동이 나설 때까지 주기적으로 피어로 전송됩니다. 이 모드는 다운된 피어를 조기 탐지하고 데이터 트래픽에 터널을 사용할 수 있도록 합니다.

    VPN을 위해 여러 트래픽 셀렉터를 구성하면 동일한 SA에 대해 여러 개의 터널을 IKE(Internet Key Exchange) 수 있습니다. 이 시나리오에서 프로브 유휴 터널 모드는 동일한 SA에 대한 다른 터널에 대한 트래픽이 있을 수 있는 경우에도 IKE(Internet Key Exchange) SA와 관련된 터널이 유휴인 경우 전송되는 R-U-THERE IKE(Internet Key Exchange).

  • 항상 전송—R-U-THERE 메시지는 피어 간의 트래픽 활동에 관계없이 구성된 간격으로 전송됩니다.

    프로브 유휴 터널 모드가 모드 대신 사용하는 것이 always-send 좋습니다.

DPD 타임머는 1단계 SA가 설정되면 즉시 활성화됩니다. DPD 동작은 IKEv1 및 IKEv2 프로토콜 모두에서 동일합니다.

다음과 같은 DPD 매개 변수를 구성할 수 있습니다.

  • 간격 매개 변수는 디바이스가 R-U-THERE 메시지를 전송하기 전에 피어로부터 트래픽을 대기하는 시간(초)을 지정합니다. 기본 간격은 10초입니다. Junos OS Release 15.1X49-D130 시작으로 R-U-THERE 메시지가 피어 장치로 전송되는 가급적 간격 매개 변수 범위가 10초에서 60초로 단축됩니다. 최소 임계값 매개 변수는 DPD 간격 매개 변수가 10초 미만으로 설정되는 경우 3입니다.

  • 임계값 매개 변수는 피어 데드를 고려하기 전에 피어의 응답 없이 R-U-THERE 메시지를 전송하는 최대 횟수를 지정합니다. 기본 전송 횟수는 5배로, 1~5개의 재시도 범위가 제한됩니다.

DPD를 구성하기 전에 다음과 같은 고려 사항을 참고하십시오.

  • DPD 구성이 활성 터널을 있는 기존 게이트웨이에 추가될 때 R-U-THERE 메시지는 1단계 또는 2단계 SAS를 지우지 않고도 시작됩니다.

  • 활성 터널이 있는 기존 게이트웨이에서 DPD 구성이 삭제되면 해당 터널에 대한 R-U-THERE 메시지가 중지됩니다. IKE(Internet Key Exchange) IPsec SAS는 영향을 받지 않습니다.

  • 모드, 간격 또는 임계값 등의 DPD 구성 옵션을 수정하는 것은 1단계 또는 2단계 SAS를 지우지 않고도 DPD 작업을 업데이트합니다.

  • IKE(Internet Key Exchange) 게이트웨이가 DPD 및 VPN 모니터링과 함께 구성되지만 즉시 터널을 설정하는 옵션이 구성되지 않은 경우 DPD는 1단계 협상을 시작하지 않습니다. DPD가 구성되면, 1단계 및 2단계 SAS가 없는 경우 즉시 설정 터널을 동시에 구성하여 st0 인터페이스를 해체해야 합니다.

  • IKE(Internet Key Exchange) 게이트웨이가 여러 피어 IP 주소와 DPD로 구성되지만 1단계 SA가 첫 번째 피어 IP 주소로 설정되지 못하면 다음 피어 IP 주소로 1단계 SA가 시도됩니다. DPD는 1단계 SA가 설정된 후에만 활성화됩니다.

  • IKE(Internet Key Exchange) 게이트웨이가 여러 피어 IP 주소와 DPD로 구성되어 있지만 DPD가 현재 피어의 IP 주소에 장애가 발생하면 1단계 및 2단계 SAS가 지워지며 다음 피어 IP 주소로의 페일오버가 트리거됩니다.

  • 동시 협상 때문에 1단계 또는 2단계 SA가 동일한 피어에 있을 수 있습니다. 이 경우 R-U-THERE 메시지는 모든 Phase 1 SAS상에서 전송됩니다. 구성된 횟수에 대한 DPD 응답을 수신하지 못하면 1단계 SA 및 관련 2단계 SA(IKEv2만 해당)가 지워 습니다.

터널 이벤트 이해

VPN과 관련된 네트워크 문제가 있는 경우 터널이 나면 터널 상태가 추적됩니다. 터널이 설정되기 전에 많은 문제가 발생할 수 있습니다. 따라서 터널 상태, 터널 다운 문제 또는 협상 실패만 추적하는 대신 성공적인 IPsec SA 협상, IPsec 재키, IKE(Internet Key Exchange) SA 키와 같은 성공적인 이벤트가 추적됩니다. 이러한 이벤트를 터널 이벤트라고 합니다.

1단계 및 2단계의 경우, AUTHD 또는 PKID와 같은 외부 데몬에서 발생하는 이벤트와 함께 주어진 터널에 대한 협상 이벤트가 추적됩니다. 터널 이벤트가 여러 번 발생하면 업데이트된 시간 및 이벤트가 발생한 횟수와 함께 하나의 엔트리만 유지 관리됩니다.

전반적으로 16개 이벤트가 추적됩니다. 1단계에 대한 8개 이벤트와 2단계에 대한 8개 이벤트가 있습니다. 일부 이벤트는 이벤트 메모리를 재구성하고 채우기 때문에 중요한 이벤트가 제거됩니다. 덮어링을 방지하기 위해 터널이 다운되지 않는 한 이벤트는 저장되지 않습니다.

다음 특별 이벤트가 이 범주에 포함됩니다.

  • IPsec SA의 수명이 만료된 킬로바이트 수명

  • IPsec SA의 유효 수명 만료

  • IPsec SA 삭제 피어로부터 받은 페이로드 삭제, 해당 IPsec SAS 지우기

  • 사용되지 않는 중복 백업 IPsec SA 쌍 지우기

  • SA 삭제에 따라 IKE(Internet Key Exchange) IPsec SA

AutoVPN 터널이 동적으로 생성 및 제거되어 이러한 터널에 해당하는 터널 이벤트의 사용 기간이 짧아집니다. 때때로 이러한 터널 이벤트는 모든 터널과 연결되지 못하기 때문에 시스템 로깅을 대신 디버깅에 사용할 수 있습니다.

예를 들면 다음과 같습니다. 보안 경보의 통보로 Audible Alert 설정

이 예에서는 새로운 보안 이벤트가 발생하면 시스템 경고 경고음(beep)을 생성하도록 디바이스를 구성하는 방법을 보여줍니다. 기본적으로 알람은 소리가 나지 않습니다. 이 기능은 SRX300, SRX320, SRX340, SRX345, SRX550HM 및 여러 디바이스 및 SRX1500 인스턴스에서 vSRX 지원됩니다.

요구 사항

이 기능을 구성하기 전에 장비 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

이 예에서는 보안 경보에 따라 소리가 들리게 끔(beep)을 생성합니다.

구성

절차

단계별 절차

가시적인 경보(audible alarm) 설정:

  1. 보안 알람을 활성화합니다.

  2. 경고음이 울리며 보안 경보에 대한 통보를 하려는지 지정합니다.

  3. 디바이스 구성이 완료되면 구성을 커밋합니다.

확인

구성이 제대로 작동하고 있는지 확인하려면 명령을 show security alarms detail 입력합니다.

예를 들면 다음과 같습니다. 잠재적 위반에 대응하여 보안 경보 생성

이 예에서는 잠재적 위반이 발생할 때 시스템 경보를 생성하도록 디바이스를 구성하는 방법을 보여줍니다. 기본적으로 잠재적 위반이 발생할 경우 알람이 제기되지 않습니다. 이 기능은 SRX300, SRX320, SRX340, SRX345, SRX550HM 및 여러 디바이스와 SRX1500 인스턴스에서 vSRX 지원됩니다.

요구 사항

이 기능을 구성하기 전에 장비 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

다음 예제에서 다음과 같은 경우 경보를 구성합니다.

  • 인증 실패 횟수가 6을 초과합니다.

  • 암호화 셀프 테스트에 실패합니다.

  • 암호가 아닌 셀프 테스트에 실패합니다.

  • 키 생성 자가 테스트에 실패합니다.

  • 암호화 장애 횟수는 10을 초과합니다.

  • 복호화 장애의 수는 1을 초과합니다.

  • 1단계 IKE(Internet Key Exchange) 횟수가 10을 초과합니다.

  • 2단계 IKE(Internet Key Exchange) 횟수가 1을 초과합니다.

  • 리플레이 공격이 발생합니다.

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 Junos OS CLI 참조하십시오.

잠재적인 위반에 대응하여 경보를 구성하는 경우:

  1. 보안 알람을 활성화합니다.

  2. 인증 장애가 발생하면 경보가 발생해야 한다고 지정합니다.

  3. 암호화 셀프 테스트 장애가 발생하면 경보가 발생해야 한다고 지정합니다.

  4. 암호가 아닌 셀프 테스트 장애가 발생하면 경보가 발생해야 한다고 지정합니다.

  5. 키 생성 자가 테스트 장애가 발생하면 경보가 발생해야 한다고 지정합니다.

  6. 암호화 장애가 발생하면 경보가 발생해야 한다고 지정합니다.

  7. 복호화 장애가 발생하면 경보가 발생해야 한다고 지정합니다.

  8. 1단계 장애가 발생하면 경보가 IKE(Internet Key Exchange) 지정합니다.

  9. 2단계 장애가 발생하면 경보가 IKE(Internet Key Exchange) 지정합니다.

  10. 리플레이 공격이 발생하면 경보가 발생해야 한다고 지정합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show security alarms 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

작동 모드에서 구성이 올바르게 작동하고 있는지 확인하려면 명령을 show security alarms 입력합니다.

출시 내역 표
릴리스
설명
15.1X49-D130
Junos OS Release 15.1X49-D130 시작으로 R-U-THERE 메시지가 피어 장치로 전송되는 가급적 간격 매개 변수 범위가 10초에서 60초로 단축됩니다. 최소 임계값 매개 변수는 DPD 간격 매개 변수가 10초 미만으로 설정되는 경우 3입니다.
15.1X49-D120
Junos OS Release 15.1X49-D120 인터페이스가 실행되기 전에 IPsec 데이터 경로(datapath)를 확인하는 데 사용되는 패킷 크기를 구성할 st0 수 있습니다.