Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Solución de problemas de sistemas lógicos

Utilice las siguientes funciones para supervisar los sistemas lógicos y solucionar los problemas de software. Para obtener más información, consulte los temas siguientes:

Descripción de registros de seguridad y sistemas lógicos

Los registros de seguridad son mensajes de registro del sistema que incluyen eventos de seguridad. Si un dispositivo está configurado para sistemas lógicos, los registros de seguridad generados en el contexto de un sistema lógico usan el nombrelogname _LS (por ejemplo, IDP_ATTACK_LOG_EVENT_LS). La versión del sistema lógico de un registro tiene el mismo conjunto de atributos que el registro para dispositivos que no están configurados para sistemas lógicos. El registro del sistema lógico incluye logical-system-name como primer atributo.

El siguiente registro de seguridad muestra los atributos del registro de IDP_ATTACK_LOG_EVENT para un dispositivo que no está configurado para sistemas lógicos:

El siguiente registro de seguridad muestra los atributos del registro de IDP_ATTACK_LOG_EVENT_LS para un dispositivo configurado para sistemas lógicos (tenga en cuenta que el nombre del sistema lógico es el primer atributo):

Si un dispositivo está configurado para sistemas lógicos, es posible que sea necesario modificar los scripts de análisis de registro, ya que el nombre de registro incluye el sufijo _LS y el atributo logical-system-name se puede usar para separar registros por sistema lógico.

Si un dispositivo no está configurado para sistemas lógicos, los registros de seguridad permanecen inalterados y los scripts creados para analizar registros no necesitan ninguna modificación.

Nota:

Solo el administrador principal puede configurar el registro en el nivel jerárquico [edit security log]. Los administradores de sistemas lógicos de usuario no pueden configurar el registro para sus sistemas lógicos.

El modo de transmisión es un conjunto de servicios de registro que incluye:

  • Registro fuera de la caja (serie SRX)

  • Registro e informes en caja (SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M, SRX1500, SRX4100, SRX4200 y SRX4600)

Se admite la configuración por sistema lógico para el registro fuera de la caja y los registros se manejan según estas configuraciones. Anteriormente, los registros del sistema lógico del usuario se generaban desde el sistema lógico raíz. Para los registros fuera de la caja, los registros del sistema lógico solo se pueden generar desde la interfaz del sistema lógico.

Limitaciones

Cada SPU solo puede admitir un máximo de 1000 conexiones para conexiones independientes y 500 para clústeres en los SRX5400, SRX5600 y dispositivos SRX5800 en la versión 18.2R1 de Junos OS. Si se utilizan todas las conexiones, es posible que no se establezcan algunas conexiones para sistemas lógicos de usuario.

Nota:

El mensaje de error se capturará en el Explorador de registros del sistema.

Configuración de informes en caja para sistemas lógicos

Los firewalls serie SRX admiten diferentes tipos de informes para usuarios del sistema lógico.

Los informes se almacenan localmente en el firewall de la serie SRX y no hay necesidad de dispositivos o herramientas independientes para el almacenamiento de registros e informes. Los informes en caja ofrecen una interfaz simple y fácil de usar para ver los registros de seguridad.

Antes de empezar:

  • Comprenda cómo configurar el registro de seguridad para sistemas lógicos. Vea el ejemplo: Configurar registro de seguridad para sistemas lógicos

Para configurar informes en caja para el sistema lógico:

  1. Defina el nombre lógico del sistema como LSYS1.
  2. Cree un informe dentro del registro de seguridad por sistema de inquilino.
  3. Para confirmar la configuración, ingrese el show logical-systems LSYS1 comando.
Nota:

De forma predeterminada, la report opción está deshabilitada. El set logical-systems LSYS1 security log mode stream comando está habilitado de forma predeterminada.

Ejemplo: Configurar registro de seguridad para sistemas lógicos

En este ejemplo, se muestra cómo configurar registros de seguridad para un sistema lógico.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un firewall de la serie SRX.

  • Junos OS versión 18.3R1 y versiones posteriores.

Antes de empezar:

Visión general

Los firewalls serie SRX tienen dos tipos de registro: registros del sistema y registros de seguridad. Los registros del sistema registran eventos del plano de control, por ejemplo, el inicio de sesión del administrador en el dispositivo. Los registros de seguridad, también conocidos como registros de tráfico, registran eventos de plano de datos relacionados con el manejo específico del tráfico, por ejemplo, cuando una política de seguridad niega cierto tráfico debido a alguna violación de la política.

Los dos tipos de registros se pueden recopilar y guardar ya sea en la caja o fuera de la caja. El siguiente procedimiento explica cómo configurar registros de seguridad en formato binario para el registro fuera de caja (modo de transmisión).

Para los registros fuera de la caja, los registros de seguridad de un sistema lógico se envían desde una interfaz de sistema lógico. Si la interfaz lógica del sistema ya está configurada en una instancia de enrutamiento, configure routing-instance routing-instance-name en edit logical-systems logical-system-name security log stream log-stream-name host la jerarquía. Si la interfaz no está configurada en la instancia de enrutamiento, no se debe configurar ninguna instancia de enrutamiento en edit logical-systems logical-system-name security log stream log-stream-name host la jerarquía.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento

Procedimiento paso a paso

El siguiente procedimiento especifica cómo configurar registros de seguridad para un sistema lógico.

  1. Especifique el modo de registro y el formato del archivo de registro. Para el registro en modo de transmisión fuera de la caja.

  2. Para el registro de seguridad externo, especifique la dirección de origen, que identifica al firewall serie SRX que generó los mensajes de registro. Se requiere la dirección de origen.

  3. Especifique la instancia de enrutamiento y defina la interfaz.

  4. Defina una instancia de enrutamiento para un sistema lógico.

  5. Especifique el protocolo de transporte de registro de seguridad para el dispositivo.

Procedimiento

Procedimiento paso a paso

El siguiente procedimiento especifica cómo configurar un perfil de seguridad para un sistema lógico.

  1. Configure un perfil de seguridad y especifique el número de políticas máximas y reservadas.

  2. Asigne el perfil de seguridad configurado a TSYS1.

Resultados

Desde el modo de configuración, ingrese los comandos , show logical-systems LSYS1 security logy show logical-systems LSYS1 routing-instances para confirmar la show system security-profileconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Verificar la salida detallada para el registro de seguridad

Propósito

Compruebe que el resultado muestra la información de recursos de todos los sistemas lógicos.

Acción

Desde el modo operativo, ingrese el show system security-profile security-log-stream-number tenant all comando.

Significado

El resultado muestra la información de recursos de los sistemas lógicos.

Configuración de archivos de registro de seguridad binarios en caja para el sistema lógico

Los dispositivos de la serie SRX admiten dos tipos de registro: registros del sistema y registros de seguridad.

Los dos tipos de registro se recopilan y se guardan en la caja o fuera de la caja. En el siguiente procedimiento se explica cómo configurar registros de seguridad en formato binario para el registro en caja (modo de evento) del sistema lógico.

El siguiente procedimiento especifica el formato binario para el registro de seguridad en modo de evento y define las características del archivo de registro, la ruta de acceso y el archivo de registro para el sistema lógico.

  1. Especifique el modo de registro y el formato del archivo de registro. Para el registro en modo de evento en caja:

  2. (Opcional) Especifique un nombre de archivo de registro.

    Nota:

    El nombre de archivo del registro de seguridad no es obligatorio. Si el nombre de archivo del registro de seguridad no está configurado, de forma predeterminada el archivo bin_messages se crea en el directorio /var/log.

  3. Para confirmar la configuración, ingrese el show logical-systems LSYS1 comando.

El siguiente procedimiento especifica el formato binario para el registro de seguridad en modo de transmisión y define las características del archivo de registro y el nombre de archivo de registro para el sistema lógico.

  1. Especifique el modo de registro y el formato del archivo de registro. Para el registro en modo de transmisión en caja:

  2. (Opcional) Especifique un nombre de archivo de registro.

  3. Para confirmar la configuración, ingrese el show logical-systems LSYS1 comando.

Configuración de archivos de registro de seguridad binarios fuera de la caja para el sistema lógico

Los dispositivos de la serie SRX admiten dos tipos de registro: registros del sistema y registros de seguridad.

Los dos tipos de registro se pueden recopilar y guardar en el caja o fuera de la caja. El siguiente procedimiento explica cómo configurar registros de seguridad en formato binario para el registro fuera de caja (modo de transmisión).

El siguiente procedimiento especifica el formato binario para el registro de seguridad en modo de secuencia y define las características del modo de registro, la dirección de origen y el nombre de host para el sistema lógico.

  1. Especifique el modo de registro y el formato del archivo de registro. Para el registro en modo de transmisión fuera de la caja:

  2. Especifique la dirección de origen para el registro de seguridad externo.

  3. Especifique el nombre de host.

  4. Para confirmar la configuración, ingrese el show logical-systems LSYS1 comando.

Descripción de la depuración de rutas de datos para sistemas lógicos

La depuración de rutas de datos proporciona rastreo y depuración en varias unidades de procesamiento a lo largo de la ruta de procesamiento de paquetes. La depuración de rutas de datos también se puede realizar en el tráfico entre sistemas lógicos.

Nota:

Solo el administrador principal puede configurar la depuración de rutas de datos para sistemas lógicos en el nivel de [edit security datapath-debug]. Los administradores de sistemas lógicos de usuario no pueden configurar la depuración de rutas de datos para sus sistemas lógicos.

El seguimiento de eventos de extremo a extremo rastrea la ruta de un paquete desde que entra en el dispositivo hasta que sale del dispositivo. Cuando el administrador principal configura el seguimiento de eventos de extremo a extremo, el resultado de seguimiento contiene información lógica del sistema.

El administrador principal también puede configurar el rastreo para el tráfico entre sistemas lógicos. El resultado de seguimiento muestra el tráfico que entra y sale del túnel lógico entre sistemas lógicos. Cuando se configura la opción conservar-seguimiento-orden , el mensaje de seguimiento se ordena cronológicamente. Además de la acción de seguimiento, otras acciones, como el volcado de paquetes y el resumen del paquete, se pueden configurar para el tráfico entre sistemas lógicos.

La depuración de rutas de datos se admite en SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 y SRX5800.

Realización de rastreo para sistemas lógicos (solo administradores principales)

Nota:

Solo el administrador principal puede configurar la depuración de rutas de datos para sistemas lógicos en el nivel raíz.

Para configurar un perfil de acción para un seguimiento o captura de paquetes:

  1. Especifique los tipos de eventos y las acciones de seguimiento. Puede especificar cualquier combinación de tipos de eventos y acciones de seguimiento. Por ejemplo, las siguientes instrucciones configuran varias acciones de seguimiento para cada tipo de evento:
  2. Especifique las opciones de perfil de acción.
  3. Configure las opciones de filtro de paquetes.

Para capturar mensajes de seguimiento para sistemas lógicos:

  1. Configure el archivo de captura de seguimiento.

  2. Muestra el seguimiento capturado en modo operativo.

  3. Desactive el registro.

Para realizar la captura de paquetes para sistemas lógicos:

  1. Configure el archivo de captura de paquetes.

  2. Ingrese al modo operativo para iniciar y, luego, detenga la captura de paquetes.

    Nota:

    Los archivos de captura de paquetes se pueden abrir y analizar sin conexión con tcpdump o cualquier analizador de paquetes que reconozca el formato libpcap. También puede usar FTP o el Protocolo de control de sesión (SCP) para transferir los archivos de captura de paquetes a un dispositivo externo.

  3. Desactive la captura de paquetes desde el modo de configuración.

    Nota:

    Desactive la captura de paquetes antes de abrir el archivo para análisis o transferirlo a un dispositivo externo con FTP o SCP. La deshabilitación de la captura de paquetes garantiza que el búfer interno del archivo esté limpiado y que todos los paquetes capturados se escriban en el archivo.

  4. Muestra la captura de paquetes.

    • Para mostrar la captura de paquetes con la utilidad tcpdump:

    • Para mostrar la captura de paquetes desde el modo operativo de la CLI:

Solución de problemas de la resolución de nombres dns en las políticas de seguridad del sistema lógico (solo para administradores principales)

Problema

Descripción

Es posible que la dirección de un nombre de host en una entrada de libreta de direcciones que se use en una política de seguridad no se resuelva correctamente.

Causa

Normalmente, las entradas de la libreta de direcciones que contienen nombres de host dinámicos se actualizan automáticamente para los firewalls serie SRX. El campo TTL asociado con una entrada DNS indica el tiempo después del cual se debe actualizar la entrada en la caché de políticas. Una vez que caduca el valor TTL, el firewall serie SRX actualiza automáticamente la entrada DNS para una entrada de libreta de direcciones.

Sin embargo, si el firewall serie SRX no puede obtener una respuesta del servidor DNS (por ejemplo, el paquete de solicitud o respuesta DNS se pierde en la red o el servidor DNS no puede enviar una respuesta), es posible que la dirección de un nombre de host en una entrada de una libreta de direcciones no se resuelva correctamente. Esto puede hacer que el tráfico se caiga, ya que no se encuentra ninguna política de seguridad o coincidencia de sesión.

Solución

El administrador principal puede usar el show security dns-cache comando para mostrar información de caché DNS en el firewall serie SRX. Si es necesario actualizar la información de la caché DNS, el administrador principal puede usar el clear security dns-cache comando.

Nota:

Estos comandos solo están disponibles para el administrador principal en dispositivos configurados para sistemas lógicos. Este comando no está disponible en sistemas lógicos de usuario ni en dispositivos que no están configurados para sistemas lógicos.