EN ESTA PÁGINA
Descripción del registro de seguridad para sistemas de inquilinos
Ejemplo: configurar el registro de seguridad para sistemas de inquilinos
Descripción de los informes internos para sistemas de inquilinos
Configuración de informes internos para sistemas de inquilinos
Descripción del registro interno y externo para el sistema de inquilinos
Configuración de archivos de registro de seguridad binaria en caja para el sistema de inquilinos
Registro de seguridad para sistemas de inquilinos
Los registros de seguridad para los sistemas de inquilinos incluyen eventos de seguridad para controlar los planos de datos del sistema. Los registros de seguridad se envían en formato binario a un servidor externo desde una interfaz de sistema de inquilinos. Los registros de seguridad se generan por sistema de inquilino.
Descripción del registro de seguridad para sistemas de inquilinos
Junos OS genera mensajes de registro independientes para registrar los eventos que se producen en los planos de control y datos del sistema. Los registros del plano de datos, también denominados registros de seguridad, incluyen principalmente eventos de seguridad que se controlan dentro del plano de datos. Los registros de seguridad pueden estar en formato de texto o binario y pueden guardarse localmente (modo de evento) o enviarse a un servidor externo (modo de secuencia). El formato binario es necesario para el modo de transmisión y se recomienda para ahorrar espacio de registro en el modo de evento.
Si configura registros de seguridad por inquilino, los registros de seguridad se generan por inquilino.
Los registros de seguridad de un sistema de inquilinos se envían desde una interfaz de sistema de inquilinos. Puede configurar las instancias de enrutamiento asignadas y las interfaces que pertenecen a las tablas de enrutamiento dentro de un sistema de inquilinos.
Se debe definir un perfil de seguridad con el número de directivas máximas y reservadas al configurar el número de secuencia para un sistema de inquilinos. El administrador principal puede utilizar los perfiles de seguridad para especificar la asignación de recursos.
Si un sistema de inquilinos requiere más recursos de los que permite su cantidad reservada, puede usar recursos configurados para la cantidad máxima global si están disponibles y no están asignados a otros sistemas de inquilinos. La cuota máxima permitida para el número de secuencia especifica la parte de los recursos globales libres que puede usar el sistema inquilino. La cuota máxima permitida no garantiza que la cantidad especificada para el recurso en el perfil de seguridad esté disponible. Una cuota reservada garantiza que la cantidad de recursos especificada esté siempre disponible para el sistema de inquilinos. En la Tabla 1 se muestra la comparación de la capacidad del número de flujo de registro.
Plataforma |
Capacidad de número de secuencia de registro para sistema de inquilinos + sistema lógico |
Cuota de número de secuencia de registro reservado para el sistema de inquilinos |
Cuota máxima de número de secuencia permitida para el sistema de inquilinos |
Cuota máxima de número de transmisión permitida para Global |
SRX5400, SRX5600 y SRX5800 |
64 |
0 |
8 |
64 |
SRX4600 |
300 |
0 |
8 |
600 |
SRX4100 y 4200 |
200 |
0 |
8 |
400 |
SRX1500 |
50 |
0 |
8 |
100 |
Si un dispositivo está configurado para un sistema de inquilinos, los registros de seguridad generados dentro del contexto tienen el sufijo _LS en el nombre de registro, que es el mismo que el sistema lógico. El siguiente registro de seguridad muestra los atributos del registro de RT_FLOW_SESSION_CLOSE_LS para un dispositivo configurado para un sistema de inquilinos:
<14>1 2018-03-12T22:50:09.596Z user RT_FLOW_SESSION_CLOSE_LS [junos@2636.1.1.1.2.137 logical-system-name="TSYS1" reason="Some reason" source-address="192.0.2.1" source-port="7000" destination-address="198.51.100.2" destination-port="32768" connection-tag="0" service-name="Fake service" nat-source-address="192.0.2.1" nat-source-port="7000" nat-destination-address="198.51.10 0.2" nat-destination-port="32768" nat-connection-tag="0" src-nat-rule-type="Fake src nat rule" src-nat-rule-name="Fake src nat rule" dst-nat-rule-type="Fake dst nat rule" dst-nat-rule-name="Fake dst nat rule" protocol-id="17" policy-name="Fake policy" source-zone-name="Fake src zone" destination-zone-name="Fake dst zone" session-id-32="1" packets-from-client="4294967295" bytes-from-client="4294967293" packets-from-server="4294967294" bytes-from-server="4294967292" elapsed-time="4294967291" application="Fake application" nested-application="Fake nested application" username="Fake username" roles="Fake UAC roles" packet-incoming-interface="Fake packet incoming if" encrypted="Fake info telling if the traffic is encrypted" application-category="Fake application category" application-sub-category="Fake application subcategory" application-risk="-1"]
En el ejemplo anterior, el registro de seguridad incluye TSYS1 como primer atributo.
A partir de Junos OS versión 19.1R1, se admiten configuraciones de informes integradas para cada sistema de inquilinos y los registros se gestionan en función de estas configuraciones. Configure los set security log report
comandos y set security log mode stream
para habilitar los informes en caja. La característica de informes en caja con modo de transmisión también se admite en los sistemas de inquilinos.
Puede ver los mensajes de Syslog en el Explorador de registros del sistema.
Ejemplo: configurar el registro de seguridad para sistemas de inquilinos
En este ejemplo se muestra cómo configurar registros de seguridad para un sistema de inquilinos.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un firewall de la serie SRX.
Junos OS versión 18.3R1 y versiones posteriores.
Antes de empezar:
Comprender cómo configurar un sistema de inquilinos con perfiles de seguridad para el sistema lógico principal y dos sistemas de inquilinos. Ver Figura 1
Visión general
Los firewalls de la serie SRX tienen dos tipos de registros: registros del sistema y registros de seguridad. Los registros del sistema registran eventos del plano de control, por ejemplo, el inicio de sesión del administrador en el dispositivo. Los registros de seguridad, también conocidos como registros de tráfico, registran eventos del plano de datos relacionados con el manejo específico del tráfico, por ejemplo, cuando una política de seguridad deniega cierto tráfico debido a alguna infracción de la política.
Los dos tipos de registros se pueden recopilar y guardar en caja o fuera de la caja. En el procedimiento siguiente se explica cómo configurar registros de seguridad en formato binario para el registro fuera de caja (modo de secuencia).
Para el registro fuera de la caja, los registros de seguridad para un sistema de inquilinos se envían desde una interfaz de sistema de inquilinos. Si la interfaz del sistema del inquilino ya está configurada en una instancia de enrutamiento, configure routing-instance routing-instance-name
en edit tenants tenant-name security log stream log-stream-name host
jerarquía. Si la interfaz no está configurada en la instancia de enrutamiento, no se debe configurar ninguna instancia de enrutamiento en la set tenants tenant-name security log stream log-stream-name host
jerarquía.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set tenants TSYS1 security log mode stream set tenants TSYS1 security log stream TN1_s format binary host 1.3.54.22 set tenants TSYS1 security log source-address 2.3.45.66 set tenants TSYS1 security log transport protocol tls set tenants TSYS1 routing-instances TN1_ri instance-type virtual-router set tenants TSYS1 routing-instances TN1_ri interface ge-0/0/3 set tenants TSYS1 security log stream TN1_s host routing-instance TN1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 tenant TSYS1
Procedimiento
Procedimiento paso a paso
El siguiente procedimiento especifica cómo configurar registros de seguridad para un sistema de inquilinos.
Especifique el modo de registro y el formato del archivo de registro. Para el registro fuera de la caja, en modo de transmisión.
[edit ] user@host# set tenants TSYS1 security log mode stream user@host# set tenants TSYS1 security log stream TN1_s format binary host 1.3.54.22
-
Para el registro de seguridad externo, especifique la dirección de origen, que identifica el firewall de la serie SRX que generó los mensajes de registro. La dirección de origen es obligatoria.
[edit ] user@host# set tenants TSYS1 security log source-address 2.3.45.66
Especifique la instancia de enrutamiento y defina la interfaz.
[edit ] user@host# set tenants TSYS1 routing-instances TN1_ri instance-type virtual-router user@host# set tenants TSYS1 routing-instances TN1_ri interface ge-0/0/3
Defina la instancia de enrutamiento para un sistema de inquilinos. Si la interfaz ya está configurada en la instancia de enrutamiento, configure
routing-instance routing-instance-name
enedit tenants tenant-name security log stream log-stream-name host
jerarquía. Si la interfaz no está configurada en la instancia de enrutamiento, no se debe configurar ninguna instancia de enrutamiento en laset tenants tenant-name security log stream log-stream-name host
jerarquía.[edit ] user@host# set tenants TSYS1 security log stream TN1_s host routing-instance TN1_ri
Especifique el protocolo de transporte del registro de seguridad para el dispositivo.
[edit ] user@host# set tenants TSYS1 security log transport protocol tls
Procedimiento
Procedimiento paso a paso
El siguiente procedimiento especifica cómo configurar un perfil de seguridad para un sistema de inquilinos.
Configure un perfil de seguridad y especifique el número de directivas máximas y reservadas.
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
Asigne el perfil de seguridad configurado a TSYS1.
[edit ] user@host# set system security-profile p1 tenant TSYS1
Resultados
Desde el modo de configuración, escriba los comandos , y show tenants TSYS1 routing-instances
para confirmar la show system security-profile
configuración. show tenants TSYS1 security log
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show tenants TSYS1 security log mode stream; source-address 2.3.45.66; transport { protocol tls; } stream TN1_s { format binary; host { 1.3.54.22; routing-instance TN1_ri; } }
[edit] user@host# show tenants TSYS1 routing-instances TN1_ri { instance-type virtual-router; interface ge-0/0/3.0; }
[edit] user@host# show system security-profile p1 { security-log-stream-number { maximum 2; reserved 1; } tenant TSYS1; }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Comprobación de resultados detallados para el registro de seguridad
Propósito
Compruebe que el resultado muestra la información de recursos para todos los sistemas inquilinos.
Acción
Desde el modo operativo, ingrese el show system security-profile security-log-stream-number tenant all
comando.
logical-system tenant name security profile name usage reserved maximum root-logical-system Default-Profile 0 0 8 TSYS1 p1 1 1 2
Significado
El resultado muestra la información de recursos para los sistemas de inquilinos.
Descripción de los informes internos para sistemas de inquilinos
A partir de Junos OS versión 19.1R1, las configuraciones de informes integrados son compatibles con los sistemas de inquilinos y los registros se manejan en función de estas configuraciones.
El modo de transmisión es un conjunto de servicios de registro que incluye:
Registro externo (serie SRX)
Registro e informes en el cuadro (series SRX1500, SRX4100, SRX4200 y SRX4600)
La configuración del sistema por inquilino se admite para el registro externo y los registros se manejan en función de estas configuraciones. Los registros del sistema de inquilinos para el registro externo solo se pueden generar desde la interfaz del sistema de inquilinos.
El mecanismo de informes en caja es una mejora de la funcionalidad de registro existente. La funcionalidad de registro existente se modifica para recopilar registros de tráfico del sistema, analizar los registros y generar informes de dichos registros. La función de informes en caja está destinada a proporcionar una interfaz simple y fácil de usar para ver los registros de seguridad.
Configure los set security log report
comandos y set security log mode stream
para habilitar la característica de informes integrados en el dispositivo para los sistemas de inquilinos. La característica de informes en caja con modo de transmisión también se admite en los sistemas de inquilinos.
La función de informes en caja admite:
Generación de informes basados en los requerimientos. Por ejemplo: recuento o volumen de la sesión, tipos de registros para actividades como IDP, seguridad de contenido y VPN IPsec.
Capturar eventos en tiempo real dentro de un rango de tiempo especificado.
Captura de todas las actividades de red en un formato lógico, organizado y fácil de entender basado en varias condiciones especificadas por CLI.
Configuración de informes internos para sistemas de inquilinos
Los firewalls de la serie SRX admiten diferentes tipos de informes para los usuarios del sistema de inquilinos.
Los informes se almacenan localmente en el firewall de la serie SRX y no se requieren dispositivos o herramientas independientes para el almacenamiento de registros e informes. Los informes en caja proporcionan una interfaz simple y fácil de usar para ver los registros de seguridad.
Antes de empezar:
Comprender cómo configurar el registro de seguridad para sistemas de inquilinos. Consulte Ejemplo: Configurar registro de seguridad para sistemas de inquilinos.
Para configurar los informes en caja para el sistema de inquilinos:
De forma predeterminada, la report
opción está desactivada.
Descripción del registro interno y externo para el sistema de inquilinos
Los dispositivos de la serie SRX tienen dos tipos de registros: registros del sistema y registros de seguridad. Los registros del sistema registran eventos del plano de control, por ejemplo, el inicio de sesión del administrador en el dispositivo. Los registros de seguridad, también conocidos como registros de tráfico, registran eventos del plano de datos relacionados con el manejo específico del tráfico, por ejemplo, cuando una política de seguridad deniega cierto tráfico debido a alguna infracción de la política.
A partir de Junos OS versión 19.2R1, se admiten configuraciones de registro integradas para cada sistema de inquilino y los registros se manejan en función de estas configuraciones.
Los dos tipos de registro se pueden recopilar y guardar dentro o fuera de la caja.
El modo de transmisión es un conjunto de servicios de registro que incluye:
Registro externo (serie SRX)
Registro en el cuadro (series SRX1500, SRX4100, SRX4200 y SRX4600)
La configuración del sistema por inquilino se admite para el registro externo y los registros se manejan en función de estas configuraciones. Los registros del sistema de inquilinos para el registro externo solo se pueden generar desde la interfaz del sistema de inquilinos.
Configure los archivos de seguridad en formato binary/syslog/sd-syslog/welf para el modo de secuencia y el formato binario para el modo de eventos mediante la instrucción log en el nivel de [set tenants TSYS1 security]
jerarquía.
No puede configurar la ruta del archivo de registro de seguridad para el sistema de inquilinos.
Para el registro en caja con modo de secuencia con registro de formato binario, el set security log stream stream-name file
comando se configura por sistema inquilino. El nombre de archivo debe terminar con .bin. Por ejemplo, TSYS1_f1.bin en el sistema de inquilinos TSYS1. Se crea un nuevo TSYS1_f1.bin de archivo en el directorio /var/traffic-log/tenant-systems/TSYS1 .
Para el registro en caja con modo de transmisión con registros de otro formato, el set security log stream stream-name file
comando se configura por sistema inquilino. Por ejemplo, el sistema de inquilinos TSYS1. Se crea un nuevo archivo con el nombre configurado en el directorio /var/traffic-log/tenant-systems/TSYS1 .
Configuración de archivos de registro de seguridad binaria en caja para el sistema de inquilinos
Los dispositivos de la serie SRX admiten dos tipos de registros: registros del sistema y registros de seguridad.
Los dos tipos de registro se recopilan y guardan dentro o fuera de la caja. En el siguiente procedimiento se explica cómo configurar registros de seguridad en formato binario para el registro en caja (modo de evento y modo de secuencia) para el sistema de inquilinos.
El siguiente procedimiento especifica el formato binario para el registro de seguridad en modo de eventos y define las características del nombre de archivo, la ruta de acceso y el archivo de registro para el sistema de inquilinos.
Especifique el modo de registro y el formato del archivo de registro. Para el registro en modo de evento en caja:
[edit] user@host# set tenants TSYS1 security log mode event user@host# set tenants TSYS1 security log format binary
(Opcional) Especifique un nombre de archivo de registro.
[edit] user@host# set tenants TSYS1 security log file name security-binary-log
Nota:El nombre de archivo de registro de seguridad no es obligatorio. Si el nombre de archivo del registro de seguridad no está configurado, de forma predeterminada el bin_messages del archivo se crea en el directorio /var/log.
Confirme la configuración introduciendo el
show tenants TSYS1
comando.[edit] user@host# show tenants TSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
El siguiente procedimiento especifica el formato binario para el registro de seguridad en modo de secuencia y define las características del archivo de registro y del archivo de registro para el sistema de inquilinos.
Especifique el modo de registro y el formato del archivo de registro. Para el registro en modo de transmisión en caja:
[edit] user@host# set tenants TSYS1 security log mode stream user@host# set tenants TSYS1 security log stream s1 format binary
(Opcional) Especifique un nombre de archivo de registro.
[edit] user@host# set tenants TSYS1 security log stream s1 file name f1.bin
Confirme la configuración introduciendo el
show tenants TSYS1
comando.[edit] user@host# show tenants TSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
Configuración de archivos de registro de seguridad binarios listos para usar para el sistema de inquilinos
Los dispositivos de la serie SRX admiten dos tipos de registros: registros del sistema y registros de seguridad.
Los dos tipos de registro se pueden recopilar y guardar dentro o fuera de la caja. En el procedimiento siguiente se explica cómo configurar registros de seguridad en formato binario para el registro fuera de caja (modo de secuencia).
El siguiente procedimiento especifica el formato binario para el registro de seguridad en modo de secuencia y define las características del modo de registro, la dirección de origen y el nombre de host para el sistema de inquilinos.
Especifique el modo de registro y el formato del archivo de registro. Para el registro en modo de transmisión fuera de la caja:
[edit] user@host# set tenants TSYS1 security log mode stream s1 format binary
Especifique la dirección de origen para el registro de seguridad externo.
[edit] user@host# set tenants TSYS1 security log source-address 100.0.0.1
Especifique el nombre de host.
[edit] user@host# set tenants TSYS1 security log stream s1 host 100.0.0.2
Confirme la configuración introduciendo el
show tenants TSYS1
comando.[edit] user@host# show tenants TSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }