EN ESTA PÁGINA
Descripción del registro de seguridad para sistemas de inquilinos
Ejemplo: Configurar registro de seguridad para sistemas de inquilinos
Descripción de los informes en caja para los sistemas de inquilinos
Configuración de informes integrados para sistemas de inquilinos
Descripción del registro dentro y fuera de la caja para el sistema de inquilinos
Configuración de archivos de registro de seguridad binarios integrados para el sistema de inquilinos
Configuración de archivos de registro de seguridad binarios externos para el sistema de inquilinos
Registro de seguridad para sistemas de inquilinos
Los registros de seguridad para los sistemas de inquilinos incluyen eventos de seguridad para controlar los planos de datos del sistema. Los registros de seguridad se envían en formato binario a un servidor externo desde una interfaz del sistema de inquilinos. Los registros de seguridad se generan por sistema inquilino.
Descripción del registro de seguridad para sistemas de inquilinos
Junos OS genera mensajes de registro independientes para registrar los eventos que ocurren en los planos de datos y de control del sistema. Los registros del plano de datos, también denominados registros de seguridad, incluyen principalmente eventos de seguridad que se manejan dentro del plano de datos. Los registros de seguridad pueden estar en formato de texto o binario y pueden guardarse localmente (modo evento) o enviarse a un servidor externo (modo de transmisión). El formato binario es necesario para el modo de transmisión y se recomienda para conservar el espacio de registro en el modo de evento.
Si configura registros de seguridad por inquilino, los registros de seguridad se generan por inquilino.
Los registros de seguridad de un sistema de inquilinos se envían desde una interfaz de sistema de inquilinos. Puede configurar las instancias de enrutamiento asignadas y las interfaces que pertenecen a las tablas de enrutamiento dentro de un sistema de inquilinos.
Se debe definir un perfil de seguridad con el número de políticas máximas y reservadas al configurar el número de flujo para un sistema de inquilinos. El administrador principal puede usar los perfiles de seguridad para especificar la asignación de recursos.
Si un sistema de inquilinos requiere más de un recurso de lo que permite su cantidad reservada, puede utilizar recursos configurados para la cantidad máxima global si están disponibles y no asignados a otros sistemas de inquilinos. La cuota máxima permitida para el número de flujo especifica la parte de los recursos globales gratuitos que puede usar el sistema arrendatario. La cuota máxima permitida no garantiza que la cantidad especificada para el recurso en el perfil de seguridad esté disponible. Una cuota reservada garantiza que la cantidad de recursos especificada esté siempre disponible para el sistema de inquilinos. En el Cuadro 1 se muestra la comparación de la capacidad del número de flujo de registro.
Plataforma |
Registro de la capacidad del número de flujo para el sistema de inquilinos + el sistema lógico |
Cuota de número de flujo de registro reservado para el sistema de inquilinos |
Cuota máxima permitida de número de flujo para el sistema de inquilinos |
Cuota máxima permitida de número de flujo global |
SRX5400, SRX5600 y SRX5800 |
64 |
0 |
8 |
64 |
SRX4600 |
300 |
0 |
8 |
600 |
SRX4100 y 4200 |
200 |
0 |
8 |
400 |
SRX1500 |
50 |
0 |
8 |
100 |
Si un dispositivo está configurado para un sistema de inquilinos, los registros de seguridad generados en el contexto tienen el sufijo _LS en el nombre del registro, que es el mismo que el del sistema lógico. En el siguiente registro de seguridad se muestran los atributos del registro de RT_FLOW_SESSION_CLOSE_LS de un dispositivo configurado para un sistema de inquilinos:
<14>1 2018-03-12T22:50:09.596Z user RT_FLOW_SESSION_CLOSE_LS [junos@2636.1.1.1.2.137 logical-system-name="TSYS1" reason="Some reason" source-address="192.0.2.1" source-port="7000" destination-address="198.51.100.2" destination-port="32768" connection-tag="0" service-name="Fake service" nat-source-address="192.0.2.1" nat-source-port="7000" nat-destination-address="198.51.10 0.2" nat-destination-port="32768" nat-connection-tag="0" src-nat-rule-type="Fake src nat rule" src-nat-rule-name="Fake src nat rule" dst-nat-rule-type="Fake dst nat rule" dst-nat-rule-name="Fake dst nat rule" protocol-id="17" policy-name="Fake policy" source-zone-name="Fake src zone" destination-zone-name="Fake dst zone" session-id-32="1" packets-from-client="4294967295" bytes-from-client="4294967293" packets-from-server="4294967294" bytes-from-server="4294967292" elapsed-time="4294967291" application="Fake application" nested-application="Fake nested application" username="Fake username" roles="Fake UAC roles" packet-incoming-interface="Fake packet incoming if" encrypted="Fake info telling if the traffic is encrypted" application-category="Fake application category" application-sub-category="Fake application subcategory" application-risk="-1"]
En el ejemplo anterior, el registro de seguridad incluye TSYS1 como primer atributo.
A partir de Junos OS versión 19.1R1, se admiten configuraciones de informes integrados para cada sistema de inquilinos y los registros se manejan en función de estas configuraciones. Configure los set security log report comandos y set security log mode stream para habilitar los informes en caja. La función de informes en caja con modo de transmisión también se admite en los sistemas de inquilinos.
Puede ver los mensajes de Syslog en el Explorador de registros del sistema.
Ejemplo: Configurar registro de seguridad para sistemas de inquilinos
En este ejemplo, se muestra cómo configurar los registros de seguridad para un sistema de inquilinos.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un firewall de la serie SRX.
Junos OS versión 18.3R1 y versiones posteriores.
Antes de empezar:
Comprender cómo configurar un sistema de inquilinos con perfiles de seguridad para el sistema lógico principal y dos sistemas de inquilinos. Consulte Ejemplo: Creación de sistemas de inquilinos, administradores de sistemas de inquilinos y un conmutador VPLS de interconexión.
Descripción general
Los firewalls de la serie SRX tienen dos tipos de registro: registros del sistema y registros de seguridad. Los registros del sistema registran eventos del plano de control, por ejemplo, el inicio de sesión del administrador en el dispositivo. Los registros de seguridad, también conocidos como registros de tráfico, registran eventos de plano de datos relacionados con un manejo de tráfico específico, por ejemplo, cuando una política de seguridad niega cierto tráfico debido a alguna infracción de la política.
Los dos tipos de registros se pueden recopilar y guardar dentro o fuera de la caja. En el siguiente procedimiento, se explica cómo configurar los registros de seguridad en formato binario para el registro externo (modo de transmisión).
En el caso del registro externo, los registros de seguridad de un sistema de inquilinos se envían desde una interfaz de sistema de inquilinos. Si la interfaz del sistema de inquilinos ya está configurada en una instancia de enrutamiento, configúrela routing-instance routing-instance-name en la edit tenants tenant-name security log stream log-stream-name host jerarquía. Si la interfaz no está configurada en la instancia de enrutamiento, no se debe configurar ninguna instancia de enrutamiento en la set tenants tenant-name security log stream log-stream-name host jerarquía.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set tenants TSYS1 security log mode stream set tenants TSYS1 security log stream TN1_s format binary host 1.3.54.22 set tenants TSYS1 security log source-address 2.3.45.66 set tenants TSYS1 security log transport protocol tls set tenants TSYS1 routing-instances TN1_ri instance-type virtual-router set tenants TSYS1 routing-instances TN1_ri interface ge-0/0/3 set tenants TSYS1 security log stream TN1_s host routing-instance TN1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 tenant TSYS1
Procedimiento
Procedimiento paso a paso
El siguiente procedimiento especifica cómo configurar los registros de seguridad para un sistema de inquilinos.
Especifique el modo de registro y el formato del archivo de registro. Para el registro fuera de la caja y en modo de transmisión.
[edit ] user@host# set tenants TSYS1 security log mode stream user@host# set tenants TSYS1 security log stream TN1_s format binary host 1.3.54.22
-
Para el registro de seguridad externo, especifique la dirección de origen, la cual identifica el firewall de la serie SRX que generó los mensajes de registro. La dirección de origen es obligatoria.
[edit ] user@host# set tenants TSYS1 security log source-address 2.3.45.66
Especifique la instancia de enrutamiento y defina la interfaz.
[edit ] user@host# set tenants TSYS1 routing-instances TN1_ri instance-type virtual-router user@host# set tenants TSYS1 routing-instances TN1_ri interface ge-0/0/3
Defina la instancia de enrutamiento para un sistema inquilino. Si la interfaz ya está configurada en la instancia de enrutamiento, configúrela
routing-instance routing-instance-nameen laedit tenants tenant-name security log stream log-stream-name hostjerarquía. Si la interfaz no está configurada en la instancia de enrutamiento, no se debe configurar ninguna instancia de enrutamiento en laset tenants tenant-name security log stream log-stream-name hostjerarquía.[edit ] user@host# set tenants TSYS1 security log stream TN1_s host routing-instance TN1_ri
Especifique el protocolo de transporte de registros de seguridad para el dispositivo.
[edit ] user@host# set tenants TSYS1 security log transport protocol tls
Procedimiento
Procedimiento paso a paso
El siguiente procedimiento especifica cómo configurar un perfil de seguridad para un sistema de inquilinos.
Configure un perfil de seguridad y especifique el número de políticas máximas y reservadas.
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
Asigne el perfil de seguridad configurado a TSYS1.
[edit ] user@host# set system security-profile p1 tenant TSYS1
Resultados
Desde el modo de configuración, ingrese los comandos , y show tenants TSYS1 routing-instances para confirmar la show system security-profileshow tenants TSYS1 security logconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host# show tenants TSYS1 security log
mode stream;
source-address 2.3.45.66;
transport {
protocol tls;
}
stream TN1_s {
format binary;
host {
1.3.54.22;
routing-instance TN1_ri;
}
}
[edit]
user@host# show tenants TSYS1 routing-instances
TN1_ri {
instance-type virtual-router;
interface ge-0/0/3.0;
}
[edit]
user@host# show system security-profile
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
tenant TSYS1;
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Verificar salida detallada para el registro de seguridad
Propósito
Compruebe que el resultado muestra la información de recursos de todos los sistemas arrendatarios.
Acción
Desde el modo operativo, introduzca el show system security-profile security-log-stream-number tenant all comando.
logical-system tenant name security profile name usage reserved maximum root-logical-system Default-Profile 0 0 8 TSYS1 p1 1 1 2
Significado
El resultado muestra la información de recursos para los sistemas de inquilinos.
Descripción de los informes en caja para los sistemas de inquilinos
A partir de la versión 19.1R1 de Junos OS, se admiten configuraciones de informes integrados para los sistemas de inquilinos y los registros se manejan en función de estas configuraciones.
El modo de transmisión es un conjunto de servicios de registro que incluye:
Registro externo (serie SRX)
Registros e informes en caja (series SRX1500, SRX4100, SRX4200 y SRX4600)
La configuración del sistema por inquilino es compatible con el registro externo y los registros se manejan en función de estas configuraciones. Los registros del sistema de inquilinos para el registro externo solo se pueden generar desde la interfaz del sistema de inquilinos.
El mecanismo de informes en caja es una mejora de la funcionalidad de registro existente. La funcionalidad de registro existente se modifica para recopilar registros de tráfico del sistema, analizar los registros y generar informes de estos registros. La función de informes en caja está diseñada para proporcionar una interfaz simple y fácil de usar para ver los registros de seguridad.
Configure los set security log report comandos y set security log mode stream para habilitar la característica de informes integrados en el dispositivo para los sistemas de inquilinos. La función de informes en caja con modo de transmisión también se admite en los sistemas de inquilinos.
La función de informes integrados admite lo siguiente:
Generar informes basados en los requerimientos. Por ejemplo: recuento o volumen de la sesión, tipos de registros para actividades como DPI, Seguridad de contenido y VPN IPsec.
Captura de eventos en tiempo real dentro de un rango de tiempo específico.
Captura todas las actividades de red en un formato lógico, organizado y fácil de entender basado en varias condiciones especificadas por la CLI.
Configuración de informes integrados para sistemas de inquilinos
Los firewalls de la serie SRX admiten diferentes tipos de informes para los usuarios del sistema de inquilinos.
Los informes se almacenan localmente en el firewall de la serie SRX y no se requieren dispositivos o herramientas independientes para el almacenamiento de registros e informes. Los informes en caja proporcionan una interfaz simple y fácil de usar para ver los registros de seguridad.
Antes de empezar:
Comprender cómo configurar el registro de seguridad para los sistemas de inquilinos. Consulte Ejemplo: Configurar registro de seguridad para sistemas de inquilinos.
Para configurar los informes en caja para el sistema de inquilinos:
De forma predeterminada, la report opción está deshabilitada.
Descripción del registro dentro y fuera de la caja para el sistema de inquilinos
Los dispositivos de la serie SRX tienen dos tipos de registro: registros del sistema y registros de seguridad. Los registros del sistema registran eventos del plano de control, por ejemplo, el inicio de sesión del administrador en el dispositivo. Los registros de seguridad, también conocidos como registros de tráfico, registran eventos de plano de datos relacionados con un manejo de tráfico específico, por ejemplo, cuando una política de seguridad niega cierto tráfico debido a alguna infracción de la política.
A partir de la versión 19.2R1 de Junos OS, se admiten configuraciones de registro en caja para cada sistema de inquilinos y los registros se manejan en función de estas configuraciones.
Los dos tipos de registro se pueden recopilar y guardar dentro o fuera de la caja.
El modo de transmisión es un conjunto de servicios de registro que incluye:
Registro externo (serie SRX)
Registro en caja (series SRX1500, SRX4100, SRX4200 y SRX4600)
La configuración del sistema por inquilino es compatible con el registro externo y los registros se manejan en función de estas configuraciones. Los registros del sistema de inquilinos para el registro externo solo se pueden generar desde la interfaz del sistema de inquilinos.
Configure los archivos de seguridad en formato binary/syslog/sd-syslog/welf para el modo de secuencia y en formato binario para el modo de evento mediante la instrucción log en el [set tenants TSYS1 security] nivel de jerarquía.
No puede configurar la ruta del archivo de registro de seguridad para el sistema de inquilinos.
Para el registro en caja con modo de transmisión con registro de formato binario, el set security log stream stream-name file comando se configura por sistema inquilino. El nombre del archivo debe terminar con .bin. Por ejemplo , TSYS1_f1.bin en el sistema de inquilinos TSYS1. Se crea un nuevo archivo TSYS1_f1.bin en el directorio /var/traffic-log/tenant-systems/TSYS1 .
Para el registro en caja con modo de transmisión con otros registros de formato, el set security log stream stream-name file comando se configura por sistema inquilino. Por ejemplo, el sistema de inquilinos TSYS1. Se crea un nuevo archivo con el nombre configurado en el directorio /var/traffic-log/tenant-systems/TSYS1 .
Configuración de archivos de registro de seguridad binarios integrados para el sistema de inquilinos
Los dispositivos de la serie SRX admiten dos tipos de registro: registros del sistema y registros de seguridad.
Los dos tipos de registro se recopilan y guardan en la caja o fuera de la caja. En el siguiente procedimiento, se explica cómo configurar los registros de seguridad en formato binario para el registro en caja (modo de evento y modo de transmisión) para el sistema de inquilinos.
El siguiente procedimiento especifica el formato binario para el registro de seguridad en modo de evento y define el nombre de archivo de registro, la ruta y las características del archivo de registro para el sistema de inquilinos.
Especifique el modo de registro y el formato del archivo de registro. Para el registro en modo evento en caja:
[edit] user@host# set tenants TSYS1 security log mode event user@host# set tenants TSYS1 security log format binary
(Opcional) Especifique un nombre de archivo de registro.
[edit] user@host# set tenants TSYS1 security log file name security-binary-log
Nota:El filename del registro de seguridad no es obligatorio. Si el nombre del archivo del registro de seguridad no está configurado, de forma predeterminada el archivo bin_messages se crea en el directorio /var/log.
Ingrese el comando para confirmar la
show tenants TSYS1configuración.[edit] user@host# show tenants TSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
En el procedimiento siguiente se especifica el formato binario para el registro de seguridad en modo de secuencia y se definen el nombre de archivo de registro y las características del archivo de registro para el sistema de inquilinos.
Especifique el modo de registro y el formato del archivo de registro. Para el registro en modo de transmisión en caja:
[edit] user@host# set tenants TSYS1 security log mode stream user@host# set tenants TSYS1 security log stream s1 format binary
(Opcional) Especifique un nombre de archivo de registro.
[edit] user@host# set tenants TSYS1 security log stream s1 file name f1.bin
Ingrese el comando para confirmar la
show tenants TSYS1configuración.[edit] user@host# show tenants TSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
Configuración de archivos de registro de seguridad binarios externos para el sistema de inquilinos
Los dispositivos de la serie SRX admiten dos tipos de registro: registros del sistema y registros de seguridad.
Los dos tipos de registro se pueden recopilar y guardar dentro o fuera de la caja. En el siguiente procedimiento, se explica cómo configurar los registros de seguridad en formato binario para el registro externo (modo de transmisión).
El siguiente procedimiento especifica el formato binario para el registro de seguridad en modo de secuencia y define el modo de registro, la dirección de origen y las características del nombre de host para el sistema de inquilinos.
Especifique el modo de registro y el formato del archivo de registro. Para el registro fuera de la caja y en modo de transmisión:
[edit] user@host# set tenants TSYS1 security log mode stream s1 format binary
Especifique la dirección de origen para el registro de seguridad externo.
[edit] user@host# set tenants TSYS1 security log source-address 100.0.0.1
Especifique el nombre de host.
[edit] user@host# set tenants TSYS1 security log stream s1 host 100.0.0.2
Ingrese el comando para confirmar la
show tenants TSYS1configuración.[edit] user@host# show tenants TSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.