Monitoreo y solución de problemas de políticas de seguridad
El monitoreo proporciona una presentación en tiempo real de datos significativos que representan el estado de las actividades de acceso en una red. Esta información le permite interpretar y afectar fácilmente las condiciones operativas. La resolución de problemas proporciona orientación contextual para resolver los problemas de acceso en las redes. A continuación, puede abordar las inquietudes de los usuarios y proporcionar una resolución de manera oportuna.
Descripción de las alarmas de seguridad
Las alarmas se activan cuando se caen paquetes debido a una infracción de la política. Una infracción de política se produce cuando un paquete coincide con una política de rechazo o denegación. Se genera una alarma de infracción de política cuando el sistema monitorea cualquiera de los siguientes eventos auditados:
Número de infracciones de políticas por parte de un identificador de red de origen en un período especificado
Número de infracciones de políticas a un identificador de red de destino en un período especificado
Número de infracciones de políticas a una aplicación dentro de un período especificado
Infracciones de reglas de política, regla o grupo de reglas dentro de un período especificado
Hay cuatro tipos de alarmas correspondientes a estos cuatro eventos. Las alarmas se basan en IP de origen, IP de destino, aplicación y política.
Cuando un paquete encuentra una política de rechazo o denegación, aumentan los contadores de infracciones de política para todos los tipos de alarma habilitados. Cuando cualquier contador alcanza el umbral especificado dentro de un período especificado, se genera una alarma. Después de un período especificado, el contador de infracciones de directiva se restablece y se reutiliza para iniciar otro ciclo de recuento.
Para ver la información de la alarma, ejecute el show security alarms comando. El recuento de infracciones y la alarma no persisten en los reinicios del sistema. Después de un reinicio, el recuento de infracciones se restablece a cero y la alarma se borra de la cola de alarmas.
Después de realizar las acciones adecuadas, puede borrar la alarma. La alarma permanece en la cola hasta que la borre (o hasta que reinicie el dispositivo). Para borrar la alarma, ejecute el clear security alarms comando. Después de borrar la alarma, una serie posterior de infracciones de la política de flujo puede hacer que se genere una nueva alarma.
Ver también
Ejemplo: Generación de una alarma de seguridad en respuesta a infracciones de políticas
En este ejemplo, se muestra cómo configurar el dispositivo para generar una alarma del sistema cuando se produce una infracción de la política. De forma predeterminada, no se activa ninguna alarma cuando se produce una infracción de política.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Descripción general
En este ejemplo, se configura una alarma para que se genere cuando:
El tamaño de la aplicación es de 10240 unidades.
La infracción de IP de origen supera los 1000 en 20 segundos.
Las infracciones de IP de destino superan las 1000 en 10 segundos.
La infracción de coincidencia de política supera los 100, con un tamaño de 100 unidades.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security alarms potential-violation policy application size 10240 set security alarms potential-violation policy source-ip threshold 1000 duration 20 set security alarms potential-violation policy destination-ip threshold 1000 duration 10 set security alarms potential-violation policy policy-match threshold 100 size 100
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar alarmas de infracción de política:
Active las alarmas de seguridad.
[edit] user@host# edit security alarms
Especifique que se debe activar una alarma cuando se produzca una infracción en la aplicación.
[edit security alarms potential-violation policy] user@host# set application size 10240
Especifique que se debe activar una alarma cuando se produzca una infracción de IP de origen.
[edit security alarms potential-violation policy] user@host# set source-ip threshold 1000 duration 20
Especifique que se debe activar una alarma cuando se produzca una infracción de IP de destino.
[edit security alarms potential-violation policy] user@host# set destination-ip threshold 1000 duration 10
Especifique que se debe activar una alarma cuando se produzca una infracción de coincidencia de política.
[edit security alarms potential-violation policy] user@host# set policy-match threshold 100 size 100
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security alarms configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
policy {
source-ip {
threshold 1000;
duration 20;
}
destination-ip {
threshold 1000;
duration 10;
}
application {
size 10240;
}
policy-match {
threshold 100;
size 100;
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente desde el modo operativo, escriba el show security alarms comando.
Políticas de seguridad coincidentes
El show security match-policies comando le permite solucionar problemas de tráfico utilizando los criterios de coincidencia: puerto de origen, puerto de destino, dirección IP de origen, dirección IP de destino y protocolo. Por ejemplo, si el tráfico no pasa porque no está configurada una política adecuada o el criterio de coincidencia es incorrecto, el show security match-policies comando le permite trabajar sin conexión e identificar dónde existe realmente el problema. Utiliza el motor de búsqueda para identificar el problema y, por lo tanto, le permite utilizar la política de coincidencia adecuada para el tráfico.
La result-count opción especifica cuántas políticas se mostrarán. La primera política habilitada de la lista es la política que se aplica a todo el tráfico coincidente. Otras políticas por debajo de esta están "ocultas" por la primera y nunca las encuentra el tráfico coincidente.
El show security match-policies comando solo se aplica a las políticas de seguridad; No se admiten políticas de DPI.
Ejemplo 1: mostrar políticas de coincidencia de seguridad
user@host> show security match-policies from-zone z1 to-zone z2 source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1 destination-port 21 protocol tcp
Policy: p1, action-type: permit, State: enabled, Index: 4
Sequence number: 1
From zone: z1, To zone: z2
Source addresses:
a2: 203.0.113.1/25
a3: 10.10.10.1/32
Destination addresses:
d2: 203.0.113.129/25
d3: 192.0.2.1/24
Application: junos-ftp
IP protocol: tcp, ALG: ftp, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [21-21]
Ejemplo 2: Uso de la opción de recuento de resultados
De forma predeterminada, la lista de salida contiene la política que se aplicará al tráfico con las características especificadas. Para enumerar más de una política que coincida con los criterios, use la result-count opción. La primera política de la lista es siempre la política que se aplicará al tráfico coincidente. Si el result-count valor es de 2 a 16, el resultado incluye todas las políticas que coincidan con los criterios hasta el especificado result-count. Todas las políticas enumeradas después de la primera se "remerodean" por la primera política y nunca se aplican al tráfico coincidente.
Utilice esta opción para probar el posicionamiento de una nueva política o para solucionar problemas de una política que no se aplica como se esperaba para un tráfico determinado.
En el ejemplo siguiente, los criterios de tráfico coinciden con dos políticas. La primera política de la lista, p1, contiene la acción aplicada al tráfico. La primera p15 política queda oculta por la primera política y, por lo tanto, su acción no se aplicará al tráfico coincidente.
user@host> show security match-policies from-zone zone-A to-zone zone-B source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1004 destination-port 80 protocol tcp result-count 5
Policy: p1, action-type: permit, State: enabled, Index: 4
Sequence number: 1
From zone: zone-A, To zone: zone-B
Source addresses:
sa1: 10.10.0.0/16
Destination addresses:
da5: 192.0.2.0/24
Application: any
IP protocol: 1, ALG: 0, Inactivity timeout: 0
Source port range: [1000-1030]
Destination port range: [80-80]
Policy: p15, action-type: deny, State: enabled, Index: 18
Sequence number: 15
From zone: zone-A, To zone: zone-B
Source addresses:
sa11: 10.10.10.1/32
Destination addresses:
da15: 192.0.2.5/24
Application: any
IP protocol: 1, ALG: 0, Inactivity timeout: 0
Source port range: [1000-1030]
Destination port range: [80-80]
Ver también
Recuentos de aciertos de la política de seguimiento
Utilice el show security policies hit-count comando para mostrar la tasa de utilidad de las políticas de seguridad según el número de visitas que reciben. Puede usar esta función para determinar qué políticas se están usando en el dispositivo y con qué frecuencia se usan. Dependiendo de las opciones de comando que elija, el número de visitas se puede enumerar sin un orden u ordenar en orden ascendente o descendente, y se pueden restringir al número de visitas que se encuentran por encima o por debajo de un recuento específico o dentro de un rango. Los datos se muestran para todas las zonas asociadas con las políticas o zonas con nombre.
Comprobación del uso de la memoria
Puede aislar los problemas de memoria comparando los valores de memoria antes y después de las configuraciones de directiva.
Ciertas prácticas pueden ayudar a monitorear el uso actual de memoria en el dispositivo y optimizar los parámetros para dimensionar mejor la configuración del sistema, especialmente durante la implementación de políticas.
Para comprobar el uso de la memoria:
Utilice el comando para comprobar el
show chassis routing-engineuso general de memoria del motor de enrutamiento (RE). El siguiente resultado de este comando muestra una utilización de memoria del 39 por ciento:user@host#
show chassis routing-engineRouting Engine status: Slot 0: Current state Master Election priority Master (default) DRAM 1024 MB Memory utilization 39 percent CPU utilization: User 0 percent Background 0 percent Kernel 2 percent Interrupt 0 percent Idle 97 percent Model RE-PPC-1200-A Start time 2011-07-09 19:19:49 PDT Uptime 37 days, 15 hours, 44 minutes, 13 seconds Last reboot reason 0x3:power cycle/failure watchdog Load averages: 1 minute 5 minute 15 minute 0.22 0.16 0.07Utilice el
show system processes extensivecomando para adquirir información sobre los procesos que se ejecutan en el motor de enrutamiento.Use la opción en el
show system processes extensivecomando para ver elfind nsduso directo en el demonio de seguridad de red (NSD) con su memoria total en uso como 10 megabytes y un uso de CPU del 0 por ciento.user@host# show system processes extensive | find nsd 1182 root 1 96 0 10976K 5676K select 2:08 0.00% nsd 1191 root 4 4 0 8724K 3764K select 1:57 0.00% slbd 1169 root 1 96 0 8096K 3520K select 1:51 0.00% jsrpd 1200 root 1 4 0 0K 16K peer_s 1:10 0.00% peer proxy 1144 root 1 96 0 9616K 3528K select 1:08 0.00% lacpd 1138 root 1 96 0 6488K 2932K select 1:02 0.00% ppmd 1130 root 1 96 0 7204K 2208K select 1:02 0.00% craftd 1163 root 1 96 0 16928K 5188K select 0:58 0.00% cosd 1196 root 1 4 0 0K 16K peer_s 0:54 0.00% peer proxy 47 root 1 -16 0 0K 16K sdflus 0:54 0.00% softdepflush 1151 root 1 96 0 15516K 9580K select 0:53 0.00% appidd 900 root 1 96 0 5984K 2876K select 0:41 0.00% eventd
Compruebe el tamaño del archivo de configuración. Guarde el archivo de configuración con un nombre único antes de salir de la CLI. A continuación, escriba el
ls -1 filenamecomando desde el símbolo del shell en el shell de nivel UNIX para comprobar el tamaño del archivo como se muestra en el siguiente resultado de ejemplo:user@host> start shell % ls -l config -rw-r--r-- 1 remote staff 12681 Feb 15 00:43 config
Ver también
Monitorear estadísticas de políticas de seguridad
Propósito
Monitoree y registre el tráfico que Junos OS permite o niega en función de políticas configuradas previamente.
Acción
Para supervisar el tráfico, habilite las opciones de recuento y registro.
Conde:Configurable en una póliza individual. Si el recuento está habilitado, se recopilan estadísticas de las sesiones que entran en el dispositivo para una política determinada y del número de paquetes y bytes que pasan a través del dispositivo en ambas direcciones para una política determinada. Para los recuentos (solo para paquetes y bytes), puede especificar que se generen alarmas siempre que el tráfico supere los umbrales especificados. Consulte count (políticas de seguridad).
Registro—La capacidad de registro se puede habilitar con políticas de seguridad durante la etapa de inicialización de la sesión (session-init) o de cierre de la sesión (session-close). Consulte el registro (Políticas de seguridad).
Para ver los registros de las conexiones denegadas, habilite log-on session-init.
Para registrar sesiones después de su finalización/desmontaje, habilite el inicio de sesión en el cierre de sesión.
El registro de la sesión se activa en tiempo real en el código de flujo, lo que afecta al rendimiento del usuario. Si tanto session-close como session-init están habilitados, el rendimiento se degrada aún más en comparación con la habilitación de session-init solamente.
Para obtener más información sobre la información recopilada para los registros de sesión, consulte Información proporcionada en las entradas del registro de sesión para puertas de enlace de servicios de la serie SRX.
Verificar políticas de sombra
- Verificación de todas las políticas de sombra
- La verificación de una política refleja una o más políticas
- Verificación de que una política está duplicada por una o más políticas
Verificación de todas las políticas de sombra
Propósito
Compruebe todas las políticas que hacen sombra a una o más políticas.
Acción
Desde el modo operativo, ingrese los siguientes comandos:
En el caso de los sistemas lógicos, escriba el
show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-namecomando.En el caso de las políticas globales, escriba el
show security shadow-policies logical-system lsys-name globalcomando.
root@host> show security shadow-policies from-zone zone-a to-zone zone-b
Policies Shadowed policies
P1 P3
P1 P4
P2 P5
Significado
El resultado muestra la lista de todas las políticas que siguen a otras políticas. En este ejemplo, la política P1 refleja las políticas P3 y P4 y la política P2 refleja la política P5.
La verificación de una política refleja una o más políticas
Propósito
Verifique si una política determinada sigue a una o más políticas posicionadas después de ella.
Acción
Desde el modo operativo, ingrese los siguientes comandos:
En el caso de los sistemas lógicos, escriba el
show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-namecomando.En el caso de las políticas globales, escriba el
show security shadow-policies logical-system lsys-name global policy policy-namecomando.
root@host> show security shadow-policies from-zone zone-a to-zone zone-b policy P1
Policies Shadowed policies
P1 P3
P1 P4
Significado
El resultado muestra todas las políticas que están asomadas por la política dada. En este ejemplo, la política P1 refleja las políticas P3 y P4.
Verificación de que una política está duplicada por una o más políticas
Propósito
Verifique si una política determinada está seguida por una o más posiciones anteriores.
Acción
Desde el modo operativo, ingrese los siguientes comandos:
En el caso de los sistemas lógicos, escriba el
show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-name reversecomando.En el caso de las políticas globales, escriba el
show security shadow-policies logical-system lsys-name global policy policy-name reversecomando.
root@host> show security shadow-policies from-zone zone-a to-zone zone-b policy P4 reverse
Policies Shadowed policies
P1 P4
Significado
El resultado muestra la política dada seguida por una o más políticas. En este ejemplo, la política P4 se refleja con la política P1.
Solucionar problemas de las políticas de seguridad
- Sincronice políticas entre el motor de enrutamiento y el motor de reenvío de paquetes
- Comprobar un error de confirmación de política de seguridad
- Verificar una confirmación de política de seguridad
- Búsqueda de políticas de depuración
Sincronice políticas entre el motor de enrutamiento y el motor de reenvío de paquetes
Problema
Descripción
Las políticas de seguridad se almacenan en el motor de enrutamiento y en el motor de reenvío de paquetes. Las políticas de seguridad se insertan desde el motor de enrutamiento al motor de reenvío de paquetes cuando se confirman las configuraciones. Si las políticas de seguridad del motor de enrutamiento no están sincronizadas con el motor de reenvío de paquetes, se producirá un error en la confirmación de una configuración. Los archivos de volcado de memoria se pueden generar si la confirmación se intenta repetidamente. La desincronización puede deberse a:
Un mensaje de política del motor de enrutamiento al motor de reenvío de paquetes se pierde en tránsito.
Un error con el motor de enrutamiento, como un UID de política reutilizado.
Medio ambiente
Las políticas del motor de enrutamiento y del motor de reenvío de paquetes deben estar sincronizadas para que se confirme la configuración. Sin embargo, en determinadas circunstancias, las políticas del motor de enrutamiento y del motor de reenvío de paquetes pueden no estar sincronizadas, lo que hace que se produzca un error en la confirmación.
Síntomas
Cuando se modifican las configuraciones de las políticas y las políticas no están sincronizadas, aparece el siguiente mensaje de error: error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.
Solución
Use el show security policies checksum comando para mostrar el valor de suma de comprobación de la política de seguridad y use el request security policies resync comando para sincronizar la configuración de las políticas de seguridad en el motor de enrutamiento y el motor de reenvío de paquetes si las políticas de seguridad no están sincronizadas.
Comprobar un error de confirmación de política de seguridad
Problema
Descripción
La mayoría de los errores de configuración de políticas se producen durante una confirmación o un tiempo de ejecución.
Los errores de confirmación se notifican directamente en la CLI cuando se ejecuta el comando de la CLI commit-check en el modo de configuración. Estos errores son errores de configuración y no se puede confirmar la configuración sin corregir estos errores.
Solución
Para corregir estos errores, haga lo siguiente:
Revise los datos de configuración.
Abra el archivo /var/log/nsd_chk_only. Este archivo se sobrescribe cada vez que se realiza una comprobación de confirmación y contiene información detallada del error.
Verificar una confirmación de política de seguridad
Problema
Descripción
Al realizar una confirmación de configuración de política, si observa que el comportamiento del sistema es incorrecto, siga estos pasos para solucionar este problema:
Solución
Comandos operativos show : ejecute los comandos operativos para las políticas de seguridad y verifique que la información que se muestra en el resultado sea coherente con lo esperado. De lo contrario, la configuración debe cambiarse adecuadamente.
Traceoptions: establezca el comando en la configuración de la
traceoptionspolítica. Las marcas de esta jerarquía se pueden seleccionar según el análisis del usuario de la salida delshowcomando. Si no puede determinar qué marca usar, la opciónallde marca se puede usar para capturar todos los registros de rastreo.user@host#
set security policies traceoptions <flag all>
También puede configurar un nombre de archivo opcional para capturar los registros.
user@host# set security policies traceoptions <filename>
Si especificó un nombre de archivo en las opciones de rastreo, puede buscar en /var/log/<filename> el archivo de registro para determinar si se informó de algún error en el archivo. (Si no especificó un nombre de archivo, el nombre de archivo predeterminado es eventd.) Los mensajes de error indican el lugar del fallo y el motivo adecuado.
Después de configurar las opciones de seguimiento, debe volver a confirmar el cambio de configuración que provocó el comportamiento incorrecto del sistema.
Búsqueda de políticas de depuración
Problema
Descripción
Cuando tenga la configuración correcta, pero parte del tráfico se haya interrumpido o permitido incorrectamente, puede habilitar la lookup marca en las traceoptions de las políticas de seguridad. La lookup marca registra los seguimientos relacionados con la búsqueda en el archivo de seguimiento.
Solución
user@host# set security policies traceoptions <flag lookup>
Sincronización de alta disponibilidad (HA) de la memoria caché de resolución de nombres de direcciones
El proceso de seguridad de red (NSD) se reinicia cuando el sistema se reinicia, se produce una tolerancia a fallos de alta disponibilidad o si el proceso se bloquea. Durante este tiempo, si hay una gran cantidad de direcciones de nombres de dominio configuradas en las políticas de seguridad, los firewalls SRX intentan enviar solicitudes al servidor DNS para obtener todas las direcciones IP resueltas. Se consume una gran cantidad de recursos del sistema cuando se intercambia una gran cantidad de consultas y respuestas de DNS. Por lo tanto, los firewalls SRX no pueden obtener una respuesta del servidor DNS y es posible que la dirección de un nombre de host en una entrada de la libreta de direcciones no se resuelva correctamente. Esto puede hacer que el tráfico se interrumpa, ya que no se encuentra ninguna coincidencia de política de seguridad o sesión. La nueva mejora en los firewalls SRX soluciona este problema mediante el almacenamiento en caché de los resultados de la consulta DNS en un archivo de caché DNS local y la sincronización periódica del archivo de caché DNS desde el nodo principal de alta disponibilidad al nodo de respaldo de alta disponibilidad. Los archivos de caché de DNS almacenan direcciones IP, nombre de dominio y valores TTL. Después de la conmutación por tolerancia a fallos de alta disponibilidad, el nodo de copia de seguridad anterior se convierte en el nodo principal. Dado que todos los resultados de la caché DNS están disponibles en el nuevo nodo principal, el procesamiento de la política de seguridad continúa y se permite el tráfico de paso según las reglas de la política.
A partir de Junos OS versión 19.3R1, la memoria caché de DNS de política se sincroniza en un archivo de caché DNS local en el nodo activo de alta disponibilidad y se copia en el nodo de respaldo de alta disponibilidad para suprimir las consultas o respuestas de DNS durante el reinicio de NSD.
Para que se lleve a cabo la sincronización, se realizan los siguientes pasos:
La memoria caché DNS de política se sincroniza en un archivo de caché DNS de política local ubicado en la ruta /var/db/policy_dns_cache cada 30 segundos si el contenido de la memoria caché DNS política ha cambiado durante este período.
El archivo de caché de DNS local se sincroniza desde el nodo principal de alta disponibilidad al nodo de copia de seguridad de alta disponibilidad inmediatamente después de actualizar el archivo de caché de DNS local en el paso 1.
La sincronización incluye el siguiente contenido:
-
Nombre de dominio
-
Lista de direcciones IPv4 y su TTL (tiempo de vida)
-
Lista de direcciones IPv6 y su TTL
Cuando NSD se reinicia, lee y analiza el archivo de caché DNS local e importa todas las entradas de caché a la memoria. La sincronización garantiza que las consultas DNS se supriman durante un reinicio de NSD. NSD se reinicia en un nuevo nodo principal durante la conmutación por tolerancia a fallos de alta disponibilidad, ya que las direcciones IP resueltas para los nombres de dominio ya existen en la memoria caché de DNS al leer las configuraciones de políticas. Por lo tanto, se permite un nuevo tráfico de paso según la política de seguridad después de la tolerancia a fallos de alta disponibilidad, ya que todas las direcciones IP resueltas para nombres de dominio existen dentro de políticas en el motor de enrutamiento y el motor de reenvío de paquetes del nodo principal nuevo.
Comportamiento de uso de memoria específico de la plataforma
Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas.
Utilice la siguiente tabla para revisar el comportamiento específico de la plataforma para su plataforma:
| Plataforma |
Diferencia |
|---|---|
| serie SRX |
|