Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Alarmas, auditorías y eventos de VPN

Lea este tema para comprender varios tipos de alarmas, registros y eventos de Junos OS.

Junos OS registra varios eventos, mantiene registros y activa alarmas relacionadas con la operación que se realiza en un dispositivo. Mientras que los métodos de monitoreo de VPN proporcionan una técnica de monitoreo activa para su VPN, las alarmas, los eventos y las auditorías proporcionan información registrada para analizar la causa de una falla. Es posible que observe estos errores antes y después de la creación del túnel.

Alarmas y auditorías VPN

Puede analizar y comprender la causa de los fallos relacionados con VPN mediante las alarmas que genera Junos OS.

Una alarma VPN es una indicación de que la VPN configurada se encuentra en un estado que puede requerir la intervención del usuario para resolverse. Verá una alarma cuando el dispositivo informe de un error mientras supervisa los eventos auditados. Mientras que un evento es una ocurrencia que ocurre en un punto específico del tiempo, una alarma es una indicación del estado de falla.

Tenga en cuenta los siguientes puntos al monitorear las alarmas y eventos:

  • Asegúrese de habilitar el registro de eventos de seguridad durante la configuración inicial del dispositivo mediante el [set security log cache] comando. Consulte caché (registro de seguridad) para obtener más detalles.

  • Junos OS admite el registro de eventos de seguridad en los firewalls SRX300, SRX320, SRX340, SRX345, SRX550HM y SRX1500, así como en los firewalls virtuales vSRX.

  • Cada administrador tiene un conjunto único de privilegios basados en los roles, como administrador de auditoría, administrador criptográfico, administrador de IDS y administrador de seguridad. Los demás administradores no pueden modificar el registro de eventos de seguridad después de que el administrador autorizado lo haya habilitado.

Una falla de VPN activa una alarma cuando el sistema monitorea cualquiera de los siguientes eventos auditados:

  • Errores de autenticación: puede configurar el dispositivo para que genere una alarma del sistema cuando el número de errores de autenticación de paquetes alcance un umbral especificado.

  • Errores de cifrado y descifrado: puede configurar el dispositivo para que genere una alarma del sistema cuando el número de errores de cifrado o descifrado supere un umbral especificado.

  • Errores de fase 1 e IKE fase 2: Junos OS establece asociaciones de seguridad (SA) de intercambio de claves por Internet (IKE) durante las negociaciones de fase 1 de IKE. Las asociaciones de seguridad protegen las negociaciones de la fase 2 de IKE. Puede configurar el dispositivo para que genere una alarma del sistema cuando el número de errores de fase 1 o fase 2 de IKE supere un límite especificado.

  • Errores de autocomprobación: después de encender o reiniciar un dispositivo, Junos OS ejecuta algunas pruebas en el dispositivo para verificar la implementación del software de seguridad. 
Las autopruebas garantizan la corrección de los algoritmos criptográficos. La imagen Junos-FIPS realiza autopruebas automáticamente después de encender el dispositivo y ejecuta la prueba continuamente para la generación de pares de claves. En las imágenes domésticas o FIPS, puede configurar las autopruebas para que se ejecuten según una programación definida, a petición o inmediatamente después de la generación de claves. También puede configurar el dispositivo para generar una alarma del sistema cuando falle una autocomprobación.

  • Ataques de política de flujo de IDP: se utiliza una política de detección y prevención de intrusiones (IDP) para aplicar diversas técnicas de detección y prevención de ataques en el tráfico de red. Puede configurar el dispositivo para que genere una alarma del sistema cuando se produzca una infracción de la política de flujo de IDP.

  • Ataques de reproducción: un ataque de reproducción es un ataque de red en el que un atacante repite o retrasa de forma malintencionada o fraudulenta un evento de transmisión de datos válido. Puede configurar el dispositivo para que genere una alarma del sistema cuando se produzca un ataque de reproducción.

Junos OS genera mensajes de registro del sistema (también denominados mensajes syslog) para registrar los eventos que se producen en el dispositivo. Observará mensajes syslog en los siguientes casos:

  • Error en la generación de claves simétricas

  • Error en la generación de claves asimétricas

  • Error en la distribución manual de claves

  • Error en la distribución automatizada de claves

  • Error en la destrucción de claves

  • Error en el manejo y almacenamiento de claves

  • Error en el cifrado o descifrado de datos

  • Firma fallida

  • Acuerdo de clave fallido

  • Hash criptográfico fallido

  • Error de IKE

  • Error al autenticar los paquetes recibidos

  • Error de descifrado debido a contenido de relleno no válido

  • No coincide en la longitud especificada en el campo de asunto alternativo del certificado recibido de un dispositivo par VPN remoto

Junos OS activa alarmas basadas en los mensajes syslog. Aunque Junos OS registra todos los errores, solo genera una alarma cuando se alcanza el umbral. Para ver la información de la alarma, ejecute el show security alarms comando. El recuento de infracciones y la alarma no persisten en los reinicios del sistema. Después de un reinicio, el recuento de infracciones se restablece a cero y la alarma se borra de la cola de alarmas. La alarma permanece en la cola hasta que reinicie el dispositivo o hasta que borre la alarma después de realizar las acciones adecuadas. Para borrar la alarma, ejecute el clear security alarms comando.

Eventos de túnel VPN

Después de que aparece un túnel VPN, Junos OS realiza un seguimiento del estado del túnel relacionado con los problemas de túnel caído y los errores de negociación. Junos OS también realiza un seguimiento de eventos exitosos, como negociaciones exitosas de asociación de seguridad IPsec, reclaves de IPsec y reclaves de asociación de seguridad IKE. Usamos el término eventos de túnel para referirnos a estos eventos de error y éxito.

Para las fases 1 y 2, Junos OS realiza un seguimiento de los eventos de negociación para un túnel determinado con el proceso iked o kmd junto con los eventos que se producen en procesos externos como authd o pkid. Cuando se produce un evento de túnel varias veces, el dispositivo mantiene solo una entrada con la hora actualizada y el número de veces que se produjo ese evento.

En total, Junos OS realiza un seguimiento de 16 eventos: ocho eventos para la fase 1 y ocho eventos para la fase 2.

Algunos eventos pueden volver a ocurrir y llenar la memoria de eventos, lo que resulta en la eliminación de eventos importantes. Para evitar sobrescribir, el dispositivo no almacena un evento a menos que el túnel esté inactivo. Algunos de estos eventos se enumeran a continuación:

  • Duración en kilobytes caducada para la asociación de seguridad IPsec.

  • La duración dura de la asociación de seguridad IPsec ha caducado.

  • La asociaciónde seguridad IPsec se borra como la carga de eliminación correspondiente recibida del par.

  • Se borraron los pares de asociación de seguridad IPsec de copia de seguridad redundantes no utilizados.

  • Asociaciones de seguridad IPsec borradas como asociación de seguridad IKE correspondiente eliminada.

Junos OS crea y elimina túneles AutoVPN de forma dinámica. Como resultado, los eventos de túnel correspondientes a estos túneles son de corta duración. No todos los eventos de túnel están asociados a un túnel; sin embargo, puede usarlos para la depuración.

Configurar alarmas VPN

Antes de comenzar, debe asegurarse de que el registro de eventos de seguridad esté habilitado mediante el siguiente comando durante la configuración inicial del dispositivo:

Consulte caché (registro de seguridad) para obtener más detalles.

En esta tarea, verá cómo ver y borrar las alarmas en sus firewalls de la serie SRX.

  1. Para ver la información de alarma, ejecute el siguiente comando en modo operativo.

    Consulte Mostrar alarmas de seguridad para obtener más información.

  2. Para borrar la información de alarma, ejecute el siguiente comando en modo operativo.

    Consulte Borrar alarmas de seguridad para obtener más información.

Ejemplo: Configurar una notificación de alerta sonora

En este ejemplo se muestra cómo configurar un dispositivo para generar un pitido de alerta del sistema cuando se produce un nuevo evento de seguridad. De forma predeterminada, las alarmas no son audibles. Esta función se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM y SRX1500 e instancias de firewall virtual vSRX.

Requisitos

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Descripción general

En este ejemplo, configura un pitido audible para que se genere en respuesta a una alarma de seguridad.

Configuración

Procedimiento

Procedimiento paso a paso

Para configurar una alarma sonora:

  1. Active las alarmas de seguridad.

  2. Especifique que desea recibir notificaciones de las alarmas de seguridad con un pitido audible.

  3. Cuando termine de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security alarms detail comando.

Ejemplo: Configurar la generación de alarmas de seguridad

En este ejemplo se muestra cómo configurar el dispositivo para generar una alarma del sistema cuando se produce una posible infracción. De forma predeterminada, no se activa ninguna alarma cuando se produce una posible infracción. Esta función se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM y SRX1500 e instancias de firewall virtual vSRX.

Requisitos

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Descripción general

En este ejemplo, se configura una alarma para que se active cuando:

  • El número de errores de autenticación supera los 6.

  • Se produce un error en la autocomprobación criptográfica.

  • Se produce un error en la autocomprobación no criptográfica.

  • Se produce un error en la autocomprobación de generación de claves.

  • El número de errores de cifrado supera los 10.

  • El número de errores de descifrado supera 1.

  • El número de errores de fase 1 de IKE supera los 10.

  • El número de errores de fase 2 de IKE supera 1.

  • Se produce un ataque de repetición.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.

Para configurar alarmas en respuesta a posibles infracciones:

  1. Active las alarmas de seguridad.

  2. Especifique que se debe activar una alarma cuando se produzca un error de autenticación.

  3. Especifique que se debe activar una alarma cuando se produzca un error de autocomprobación criptográfica.

  4. Especifique que se debe activar una alarma cuando se produzca un error de autocomprobación no criptográfica.

  5. Especifique que se debe activar una alarma cuando se produzca un error de autocomprobación de generación de claves.

  6. Especifique que se debe activar una alarma cuando se produzca un error de cifrado.

  7. Especifique que se debe activar una alarma cuando se produzca un error de descifrado.

  8. Especifique que se debe activar una alarma cuando se produzca un error de fase 1 de IKE.

  9. Especifique que se debe activar una alarma cuando se produzca un fallo de fase 2 de IKE.

  10. Especifique que se debe activar una alarma cuando se produzca un ataque de repetición.

Resultados

Desde el modo de configuración, confírmela con el comando show security alarms. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, desde el modo operativo, escriba el show security alarms comando.