Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
На этой странице
 

Настройка Syslog через TLS

SUMMARY Узнайте, как настроить устройство для безопасной переноса сообщений системного журнала (также известных как сообщения системного журнала) по протоколу транспортный уровень безопасности (TLS).

Журналы плоскости управления

Control plane logs, also called system logs, include events that occur on the routing platform. The system sends control plane events to the eventd process on the Routing Engine, which then handles the events by using Junos OS policies, by generating system log messages, or by doing both. You can choose to send control plane logs to a file, user terminal, routing platform console, or remote machine. To generate control plane logs, use the syslog statement at the [system] hierarchy level.

Примере: Настройка Syslog через TLS

В этом примере показано, как настроить Juniper Networks для безопасной передачи сообщений syslog (плоскость управления журналов) по TLS.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Junos OS версии 21.2 или более поздней

  • Устройство, Junos OS (клиент syslog)

  • Сервер Syslog

Обзор

Протокол TLS используется для обеспечения безопасной транспортировки сообщений системного журнала (плоскость управления журналов) от клиента системного журнала к серверу системного журнала. TLS использует сертификаты для аутентификации и шифрования данных.

  • Аутентификация сервера (или TLS в одном сторону) — клиент проверяет идентификацию сервера и доверяет серверу.
  • Взаимная аутентификация — сервер и клиент доверяют друг другу.

В зависимости от сети можно выбрать аутентификацию сервера или взаимную аутентификацию. Чтобы быстро получить доступ к необходимой информации, щелкните ссылки в таблице 1.

Табл. 1: Режимы аутентификации TLS

Режим аутентификации

Процедуры

Раздел, на котором размещена информация

Аутентификация сервера

Настройка PKI

Конфигурировать устройство

Аутентификация сервера

Конфигурации

В следующем примере протокол TLS используется для безопасной переноса сообщений syslog (плоскость управления журналов) с Juniper устройства на удаленный сервер syslog. На рис. 1 показана основная топология, используемая в данном примере.

Рис. 1: Syslog over TLS Syslog over TLS
Обзор конфигурации инфраструктуры открытых ключей (PKI)

Настройка PKI на устройстве:

  1. Создайте профиль органа сертификации (CA) и связывайте идентификатор CA с CA профилем. См. пример: Настройка CA профиля.
  2. (Необязательно) Создайте проверку отзыва, чтобы указать метод проверки сертификата. Можно использовать либо списки отзыва сертификатов (CRLs), либо интерактивный протокол статуса сертификатов (OCSP). См. "Отзыв сертификата".
  3. (Необязательно) Создайте доверенного CA группу и добавьте профиль CA в доверную группу. См. "Настройка группы доверенных CA".
  4. Загрузит CA на устройство. Сертификат можно загрузить вручную. См. пример: Загрузка CA и локальных сертификатов вручную. В зависимости от среды развертывания можно использовать протокол управления сертификатами версии 2 (CMPv2) или Простой протокол регистрации сертификатов (SCEP) для интерактивного зачисления сертификатов. См. "Регистрация сертификата CA в Интернете с помощью SCEP и понимание регистрации сертификатов с помощью CMPv2.
  5. (Необязательно для взаимной аутентификации) Загрузит локальный сертификат на устройство. Локальный сертификат можно загрузить вручную. В зависимости от среды развертывания можно использовать CMPv2 или SCEP для интерактивного зачисления сертификатов. См. "Регистрация локального сертификата в Интернете с помощью SCEP и понимание регистрации сертификатов с помощью CMPv2".
  6. Убедитесь, что сертификаты загружены успешно. Используйте команду request security pki ca-certificate verify, чтобы проверить, CA ли сертификат успешно загружен. Используйте команду request security pki local-certificate verify для проверки успешной загрузки локального сертификата.
Настройка аутентификации сервера на устройстве
Пошаговая процедура

Следующая процедура требует перемещения по разным уровням в иерархии конфигурации. Для получения информации о навигации по интерфейс командной строки см. Использование редактора интерфейс командной строки в режиме конфигурации.

Настройка устройства:

  1. Укажите сервер системного журнала, который получает сообщения системного журнала. Можно указать IP-адрес сервера syslog или полное имя хоста. В данном примере в качестве IP-адреса сервера syslog используется адрес 10.102.70.233.

  2. Укажите номер порта сервера syslog.

  3. Укажите транспортный протокол syslog для устройства. В данном примере в качестве транспортного протокола используется TLS.

  4. Укажите имя доверенного центр сертификации (CA) или укажите имя CA профиля, который будет использоваться. В этом примере в качестве CA используйте example-ca.

  5. Настройте устройство на отправку всех сообщений журнала.

  6. Сфиксировать конфигурацию.

Результаты

В режиме конфигурации подтвердите конфигурацию с помощью show system syslog команды.

Проверки

Чтобы проверить правильность работы конфигурации, введите show log команду на сервере syslog.

См. также

Журналы плоскости данных

Data plane logs, also called security logs, include security events that are handled inside the data plane. Security logs can be in text or binary format, and you can save them locally (event mode) or configure your device to send the logs to an external server (stream mode). You require binary format for stream mode. We recommend binary format to conserve log space in event mode.

Примере: Настройка протокола Syslog TLS на серия SRX устройств

В этом примере показано, как настроить транспортный уровень (TLS) syslog на серия SRX устройствах получать зашифрованные события syslog от сетевых устройств, поддерживаюющих TLS syslog event forwarding.

Требования

Перед началом в нужном режиме необходимо включить функции проверки сертификата сервера, шифрования или расшифровки.

Обзор

Протокол Syslog TLS позволяет источнику журнала получать шифрованные события syslog от сетевых устройств, поддерживаюющих переадноваифровку событий SYSLOG TLS. Источник журнала создает порт прослушивания для входящих событий syslog TLS и создания файла сертификата для сетевых устройств.

В данном примере настраивается сборщик syslog, связанный с одним профилем SSL-I. Каждый профиль SSL-I позволяет пользователю указать такие вещи, как предпочтительный набор шифров и доверенные CA сертификаты. Можно настроить несколько профилей SSL-I и связать их с различными серверами-сборщиками.

Конфигурации

Процедуры
интерфейс командной строки быстрой конфигурации

Для быстрой настройки этого раздела примера, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды на интерфейс командной строки иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Для настройки протокола Syslog TLS:

  1. Установите режим регистрации для потока.

  2. Укажите формат структурированного системного журнала (sd-syslog) для ведения журнала сообщений удаленной защиты.

  3. Установите номер интерфейса источника хоста.

  4. В качестве транспортного протокола журнала безопасности, который будет использоваться для регистрации данных, укажите TLS.

  5. Укажите имя профиля TLS.

  6. Установите поток журнала для использования структурированного формата syslog для отправки журналов серверу 1.

  7. Установите для журнала сервера 1 категорию all.

  8. Укажите параметры хоста сервера, введя имя сервера или IP-адрес.

  9. Определите версию протокола all для профиля доступа инициации SSL.

  10. Прикрепляя CA профилей к профилю инициации SSL для запроса сертификата у одноранговых пользователей.

  11. Настройте профиль доступа инициализации SSL, чтобы игнорировать ошибку аутентификации сервера.

Результаты

В режиме конфигурации проверьте конфигурацию с помощью show security log команды. Если в выходных данных не отображается указанная конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Чтобы проверить правильность работы конфигурации, введите show log команду на сервере syslog.