Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Мониторинг трафика VPN

Мониторинг VPN позволяет определить доступность равноправных устройств с помощью отправки одноранговых сообщений по протоколу управления Интернет (ICMP) запросам одноранговых узлам.

Понимание сигналов тревоги VPN и аудита

Настройте следующую команду, чтобы включить регистрацию событий безопасности во время начальной настройки устройства. Эта функция поддерживается на SRX300, SRX320, SRX340, SRX345, SRX550HM, а также на SRX1500 и vSRX экземплярах.

set security log cache

Администраторы (аудит, шифрование, служба обнаружения вторжений и безопасность) не могут изменять конфигурацию регистрации событий безопасности, если вышеуказанная команда настроена и каждая роль администратора настроена для отдельного, уникального набора привилегий за исключением всех других административных ролей.

Сигналы тревоги запускаются сбоем VPN. Сигнал VPN генерируется при отслеживании системой любого из следующих контрольных событий:

  • Authentication failures— Можно настроить устройство на генерацию системного сигнала тревоги, когда количество сбоев аутентификации пакета достигает указанного номера.

  • Encryption and decryption failures- Можно настроить устройство на генерацию системного сигнала тревоги, если количество сбоев шифрования или расшифровки превышает указанное число.

  • IKE Phase 1 and IKE Phase 2 failures- Internet Key Exchange (IKE) Согласования фазы 1 используются для IKE ассоциаций безопасности (SAS). Эти SAS защищают IKE фазе 2. Можно настроить устройство на генерацию системного сигнала тревоги, если IKE фазы 1 или IKE фазы 2 ошибки превышают заданное число.

  • Self-test failures- Самопроверки – это тесты, при подзагрузке или перезагрузке устройств, которые проверяют, правильно ли реализовано по безопасности на вашем устройстве.

    Самотестирования обеспечивают правильность криптографических алгоритмов. Образ Junos-FIPS автоматически выполняет самопроверки при в режиме питания и непрерывно для генерации пар ключей. В внутренних образах или образах FIPS самопроверка может выполняться в соответствии с определенным графиком, по требованию или сразу после генерации ключей.

    Можно настроить устройство на генерацию системного сигнала тревоги при сбое самопроверки.

  • IDP flow policy attacks- Политика обнаружения и предотвращения вторжений (IDP) позволяет применять различные методы обнаружения и предотвращения атак на сетевом трафике. Можно настроить устройство на генерацию системного сигнала тревоги при IDP нарушений политики потока.

  • Replay attacks- Повторная атака – это сетвая атака, при которой допустимая передача данных происходит вредоносным образом или повторно или задерживается повторно. Можно настроить устройство на генерацию системного сигнала тревоги при повторе атаке.

Сообщения syslog включаются в следующие случаи:

  • Неудалось симметричное поколение ключей

  • Сбой асимметричного генерации ключей

  • Сбой распределения ключей вручную

  • Неудалось автоматизированное распределение ключей

  • Неудалась ключная уничтожение

  • Обработка и хранение неуспешных ключей

  • Сбой шифрования или расшифровки данных

  • Подпись сбойной подписи

  • Сбой соглашения ключа

  • Неудалась криптографическая дешифровка

  • IKE сбоя

  • Неудалась аутентификация полученных пакетов

  • Ошибка расшифровки из-за недопустимого содержимого заполнения данными

  • Несоответствие длины, указанной в альтернативном предмете поля сертификата, полученного от удаленного одноранговых устройств VPN.

Сигналы тревоги вызываются на основе сообщений syslog. Регистрируется каждый сбой, но сигнал тревоги генерируется только при пороговом значении.

Чтобы просмотреть информацию о сигналах тревоги, show security alarms запустите эту команду. Количество нарушений и сигнал тревоги не сохраняются при перезагрузке системы. После перезагрузки количество нарушений сбрасывается до нуля, и сигнал тревоги очищается из очереди аварийных сигналов.

После того, как были предприняты соответствующие действия, можно очистить сигнал тревоги. Сигнал тревоги остается в очереди до тех пор, пока устройство не будет очищено (или до перезагрузки устройства). Для очистки сигнала тревоги запустите clear security alarms команду.

Понимание мониторинга VPN

Мониторинг VPN использует эхо-запросы ICMP (или эхо-запросы) для определения, работает ли туннель VPN. Когда мониторинг VPN включен, устройство обеспечения безопасности отправляет ping-проверки через VPN-туннель на одноранговый шлюз или в указанное место назначения на другом конце туннеля. Ping-запросы отправляются по умолчанию с интервалами 10 секунд в течение 10 раз подряд. Если после 10 последовательных ping-пакетов ответ не получен, VPN считается неавтным, и ассоциация безопасности IPsec(SA)очищается.

Vpn-мониторинг включен для указанной VPN путем настройки параметра на vpn-monitor уровне edit security ipsec vpn vpn-name иерархии [] IP-адрес одноранговых шлюзов является адресом назначения по умолчанию; однако на другом конце туннеля можно указать другой IP-адрес назначения (например, сервер). Конечная точка локального туннеля является исходным интерфейсом по умолчанию, но можно указать другое имя интерфейса.

Vpn-мониторинг внешнего устройства (например, ПК) не поддерживается на SRX5400, SRX5600 и SRX5800 устройствах. Назначением для мониторинга VPN должен быть локальный интерфейс SRX5400, SRX5600 или SRX5800 устройство.

Параметр мониторинга VPN отправляет ping-сообщения только при находящийся исходящая трафики и отсутствие входящих трафика optimized через туннель VPN. Если через VPN-туннель проходит входящий трафик, устройство обеспечения безопасности считает туннель активным и не отправляет ping-сообщения одноранговой сети. Настройка параметра может сэкономить ресурсы устройство обеспечения безопасности, так как запросы "0" отправляются только при том случае, если необходимо определить прямой эфир optimized узла. Отправка ping-сообщений также может активировать дорогостоящие резервные соединения, которые в противном случае не будут использоваться.

Можно настроить интервал, с которого отправляются запросы ping, и число последовательных ping- отправлений без ответа до того, как VPN будет считаться неавтоматомтом. Они настроены с interval вариантами threshold и, соответственно, на уровне edit security ipsec vpn-monitor-options иерархии []

Мониторинг VPN может привести к перемылке туннеля в некоторых средах VPN, если пакеты проверки соединения не принимаются одноранговой точкой на основании IP-адреса источника или назначения пакета.

Понимание проверки данных IPsec

Обзор

По умолчанию состояние интерфейсов защищенного туннеля (st0), настроенных в режиме "точка-точка" в VPN на основе маршрутов, зависит от состояния VPN-туннеля. Вскоре после установки SA IPsec маршруты, связанные с интерфейсом st0, устанавливаются в Junos OS таблица переадресации. В некоторых сетевых topolog-сетях, например, когда транзитный межсетевой экран расположен между конечными точками VPN-туннеля, трафик данных IPsec, использующий активные маршруты для установленного VPN-туннеля на интерфейсе st0, может блокироваться транзитным межсетевой экраном. Это может привести к потере трафика.

При в активации проверки IPsec datapath интерфейс st0 не активизируется и не активируется до тех пор, пока не будет проверена датапута. Проверка сконфигурирована с помощью утверждения для туннелей VPN на основе маршрутов, месту доступа к сети и динамическим туннелям set security ipsec vpn vpn-name vpn-monitor verify-path VPN с оконечной точкой.

Если перед конечной точкой равноправного туннеля находится NAT, IP-адрес конечной точки равноправного туннеля транслется в IP-адрес устройства NAT. Для запроса ICMP vpn для достижения конечной точки одноранговых туннелей необходимо явно указать исходный, нетранслрованный IP-адрес конечной точки равноправного туннеля за NAT устройством. Это сконфигурировано с set security ipsec vpn vpn-name vpn-monitor verify-path destination-ip конфигурацией.

Начиная Junos OS релизе 15.1X49-D120, можно настроить размер пакета, который используется для проверки IPsec-пакета данных до запуска st0 интерфейса. Используйте set security ipsec vpn vpn-name vpn-monitor verify-path packet-size конфигурацию. Размер настраиваемого пакета варьируется от 64 до 1350 bytes; значение по умолчанию — 64 bytes.

Предостережения

Исходный интерфейс и IP-адреса назначения, которые можно сконфигурировать для работы монитора VPN, не влияют на проверку IPsec datapath. Источником запросов ICMP в проверке IPsec datapath является конечная точка локального туннеля.

При включив проверку IPsec datapath, мониторинг VPN активируется автоматически и используется после активации интерфейса st0. Рекомендуется настраивать параметр VPN monitored с помощью команды всякий раз, когда set security ipsec vpn vpn-name vpn-monitor optimized включается проверка IPsec datapath.

Если во время проверки IPsec datapath происходит перекрытие кластера шасси, новый активный узел начинает проверку снова. Интерфейс st0 не активизируется до тех пор, пока проверка не будет успешной.

Проверка IPsec datapath для повторного подтверждения SA IPsec не выполняется, поскольку состояние интерфейса st0 не меняется на повторное.

Проверка данных IPsec не поддерживается на интерфейсах st0, настроенных в многоканальный режим "точка-точка", которые используются с autoVPN, auto Discovery VPN и несколькими селекторами трафика. Мониторинг VPN и проверка данных IPsec не поддерживают адреса IPv6, поэтому проверку данных IPsec нельзя использовать с туннелями IPv6.

О характеристиках глобального мониторинга SPI и VPN

Можно отслеживать и поддерживать эффективную работу сети VPN с помощью следующих глобальных функций VPN:

  • SPI. При сбой одного из одноранговых одноранговых узла в ассоциации безопасности (SA) может стать несинхронизированным. Например, при перезагрузке одного из одноранговых узла может быть выдан неправильный индекс параметра безопасности (SPI). Устройство может обнаруживать такое событие и повторно синхронизировать одноранговых узлах, устроив неправичную функцию ответа SPI.

  • Vpn monitoring — функция глобального мониторинга VPN позволяет периодически посылать запросы протокола управления Интернет (ICMP) одноранговой сети, чтобы определить, является ли одноранговый узла достигаемым.

Понимание VPN-мониторинга и DPD

Функции мониторинга VPN и обнаружения недоступных равноправных устройств (DPD) доступны на серия SRX для проверки доступности одноранговых устройств VPN. В данном разделе сравнивалась работа и конфигурация этих функций.

Устройство серия SRX отвечает на сообщения DPD, отправленные равноправными узлами VPN, даже если DPD не настроен на устройстве. Устройство можно настроить для серия SRX DPD-сообщений равноправным узлам VPN. Можно также настроить мониторинг DPD и VPN для работы одновременно на одном серия SRX устройстве, хотя число одноранговых устройств, которые можно отслеживать с помощью любого из методов, сокращается.

Мониторинг VPN – это механизм Junos OS, который отслеживает только ассоциации безопасности фазы 2. Мониторинг VPN включен на основе VPN с помощью утверждения на vpn-monitor уровне edit security ipsec vpn vpn-name иерархии [] Необходимо укаварить IP-адрес назначения и исходный интерфейс. Этот optimized параметр позволяет устройству использовать шаблоны трафика в качестве доказательства того, что одноранговая линия находится в режиме работы; Запросы ICMP подавляются.

Параметры мониторинга VPN настраиваются с помощью vpn-monitor-options утверждения на уровне edit security ipsec [] иерархии. Эти параметры применимы для всех VPN, для которых включен мониторинг VPN. Параметры, которые можно настроить, включают интервал, в течение которого запросы ICMP отправляются одноранговому узла (по умолчанию – 10 секунд), а также число последовательных запросов ICMP, отправленных без получения ответа до того, как одноранговая точка будет считаться недостижимой (по умолчанию 10 последовательных запросов).

DPD – это реализация RFC 3706, метода обнаружения Internet Key Exchange (IKE) равноправных Internet Key Exchangeтрафика. Он работает на IKE и отслеживает одноранговую ранговую основании как на IKE, так и на активности трафика IPsec.

DPD настраивается на отдельном IKE с утверждением на dead-peer-detection уровне edit security ike gateway gateway-name [] иерархии. Можно настроить режимы работы DPD. По умолчанию (оптимизированный) режим отправляет сообщения DPD равноправным узлам, если в течение за установленного интервала времени нет входящих IKE или трафика IPsec, после того как локальное устройство отправит исходящую отправку пакетов равноправным узлам. Другие настраиваемые параметры включают интервал, в течение которого сообщения DPD отправляются одноранговому узла (по умолчанию 10 секунд) и число последовательных сообщений DPD, отправленных без получения ответа до того, как одноранговая точка будет считаться недоступной (по умолчанию по умолчанию 5 последовательных запросов).

Общее представление об обнаружении мертвых равноправных узла

Обнаружение равноправных мертвых (DPD) является способом, который сетевые устройства используют для проверки наличия и доступности других одноранговых устройств.

Можно использовать DPD в качестве альтернативы vpn-мониторингу. Мониторинг VPN применяется к отдельной VPN-сети IPsec, в то время как DPD настраивается только в контексте IKE шлюза.

Устройство выполняет проверку DPD, посылая зашифрованные уведомления фазы 1 (сообщения R-U-THERE) одноранговой сети и ожидающее подтверждения DP IKE D (сообщения R-U-THERE-ACK) от одноранговых устройств. Устройство отправляет сообщение R-U-THERE, только если в течение заданного интервала DPD трафик от одноранговых узла не получен. Если устройство получает сообщение R-U-THERE-ACK от одноранговых устройств в течение этого интервала, оно считает одноранговую узла в качестве возможной. Если устройство получает трафик в туннеле от однорангового узла, оно сбрасывает счетчик сообщений R-U-THERE для этого туннеля, таким образом, начиная новый интервал. Если устройство в течение этого интервала не получает сообщение R-U-THERE-ACK, оно считает одноранговой узла неавтома. Когда устройство изменяет состояние одноранговых устройств как неавглухо, устройство удаляет ассоциации безопасности фазы 1 и все SA фазы 2 для этого одноранговых узла.

Следующие режимы DPD поддерживаются на устройствах серия SRX:

  • Оптимизация — сообщения R-U-THERE запускаются, если нет входящих IKE или трафика IPsec в течение законфигурнного интервала после отправки устройством исходяющих пакетов одноранговому одноранговому устройству. Это режим по умолчанию.

  • Зондируемый туннель без проверки — если в заданные интервалы нет входящих или исходяющих трафика IKE или трафика IPsec, запускаются сообщения R-U-THERE. Сообщения R-U-THERE периодически отправляются одноранговой сети до тех пор, пока не будет активность трафика. Этот режим помогает в раннем обнаружении сбитого одноранговых узла и делает туннель доступным для трафика данных.

    Если для VPN настроено несколько селекторов трафика, для одной и той же IKE SA можно установить несколько IKE туннелей. В этом сценарии в режиме простоя туннеля срабатывает отправление сообщений R-U-THERE, если любой туннель, связанный с IKE SA, простаивает, даже если в другом туннеле для того же IKE SA.

  • Always send — сообщения R-U-THERE отправляются через определенные интервалы вне зависимости от активности трафика между одноранговых узлами.

    Рекомендуется вместо режима простоя зонда использовать туннельный always-send режим.

DPD-timers активен сразу после того, как будет установлено SA фазы 1. Поведение DPD одинаково для протоколов IKEv1 и IKEv2.

Можно настроить следующие параметры DPD:

  • Параметр интервала определяет время (выраженное в секундах) устройство ждет трафик от одноранговых устройств перед отправкой сообщения R-U-THERE. Значение по умолчанию — 10 секунд. Начиная с Junos OS выпуска 15.1X49-D130, допустимый диапазон параметров интервала, в котором сообщения R-U-THERE посылаются на одноранговое устройство, уменьшается с 10 до 60 секунд, до 2 секунд до 60 секунд. Параметр минимального порога должен быть равным 3, если параметр интервала DPD установлен менее 10 секунд.

  • Параметр порога определяет максимальное количество раз для отправки сообщения R-U-THERE без ответа от однорангового узла перед тем, как считать одноранговое сообщение неавтным. По умолчанию число передач происходит в пять раз с допустимым диапазоном от 1 до 5 повторной передачи.

Обратите внимание на следующие соображения перед настройкой DPD:

  • При добавлении конфигурации DPD к существующему шлюзу с активными туннелями, сообщения R-U-THERE посылаются без очистки СА фазы 1 или 2.

  • При удалении конфигурации DPD из существующего шлюза с активными туннелями для туннелей останавливаются сообщения R-U-THERE. IKE и IPsec SAs не затронуты.

  • Изменение любого параметра конфигурации DPD, такого как режим, интервал или пороговые значения, обновляет операцию DPD без очистки СА фазы 1 или 2.

  • Если IKE шлюз настроен с помощью контроля DPD и VPN, но возможность немедленно установить туннель не настроена, DPD не инициирует согласование фазы 1. После настройки DPD параметр "establish tunnels immediately" также должен быть настроен одновременно для разрыва интерфейса st0, когда нет доступных SAS фазы 1 и 2.

  • Если шлюз IKE настроен с несколькими IP-адресами одноранговых телефонов и DPD, но в фазе 1 SA не удается установиться на первый IP-адрес одноранговых узла, то SA фазы 1 пытается использовать IP-адрес следующего одноранговых узла. DPD активен только после того, как SA фазы 1 установлена.

  • Если шлюз IKE настроен с несколькими IP-адресами одноранговых узла и DPD, но DPD не сработал с IP-адресом текущего одноранговых узла, фазы 1 и 2 СА очищаются и запускается перебой на IP-адрес следующего одноранговых узла.

  • Несколько SA фазы 1 или 2 могут существовать с одним однорангом из-за одновременных согласований. В этом случае сообщения R-U-THERE отправляются по всем СА фазы 1. Ошибка получения ответов DPD для настроенного количества последовательных раз очищает SA фазы 1 и связанный этап 2 SA (только для IKEv2).

О событиях туннеля

При проблеме с сетью, связанной с VPN, после того, как туннель загонается, отслеживается только состояние туннеля. Перед тем, как туннель будет задан, может возникнуть множество проблем. Следовательно, вместо отслеживания только состояния туннеля, ошибок туннеля или сбоев согласования, успешных событий, таких как успешные согласования IPsec SA, повторное нажатие IPsec и IKE sa теперь отслеживаются. Эти события называются событиями туннеля.

На фазах 1 и 2 отслеживаются события согласования для данного туннеля, а также события, происходящие во внешних daemon, таких как AUTHD или PKID. Если туннельное событие происходит несколько раз, с обновленным временем поддерживается только одна запись, а также число произошедших событий.

Всего отслеживается 16 событий: восемь событий для фазы 1 и 8 событий для фазы 2. Некоторые события могут повториться и заполнить память событий, что приведет к удаляемой памяти важных событий. Во избежание переописи событие не сохраняется, если туннель не находится в неавтометном туннеле.

К этой категории подпадают следующие особые события:

  • Истек срок действия в килобайтах для SA IPsec

  • Истечен жесткий срок службы SA IPsec

  • IPsec SA удаляет полезной нагрузки, полученной от одноранговых, соответствующие SA IPsec очищены

  • Очистка неиспользованых резервных пар SA IPsec

  • Sa IPsec очищены как соответствующие IKE SA удалены

Туннели AutoVPN создаются и удаляются динамически, и, соответственно, события туннеля, соответствующие этим туннелям, недолго удаляются. Иногда эти события туннеля не могут быть связаны ни с любым туннелем, поэтому для отладки используется системный журнал.

Примере: Настройка слышимого сигнала тревоги в качестве уведомления о сигнале безопасности

В этом примере показано, как настроить устройство для генерации звукового сигнала предупреждения системы при новом событии безопасности. По умолчанию сигналы тревоги не слышны. Эта функция поддерживается на SRX300, SRX320, SRX340, SRX345, SRX550HM, а также на SRX1500 и vSRX экземплярах.

Требования

До настройки этой функции специальная настройка после инициализации устройства не требуется.

Обзор

В этом примере задается звуковой сигнал, сгенерированный в ответ на сигналы безопасности.

Конфигурации

Процедуры

Пошаговая процедура

Настройка звукового сигнала тревоги:

  1. Включить аварийные сигналы безопасности.

  2. Укажите, о чем нужно извещении о сигналах безопасности при звуковом звуковом сигнале.

  3. После настройки устройства сфиксировать конфигурацию.

Проверки

Чтобы проверить правильность работы конфигурации, введите show security alarms detail команду.

Примере: Создание сигналов безопасности в ответ на потенциальные нарушения

В этом примере показано, как настроить устройство на генерацию системного сигнала тревоги при потенциальном нарушении. По умолчанию при потенциальном нарушении сигналы тревоги не выдаются. Эта функция поддерживается на SRX300, SRX320, SRX340, SRX345, SRX550HM, а также на SRX1500 и vSRX экземплярах.

Требования

До настройки этой функции специальная настройка после инициализации устройства не требуется.

Обзор

В этом примере вы настраиваете сигнал тревоги, который будет пониматься, когда:

  • Количество сбоев аутентификации превысило 6.

  • Криптографическая самопроверка не удались.

  • Нешифровка самопроверки не удались.

  • Самопроверка генерации ключей не проходит.

  • Число отказов шифрования превышает 10.

  • Число сбоев расшифровки превысило 1.

  • Количество отказов IKE фазе 1 превышает 10.

  • Число отказов IKE фазе 2 превышает 1.

  • Происходит повторная атака.

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве Junos OS интерфейс командной строки пользователя.

Настройка сигналов тревоги в ответ на потенциальные нарушения:

  1. Включить аварийные сигналы безопасности.

  2. Укажите, что при сбое аутентификации следует выдать сигнал тревоги.

  3. Укажите, что при криптографическом сбое самопроверки следует выдать сигнал тревоги.

  4. Укажите, что при сбое нешифрованного самопроверки следует выдать сигнал тревоги.

  5. Укажите, что следует выдать сигнал тревоги при сбое самопроверки ключей.

  6. Укажите, что в случае сбоя шифрования следует выдать сигнал тревоги.

  7. Укажите, что при сбое в расшифровке следует по тревоге быть поосторожна.

  8. Укажите, что при сбое IKE 1 следует выдать сигнал тревоги.

  9. Укажите, что при сбое во IKE 2-м этапе необходимо выдать сигнал тревоги.

  10. Укажите, что при повторной атаке следует выдать сигнал тревоги.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show security alarms команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Для подтверждения правильности работы конфигурации в рабочем режиме введите show security alarms команду.

Таблица истории выпусков
Версия
Описание
15.1X49-D130
Начиная с Junos OS выпуска 15.1X49-D130, допустимый диапазон параметров интервала, в котором сообщения R-U-THERE посылаются на одноранговое устройство, уменьшается с 10 до 60 секунд, до 2 секунд до 60 секунд. Параметр минимального порога должен быть равным 3, если параметр интервала DPD установлен менее 10 секунд.
15.1X49-D120
Начиная Junos OS релизе 15.1X49-D120, можно настроить размер пакета, который используется для проверки IPsec-пакета данных до запуска st0 интерфейса.